Ova lekcija predstavlja znanja i veštinu koja su potrebna da bi se koristio Internet Auhentication Service (IAS) za centralizaciju autentifikacije i upravljanje polisama.

 

Šta je RADIUS

Danas sigurnost mrežnog pristupa mora biti svestrana da bi se omogućio odgovarajući pristup poslovnim partnerima, konsultantima i zaposlenima. Organizacije moraju da dodele i obezbede različite nivoe mrežnog pristupa na osnovu toga ko je korisnik, koje podatke za identifikaciju koriste, kako se konektuju, koji nivo enkripcije (šifrovanja) koriste u konekciji, vreme itd. Ovo zahteva centralizovanu autentifikaciju mrežnog pristupa i sistem upravljanja polisama (Policy Management System) koji može da podrži zahteve velike mreže.

Remote Authentication Dial-in User Servis (RAIDUS) je postao standard za odrađivanje autentifikacije i upravljanja polisama za mrežni prustp (Network Access Policy).

RADIUS je široko rasprostranjen protokol koji se zasniva na Client-Server modelu. Takav model omogućava centralnu autentifikaciju i autorizaciju.

Originalno izgrađen za Dial-in solucije, RADIUS protokol se razvio i postao standard za upravljanje mrežnog pristupa za VPN, Dial-up i bežične mreže. Uz pažljivu integraciju ovog mrežnog servisa za polise mrežnog pristupa zajedno sa Operating System Identity servisima i implementacijom svestrane podrške za RADIUS procesiranje pravila (Rule Processing), administrator može centralno da upravlja mrežnim pristupom za različite tipove mrežnog pristupa.

RADIUS server prima i procesira zahteve za konekcijama koje šalju RADIUS klijenti i RADIUS Proxy. U slučaju zahteva za konekcijom, RADIUS server procesira listu RADIUS atributa koji se nalaze u zahtevu konekcije (Connection Request). Na osnovu grupe pravila i informacija u bazi podataka korisničkog naloga RADIUS server ili odrađuje proces autentifikacije i autorizuje konekciju i šalje RADIUS klijentu poruku Access-Accept ili šalje RADIUS klijentu poruku Access-reject.

RADIUS klijent može da bude RADIUS Proxy ili Access Server kao što je Dial-up server, VPN Server ili Wireless Access Point. RADIUS klijent prima zahteve za autorizovanje od strane Remote Access klijenata za mrežni pristup i prosleđuje ih ka RADIUS serveru na dalju proveru.

RADIUS Proxy može da se konfiguriše u infrastrukturi koja ima nekoliko RADIUS servera koji imaju dozvole da autorizuju zahteve za pristupom. RADIUS Proxy prima zahteve za autorizaciju (Authorization Requests) od RADIUS klijenta, određuje odgovarajući RADIUS server i prosleđuje zahtev ka tom RADIUS serveru.

 

Šta je IAS

Internet Authentification Service (IAS), komponenta Windows Server 2003, je industrijski standard kompatibilan RADIUS serveru. IAS odrađuje centralnu autentifikaciju, autorizaciju, praćenje (Auditing) i knjigovodstvo VPN konekcija, Dial-up i Wireless konekcija.

Koristeći IAS možemo centralno da upravljamo i kontrolišemo udaljeni i bežićni pristup na našoj mreži i možemo da pratimo statistiku iskorišćenosti. Takođe možemo centralno da upravljamo dozvolama za udaljeni pristup i opcijama u Connection Properties-u.

Ako imamo više od jednog Remote or Wireless Access servera, možemo da izbegnemo administriranje polisa za pristup odvojeno na svim serverima konfiguracijom jednog IAS servera da radi kao RADIUS server i konfiguracijom Remote Access servera da rade kao RADIUS klijenti.

Kada je IAS server član domena aktivnog direktorijuma, IAS koristi direktorijumski servis kao bazu podataka u kojoj se nalaze svi podaci koji se odnose na korisnike. Isti podaci o identitetu (Credentials) se koriste za kontrolu mrežnog pristupa (autentifikacija, autorizacija pristp mreži) i za logovanje u domen aktivnog direktorijuma.

IAS radi zajedno sa uređajima za mrežni pristup koje su proizveli različiti proizvođači. Organizacija koja želi da izgradi intergisani autentifikacijski sistem za sigurnu autentifikaciju korisnika u jednom direktorijumu, nezavisno od metoda pristupa ili uređaja koji korisnik koristi, može da ima niz prednosti ako koristi IAS.

Nakon konfiguracije servera na kom je podignut Routing and Remote Access servis da koristi RADIUS autentifikaciju, polise za udaljeni pristup koje se nalaze na Remote Access serveru više se ne mogu koristiti. Umesto njih se koriste polise za udaljeni pristup koje se nalaze na IAS serveru. Možemo da iskopiramo trenutni set polise za udaljeni pristup na IAS server.

 

Možemo da konfigurišemo IAS da podrži nekoliko različitih poslovnih scenarija:

  • Dial-up Corporate Access: Možemo da konfigurišemo IAS da podrži zaposlene koji se nalaze na nekoj udaljenoj lokaciji da autentifikuju svoje Dial-in konekcije tako da IAS server može da da pristup zaposlenima na osnovu članstva u grupama kojima pripadaju.
  • Extranet Access for Business Partners: Možemo da podesimo IAS da dozvoli našim poslovnim partnerima ograničeni pristup specifičnim resursima na našoj mreži dok u isto vreme štitimo druge resurse od neautorizovanog pristupa.
  • Internet Access: Možemo da konfigurišemo IAS da podrži Customer-Authenticated Dial-up konekcije ka ISP tako da IAS server dodeljuje pristup kupcima na osnovu servis plana za koji se prijavljuju.

 

Kako radi centralizovana autentifikacija

Sledeći koraci opisuju osnovni proces koji Network Access server, RADIUS server i RADIUS klijenti koriste da odrade proces autentifikacije i autorizacije:

  1. Korisnik se konektuje na Network Access Server (Windows kompjuter koji je konfigurisan Routing and Remote Access servisom) koristeći VPN, Dial-up ili Wireless konekciju.
  2. Network Access Server forvarduje zahteve za autentifikacijom ka RADIUS (IAS) serveru. Network Access Server se ponaša kao RADIUS klijent. Ako je provera digitalnog potpisa uspešna, IAS server će postaviti upit domenskom kontroleru.
  3. RADIUS (IAS) server pristupa informacijama u korisničkom nalogu na domenskom kontroleru i proverava podatke koje je udaljeni klijent dao prilikom zahteva konekcije za udaljeni pristup.
  4. Ako su korisnički podaci koji dokazuju njegov identitet autentifikovani, IAS server ocenjuje pokušaj konekcije sa polisama za udaljeni pristup i sa Dial-in Properties informacijama u korisničkom nalogu da bi mogao da donese odluku da li treba da autorizuje zahtev. Ako pokušaj konekcije ispunjava uslove barem jedne polise za udaljeni pristup i u Dial-in Properties-u korisničkog naloga, IAS šalje RADIUS Access-Accept poruku nazad ka Network Access serveru koji je poslao zahtev na autentifikaciju.
  5. Ako pokušaj konekcije nije prošao proces autorizacije i autentifikacije, IAS šalje RADIUS Access-Reject poruku nazad ka Network Access serveru i pokušaj konekcije će biti odbijen.

 

Konfiguracija autentifikacije mrežnog pristupa na IAS serveru

Ako IAS server mora da pristupi aktivnom direktorijumu da bi mogao da izvrši proces autentifikacije korisnika, moramo da autorizujemo IAS server da bismo osigurali da IAS ima potrebne dozvole da pristupi informacijama u aktivnom direktorijumu.

Takođe, moramo da dodamo RADIUS klijente na IAS server. RADIUS klijenti su serveri za udaljeni pristup koji će koristiti IAS server za autentifikaciju i autorizaciju.

 

Autorizacija IAS Servera u aktivnom direktorijumu:

  1. Otvorimo IAS konzolu.
  2. Desni klik na Internet Authentication Service (Local) i nakon toga kliknemo na Register Server in Active Directory.
  3. U Register Internet Authentication Server in Active Directory dijalog boksu kliknemo na OK.

 

Procedura konfigurisanja IAS servera za RADIUS klijente:

  1. Otvorimo IAS konzolu.
  2. U konzolinom drvetu desni klik na RADIUS Clients i nakon toga kliknemo na New RADIUS Client da bismo startovali Add Client Wizard.
  3. Na New RADIUS Client stranici potrebno je odrediti sledeće informacije: Friendly Name; Client Address (IP or DNS).
  4. Na Client Information stranici, odrediti sledeće: Client-Vendor; Request must contain the Message Authenticator attribute; Shared secret.
  5. Kliknemo na Finish

 

Proces konfiguracije Remote Access Servera da koristi IAS za autentifikaciju:

Da bismo konfigurisali Remote Access Server da bude RADIUS klijent, moramo da konfigurišemo Remote Access Server da prosleđuje zahteve za autentifikacijom ka IAS serveru.

  1. Iz Administrative Tools menija otvorimo Routing and Remote Access.
  2. U konzolinom drvetu desni klik na ime kompjutera i kliknemo na Properties.
  3. Na Security kartici u Properties (local) dijalog boksu, u Authentication Provider boksu, selektujemo RADIUS Authentication i nakon toga kliknemo na Configure.
  4. U RADIUS Authentication dijalog boksu kliknemo na Add.
  5. U RADIUS server dijalog boks, u Server Name boksu, upišemo ime IAS servera koje koristimo za RADIUS autentifikaciju.
  6. Ako imamo Shared Secret konfigurisan na IAS serveru, klik na Change da bismo podesili Shared Secret na Remote Access serveru i kliknemo na OK.
  7. U ime kompjutera Properties (local) dijalog boksu kliknemo na OK.
  8. U Routing and Remote Access Warning box kliknemo No da bismo konfigurisali RADIUS Accounting.
  9. U Routing and Remote Access Warning boksu kliknemo na OK.
  10. U sledećem Routing and Remote Access Warning boksu kliknemo na OK.
  11. U Routing and Remote Access konzoli desni klik na ime kompjutera pa zatim klik na All Tasks i kliknemo na Restart.
Dodaj komentar Sviđa mi se - (1) Ne sviđa mi se - (0)    

  • Konfiguracija centralne autentifikacije mrežnog pristupa koristeći IAS (Network Access Authentification) 1
  • Konfiguracija centralne autentifikacije mrežnog pristupa koristeći IAS (Network Access Authentification) 2