Articles /

RADIUS Server: Meaning and Use for Authentication

Enterprises need to manage access to their networks effective now more than ever. Kyberhyökkäykset lisääntyvät kaikilla toimialoilla, ja turvallisuusryhmiä painostetaan entistä enemmän estämään ja korjaamaan mahdolliset hyökkäykset.

Authentication and authorization through the RADIUS Server protocol is a trusted method of prevention. Se mahdollistaa keskitetyn valtuutusprotokollan, jossa kaikki käyttöoikeuspyynnöt kulkevat yhden palvelimen kautta. RADIUS Accounting tallentaa ja valvoo kaikkia käyttäjän toimia avoimuuden luomiseksi verkossa.

mikä on RADIUS Server?

säde on verkostoitumisprotokolla. Se tulee sanoista Remote Authentication Dial-in User Service. Tämä protokolla käyttää asiakas-palvelin-viestintämenetelmää. Siihen liittyy palvelin ja asiakkaat.

RADIUS-asiakas on reitittimen kaltainen verkkolaite, jota käytetään muodostamaan yhteys verkkoon, tai VPN-keskittäjä, joka luo VPN-yhteydet. Asiakas todentaa käyttäjät ottamalla yhteyttä palvelimeen.

RADIUS Server on taustaprosessi, joka toimii palvelinsovelluksessa. Se voi tallentaa ja ylläpitää käyttäjäprofiileja tietokantaan, mikä tarkoittaa, että se hallitsee kaikkea verkkoon pääsyä.

kun käyttäjä yrittää muodostaa yhteyden RADIUS-asiakasohjelmaan, se lähettää palvelimelle pyynnön. Vasta kun palvelin todentaa ja valtuuttaa käyttäjän, palvelin myöntää käyttäjälle pääsyn RADIUS-asiakasohjelmaan.

palvelimet käyttävät AAA (Authentication, Authorization, and Accounting) – prosessia käyttäjien todentamiseen ja valtuuttamiseen.

lisäksi RADIUS-palvelimet käyttävät pull-valtuutussekvenssiä. Tällöin käyttäjä muodostaa yhteyden asiakkaaseen, joka ottaa yhteyttä palvelimeen käyttäjän puolesta. Tämä eroaa push-sekvenssistä, jossa käyttäjä muodostaa yhteyden palvelimeen suoraan ja saa Lipun asiakkaan käyttöön.

mikä on AAA?

AAA-prosessi on helpottanut yritysten todentaa ja valtuuttaa käyttäjät. Ennen AAA: ta muut protokollat käyttivät yksittäisiä laitteita tunnistautumiseen. Esimerkiksi työntekijän työpiste saattaa käyttää erilaista tunnistautumismenetelmää kuin esimiehen älypuhelin.

tämä on skaalautuvuuden kannalta ongelmallista, koska jonkun täytyisi pitää kirjaa kaikista autentikointimenetelmistä. Keskitetyn AAA-prosessin avulla käyttäjät voivat käyttää yhtä palvelinta todennusta varten.

nyt tarkastellaan prosessin jokaista osaa tarkemmin.

Hanki Lead Generation Guide-opas MSPs: lle

Lue lisää liidien tuottamisesta ja skaalautumisesta

Siirry oppaaseen

Hanki johtava sukupolven opas MSPs: lle

tunnistus

tähän liittyy käyttäjän henkilöllisyyden todentamisprosessi. Yleensä käyttäjä antaa salasanan, jota käytetään tunnistautumisen muotona. Salasanat ovat turvattomampia kuin monivaiheinen todennus tai digitaaliset varmenteet. Yritykset siis käyttävät näitä todennäköisemmin salasanojen lisäksi.

lisäksi prosessi mahdollistaa luottamussuhteen kahden objektin välillä. Esimerkiksi käyttäjän tietokone ja palvelin nähdään molemmat oikeina käyttäjinä todennusprosessissa.

valtuutus

tämä on kokoelma malleja ja sääntökokonaisuuksia, jotka määräävät, mitä käyttäjä voi tehdä verkossa. Esimerkiksi myyntitiimin jäsen pääsee käsiksi vain osastonsa tai työtehtävänsä kannalta merkityksellisiin tietoihin.

Kirjanpito

kyseessä on prosessi, jossa seurataan, dokumentoidaan ja mitataan, mitä käyttäjä tekee verkossa. Esimerkiksi kirjanpitotietoja, joita tietokantojen, tiedostojen ja sovellusten käyttäjät käyttävät istunnon aikana.

johtajat ja työntekijät voivat käyttää näitä tietoja verkoston kapasiteetin arvioimiseen. Lisäksi IT-ryhmät voivat tutkia toistuvia hylkäyspyyntöjä mahdollisten verkkorikollisten paljastamiseksi.

RADIUS Server Authentication Process

Authentication alkaa, kun käyttäjä yrittää muodostaa yhteyden RADIUS-asiakasohjelmaan. He syöttävät yleensä käyttäjätunnuksen ja salasanan. Tämän jälkeen asiakas lähettää palvelimelle Access-Request-viestin. Salasanat salataan viestissä aina ja mukana on myös jaettu salaisuus.

seuraavaksi palvelin lukee jaetun salaisuuden ja varmistaa, että Käyttöoikeuspyyntöviesti on valtuutetulta asiakkaalta. Jos asiakas on luvaton, palvelin hylkää pyynnön. Mutta jos asiakas on valtuutettu, palvelin lukee todennusmenetelmän ja sovittaa käyttäjän käyttäjätunnuksen ja salasanan käyttäjän tietokantaan.

tämän jälkeen palvelin hankkii lisää käyttäjätietoja tietokannasta ja tarkistaa, onko käytössä käyttäjään sopiva pääsykäytäntö tai profiili. Kauppa päättyy, jos osumaa ei löydy.

osumalla palvelin lähettää asiakkaalle Access-Accept-viestin. Viesti sisältää Filter ID-attribuutin ja jaetun salaisuuden. Jaetun salaisuuden on täsmättävä ennen kuin asiakas lukee Filter ID-attribuutin.

asiakas käyttää Filter ID-attribuuttia (tekstijono) liittääkseen käyttäjän RADIUS-käyttäjäryhmään, jolla on sama Filter ID-attribuutti. Ryhmät auttavat luokittelemaan käyttäjät funktionaalisiin ryhmiin (esim. eri osastot voivat olla erilaisia ryhmiä). Kun käyttäjä on yhdistetty ryhmään ja valtuutettu, hän pääsee asiakkaan luo.

lopulliset ajatukset

RADIUS Server authentication noudattaa AAA-prosessia, joka mahdollistaa turvallisen todennuksen yhden lähteen kautta. Lisäksi kirjanpidon avulla yritykset voivat hyödyntää käyttäjien käyttöoikeustietoja. Ne voivat tunnistaa verkkoihinsa kohdistuvia uhkia tai määrittää verkkojaan käyttävien asiakkaiden hinnat.

tärkeää on, että RADIUS-palvelimen integrointi on suoraviivaista ja yhteensopiva olemassa olevien verkkokonfiguraatioiden kanssa.Unid

Leave a Reply