Можно ли использовать NPS RADIUS в качестве посредника между приложением, которое поддерживает только аутентификацию RADIUS, и сервером Active Directory, который используется для аутентификации в сети?
Я чувствую, что все настройки в значительной степени направлены на сетевую аутентификацию, я неправильно понимаю концепцию или RADIUS? Я также не могу найти никаких намеков на активный каталог / LDAP в настройках NPS.
Если это невозможно, есть ли на сервере Windows другой способ добиться описанного поведения?
Изменить: я забыл упомянуть - приложение поддерживает только аутентификацию PAP, так что это необходимо.
Еще одно изменение: я использовал и настроил (в другом приложении) аутентификацию LDAP. Чем больше я исследую, тем больше у меня возникает ощущение, что RADIUS не предназначен для использования так, как я его себе представляю. Мне кажется, что RADIUS больше основан на сети, поскольку он контролирует доступ к сети, в то время как LDAP скорее используется для аутентификации пользователя в сети, может ли это быть?
Я думаю, вам нужно немного познакомиться с протоколом RADIUS Remote Authentication Dial In User Service), чтобы понять его роль в аутентификации.
Изначально RADIUS был разработан и развернут для аутентификации (а также авторизации и доступа пользователей к учетным записям - функции, о которых я не буду говорить здесь) пользователей, подключающихся к модемным пулам. Представьте себе пул модемов, принимающих входящие вызовы, и базу данных, содержащую учетные данные пользователей, авторизованных для дозвона. RADIUS - это протокол, который позволял оборудованию, на котором запущен модемный пул, выгружать запросы аутентификации на сервер, тем самым освобождая оборудование модемного пула от необходимости «знать» учетные данные (и политику аутентификации и т. Д.).
Механизм протокола включает в себя сервер RADIUS (то есть сервер, который выполняет разрешенную / запрещенную аутентификацию пользователя), получающий запросы от клиента RADIUS (то есть оборудование модемного пула, принимающее входящий вызов) от имени пользователя. дозвон.
Протокол RADIUS является достаточно общим и адаптирован для использования в 802.1x и других протоколах, требующих аутентификации. Вот почему вы видите много упоминаний о «сетевой аутентификации». Тем не менее, поскольку RADIUS является общим протоколом, у вас вполне может быть приложение, поддерживающее аутентификацию пользователей по протоколу RADIUS. В этом случае приложение является клиентом RADIUS. Серверу RADIUS (службе Windows NPS) необходимо сообщить IP-адрес, который приложение будет отправлять свои запросы RADIUS. из в качестве IP-адреса клиента RADIUS.
Протокол RADIUS требует общего секретного значения (называемого Аутентификатор), чтобы убедиться, что входящие запросы действительно поступают от авторизованного клиента (а не только от злоумышленника, пытающегося использовать сервер RADIUS для подбора паролей). Аналогичным образом, аутентификатор используется клиентами RADIUS для проверки того, что ответы действительно поступают от сервера RADIUS (а не злоумышленник, подменяющий личность сервера). Вам также потребуется настроить это значение.
Вам нужно будет настроить службу Windows NPS с политикой для поддержки необходимого протокола проверки подлинности (PAP, как вы указываете), который требуется приложению. Служба Windows NPS не имеет конфигурации, относящейся к «LDAP», потому что она использует встроенные API проверки подлинности Windows, которые являются серверной частью Active Directory. По сути, вы получаете аутентификацию в Active Directory «бесплатно» с помощью службы Windows NPS.
Обязательно ознакомьтесь с Статья в Википедии о RADIUS для получения более подробной информации о протоколе и Документация Microsoft для службы NPS для справки о настройке стороны Windows Server.
Редактировать:
Вот такое ощущение.
я нашел это Документация Seimens "Модуль безопасности" который описывает конфигурацию аутентификации RADIUS для некоторых из их продуктов Ethernet с "интегрированной безопасностью". Эти штуки выглядят как маленькие межсетевые экраны с IPSEC, NAT и т. Д.
Я подозреваю, что «Средство настройки безопасности» используется для настройки «модулей безопасности». Для загрузки конфигураций в модуль безопасности (и, без сомнения, для выполнения других административных действий) пользователю потребуется пройти аутентификацию в модуле безопасности. Здесь на помощь приходит конфигурация RADIUS.
Схема на странице 80 этого документа выглядит именно так, как я и ожидал - аутентификация пользователя в модуле безопасности перенаправляется на сервер RADIUS, который возвращает модулю безопасности решение разрешить / запретить. Клиентский компьютер вообще не участвует в RADIUS-части аутентификации.
Это выглядит довольно просто, хотя я и говорю, что имел большой опыт использования RADIUS. Что касается подробностей использования сервера Microsoft NPS RADIUS (и вашего запроса относительно: «... коммутируемое соединение, VPN, беспроводное и проводное подключение ...»), все, что я могу сказать, это то, что я бы отказался от использования «мастера» , чтобы настроить службу NPS и выполнить настройку вручную. Опять же, имея большой опыт работы с RADIUS, мне кажется, что это упражнение методом проб и ошибок, но, вероятно, для вас это будет немного сложнее. Я определенно не могу дать вам "рецепт" по щелчку мыши, потому что у меня нет одного из этих устройств (хотя мне бы очень хотелось его увидеть - похоже, было бы весело сделать оценка их безопасности).
Я смотрю на ту же проблему, но для интеграции WatchGuard PPTP / L2TP с AD. Несмотря на то, что они имеют встроенную поддержку AD, ее нельзя использовать вместе с AD, только их встроенная пользовательская БД или Radius. Ниже описано, как настроить FreeRADIUS для запроса AD.
Проверять, выписываться http://wiki.freeradius.org/guide/FreeRADIUS-Active-Directory-Integration-HOWTO