sisu
Ülevaade
RADIUS or Kaug-autentimise dial-in kasutajateenus on võrguprotokoll, mis võimaldab kasutajate ja seadmete autentimist, autoriseerimist ja raamatupidamist tsentraliseeritud halduses. Interneti-teenuse pakkujad ja ettevõtted kasutavad seda laialdaselt Interneti-juurdepääsu, kohalike teenuste, traadita võrkude juurdepääsu kontrollimiseks WiFi-pöörduspunktide kaudu jne.
RADIUS-protokoll rakendatakse rakenduste kihis kliendi-serveri arhitektuuriga, mis võib kasutada TCP või UDP transpordikihina ja mida edastatakse kasutajate andmebaasiga nagu Active Directory, LDAP-teenus or Linuxi raamatupidamissüsteem. Kõige populaarsemad RADIUS-lahendused on FreeRadius või Microsoft NPS Radius Server.
RADIUS-sõnumiprotokoll
Protokollisõnumid põhinevad kliendi soovil ja serveri vastuseviisil, nagu allpool näidatud.
1. Klient saadab Access-Request serverisse, et iga kasutaja või seade autentiks serveri porti TCP / UDP 1812 (kasutaksid vanemad serveriversioonid 1645 autentimiseks).
2. Serveri vastused vastavad poliitikale Access-Accept kui autentimine on lubatud, Access-Reject kui juurdepääs pole lubatud või Access-Challenge kui server nõuab juurdepääsu määramiseks rohkem teavet (nagu teine valideerimine: PIN, parool, sertifikaat jne)
Valikuliselt võivad kliendid ja serverid vahetada raamatupidamisviise Raamatupidamise taotlus ja Raamatupidamise vastus unikaalse seansi identifikaatori säilitamiseks.
3. Klient saadab Raamatupidamise taotlus serverisse läbi sadama TCP / UDP 1813 raamatupidamisseansi haldamiseks (kasutataks vanemaid serveri versioone 1646 autentimiseks).
4. Serveri vastused on a Raamatupidamise vastus uue seansi kinnitamiseks.
RADIUS-keskkonnas on kasutajate andmebaasi haldamiseks vajalik täiendav teenus ja see on oluline, et seda saaks kasutada kõrge kättesaadavusega, mida käsitletakse teises konkreetses artiklis.
RADIUSi koormuse tasakaalustamine ja kõrge kättesaadavuse keskkond
Kui RADIUS-teenus on maas, võib see põhjustada riski, et kasutajad ei pääse serverivõrku juurde ega saa rakendusse sisse logida, kasutajad ei saa seadmes seanssi avada ega saada õigust äriprotsess. Selliste olukordade lahendamiseks on selle artikli eesmärk seadistada allpool näidatud keskkond.
Zevenet jagab RADIUS-protokollisõnumeid kõigi RADIUS-serverite vahel, olgu need siis erinevates või kohalikes saitides. Järgmistes jaotistes selgitame seda tüüpi keskkondade seadistamist, RADIUS-teenuste täpsemat tervisekontrolli ja selle protokolli turbeprobleeme.
RADIUS Virtual Service Configuration
RADIUS-protokolli iseloom põhineb UDP-pakettidel, seega on usaldusväärse RADIUS-keskkonna konfiguratsioon ehitatud LSLB talu L4xNAT profiil 4 kihis, pordid 1812 ja 1813, protokolli tüüp UDP ja eelistatud DNAT läbipaistvuse tagamiseks ja kliendi IP saamiseks taustal (kuigi NAT peaks ka hästi töötama).
aasta Teenusedei ole vaikimisi vajalik püsivus, välja arvatud juhul, kui vaja on mingit kleepuvust kliendi-raadiuse serveri vahel.
Kui RADIUSi kasutatakse UDP asemel TCP kaudu, võib seda protokolli tüübi väljal muuta. Samuti võiks seda määrata ALL protokollid, et võimaldada nii TCP kui ka UDP üheaegselt samal virtuaalsel IP-l.
Lõpuks konfigureerige taustaprogrammid konfigureerimata pordideta (kuna see kasutab kliendiühenduse sihtkoha porti) ja testige ühendust. Kui virtuaalne teenus RADIUS on edukalt konfigureeritud, saame selle teenuse jaoks täpsema tervisekontrolli seada.
RADIUSi täiustatud tervisekontrolli konfiguratsioon
Täiustatud tšekk kuulub Zevenetisse nimega check_radius vaikekausta all / usr / local / zenloadbalancer / rakendus / libexec /.
Selle käsu abi saab loetleda:
root@zevenet5# /usr/local/zenloadbalancer/app/libexec/check_radius --help
Tests to see if a RADIUS server is accepting connections.
Usage:
check_radius -H host -F config_file -u username -p password
[-P port] [-t timeout] [-r retries] [-e expect]
[-n nas-id] [-N nas-ip-addr]
Options:
-h, --help
Print detailed help screen
-V, --version
Print version information
--extra-opts=[section][@file]
Read options from an ini file. See
https://www.monitoring-plugins.org/doc/extra-opts.html
for usage and examples.
-H, --hostname=ADDRESS
Host name, IP Address, or unix socket (must be an absolute path)
-P, --port=INTEGER
Port number (default: 1645)
-u, --username=STRING
The user to authenticate
-p, --password=STRING
Password for autentication (SECURITY RISK)
-n, --nas-id=STRING
NAS identifier
-N, --nas-ip-address=STRING
NAS IP Address
-F, --filename=STRING
Configuration file
-e, --expect=STRING
Response string to expect from the server
-r, --retries=INTEGER
Number of times to retry a failed connection
-t, --timeout=INTEGER
Seconds before connection times out (default: 10)
This plugin tests a RADIUS server to see if it is accepting connections.
The server to test must be specified in the invocation, as well as a user
name and password. A configuration file may also be present. The format of
the configuration file is described in the radiusclient library sources.
The password option presents a substantial security issue because the
password can possibly be determined by careful watching of the command line
in a process listing. This risk is exacerbated because the plugin will
typically be executed at regular predictable intervals. Please be sure that
the password used does not allow access to sensitive system resources.
Esmalt kontrollime, kas see töötab korralikult, käivitades järgmise näite käsu (palun kasutage oma raadiuse kliendi konfiguratsiooniparameetreid Zevenetist):
root@zevenet5# cd /usr/local/zenloadbalancer/app/libexec/ root@zevenet5# ./check_radius -H <RADIUS_SERVER_IP> -P <RADIUS_SERVER_PORT> -u <DUMMY_USER_NAME> -p <DUMMY_USER_PASSWD> -F <RADIUS_CLIENT_CONFIG_FILE>
Test viiakse läbi Zevenet-seadmest ühte kindlasse RADIUS-serverisse mannekeenvalideerimisega ja valikuliselt kliendi konfiguratsioonifailiga konkreetsete kliendiparameetrite jaoks. Testime käsku ja siis, kui saame OK serverist ja FAILURE kui see on all, saame seadistada täpsema tervisekontrolli Teenused meie just loodud virtuaalse teenuse osa.
Ärge unustage kasutada HOST sümbol, kui seadistate Zevenetis edasijõudnud tervisekontrolli allpool.
check_radius -H HOST -P 1812 -u johndoe -p johnspass -F /etc/radius_client.cfg
Vaadake allpool Teenused sektsiooni konfiguratsioon.
RADIUSi turvasuvandid
RADIUS-protokoll on traditsiooniliselt kasutanud MD5 algoritme pakettide autentimiseks ja terviklikkuse kontrollimiseks UDP kaudu. Kuna need kaks ei paku mingit turvakrüpteerimist ja kaitset, on uuritud mitmeid lähenemisviise.
RADIUSe kasutuselevõtt üle IPsec or Interneti-protokolli turvalisus on laialdaselt kasutusele võetud, kuid selle valiku puhul on mõningaid raskusi, kuna rakenduskiht ei ole turvapoliitikatest teadlik, nagu see on võrgukihis vaikimisi olemas. Selle lähenemise kasutamiseks Zevenetiga on vaja käsitsi seadistada, kuna see pole veel integreeritud.
. \ T DTLS or Datagrammi transpordikihi turvalisus võimaldab võimaldada krüpteerimist, jälgida ja kontrollida sellise liikluse turvapoliitikat.
Teine võimalus oleks RADIUS üle TLS mis pakub TCP-le usaldusväärsuse ja järjekorras transpordikihi võimalusi.
Selliste lähenemisviiside puhul IANA on loonud ametliku kirje RadSec (RADIUS Security) UDP kasutamiseks 2083 sadama jaoks RADIUS / TLS rakendused.
Teine võimalus oleks täiustada seedimis- ja autoriseerimiskihti EAP (Laiendatav autentimisprotokoll), mida ei kasutata lingi loomise kihis, vaid ühenduse autentimise faasi ajal, vältides nõrkade MD5i digestide kasutamist.
Lisaks on Zevenetiga võimalik RADIUS-teenuseid kaitsta IPDS-mooduliga pahatahtlike pakettide ja hostide vastu, DoS-rünnakuid, brutse jõu katseid ja palju muud.
RADIUSi puhverserveri võimalused
Kui erinevatele saitidele on paigutatud mitu RADIUS-serverit, oleks huvitav edastada kliendiühendus saidile, mis haldab nende autentimist, autoriseerimist ja raamatupidamisandmeid. Praegu ei toeta Zevenet RADIUS-puhverserveri võimalusi, kuid see on kavas varsti lisada. Ootan viimaseid arenguid!
Nautige oma kõrgetasemelist ja skaleeritavat võrgule juurdepääsu teenust!