Radius server op DC of dedicated

Ik heb een tijdje met Radius geëxperimenteerd, maar werd niet echt warm van de support tooling. Met name in het Open Source domein. Het bestaat al een miljoen jaar en dat is meteen ook een beetje het nadeel.

Als je omgeving voornamelijk bestaat uit Linux servers met een paar Windows servers dan zou je eens kunnen kijken naar UCS.

Als je omgeving voornamelijk bestaat uit Windows servers met een paar Linux servers zou je eens kunnen kijken naar Centrify Express

De vraag is ook met welke services / servers / appliances je wil kunnen authenticeren via Radius (of een andere oplossing).

Yariva schreef op woensdag 09 maart 2016 @ 09:39:
Hi,

Ik zit wat rond te spelen met Radius, en vroeg mij af wat jullie ervaringen zijn met het implementeren hiervan binnen een AD.

Best security practice lijkt mij dat je er een dedicated box voor neerzet die Radius naar je clienten babbelt en LDAP naar de AD. Echter kan je ook op een Windows server, met DC role, prima een Radius role toevoegen. Lijkt ook mooi te werken.

Wat zijn jullie ervaringen hiermee? Wat gebruik je zelf, wat zie je het liefst etc?

Bij een klant hier gebruiken wij het voor WPA2 Enterprise (Radius via de DC). Tevens loopt er een SMS authenticatie systeem voor VPN via Radius hier (maar wel via een apart systeem : maakt echter wel weer gebruik van NPS)

Wat wil je op gaan lossen met het inzetten van Radius?

Best practise is natuurlijk, zeker met virtualisatie om rollen zoveel mogelijk te scheiden. Hoe meer rollen op een machine, hoe groter de impact kan zijn van een probleem met Rol A wanneer op een server ook Rol X,Y,Z zijn en het probleem met rol A voor downtime zorgt, terwijl bij een rol spreiding van Rol A,Z,Y,X over verschillende machines deze downtime minder impact zou hebben.

Nu zal dit natuurlijk niet altijd lukken, zeker wanneer je (of de klant) niet over Datacenter licentie(s) beschikt. In zulke gevallen probeer ik wel altijd zoveel mogelijk rollen te scheiden, en zeker op Domain controllers zo min mogelijk extra rollen te installeren.

Radius (Vasco) voor o.a. remote inloggen via SSL-VPN staat bij ons dan ook gewoon op een eigen server.

[ Voor 6% gewijzigd door Dennism op 09-03-2016 10:08 ]

Yariva schreef op woensdag 09 maart 2016 @ 10:57:
[...]
Nogmaals, enkel nieuwsgierig naar andere setups en best practices.

Wij gebruiken Radius voor WIFI en VPN toegang,

Je zult zien dat Radius vaak voor dit soort zaken in de praktijk wordt ingezet.

Wij gebruiken overigens Radiator:

https://www.open.com.au/radiator/

Wikipedia: Radiator RADIUS server

Yariva schreef op woensdag 09 maart 2016 @ 10:57:
[...]

Nogmaals, enkel nieuwsgierig naar andere setups en best practices.

Die best practices zijn afhankelijk van waar je Radius voor wil gaan inzetten, vandaar dat ik er even naar vraag.

Er zit nl. verschil in of je Radius wil gaan gebruiken op je interne Wifi of Lan, of voor Radius clients buiten je eigen beschermde netwerkomgeving (externe DMZ bv). In dat laatste geval zou ik er niet voor kiezen om Radius authenticatie requests rechtstreeks naar een interne DC te sturen. In het eerste geval is het nog het overwegen waard.

Vandaar dat het even belangrijk is om te weten waar en hoe je Radius voor in wilt gaan zetten. Op basis daarvan ga je een oplossing verzinnen. Zonder de achtergrond en context te weten is het lastig om een best practise aan te geven.

Zo min mogelijk software op de DC installeren. Ik zie geregeld omgevingen met één of meerdere Server 2003 domain controllers die niet vervangen kunnen worden omdat ze ook CA zijn, licensing server en wat niet meer.

In de omgevingen waar ik mee heb gewerkt zie je toch wel dat (zoals hier boven veel wordt aan gegeven) men zo weinig mogelijk op de DC's wilt installeren.

Voorbeelden die ik kan benoemen zijn het gebruik van RSA-tokens om vanaf buitenaf in te loggen op de IT-omgeving. RADIUS wordt dan geregeld door de RSA-appliance. Verkeer komt in dit geval dus vanuit de externe DMZ.

Ook het gebruik van RADIUS om in te loggen op switches ben ik wel eens tegen gekomen, maar ook in dit geval was er ook een aparte RADIUS-server voor opgezet.

Jazzy schreef op woensdag 09 maart 2016 @ 13:08:
Zo min mogelijk software op de DC installeren. Ik zie geregeld omgevingen met één of meerdere Server 2003 domain controllers die niet vervangen kunnen worden omdat ze ook CA zijn, licensing server en wat niet meer.

Vandaag nog een consultant ( expert in AD migratie ) gesproken voor migratie te doen naar 2012R2 AD en die vroeg ook of ik een CA had draaien op een AD.
Ik zei dat er niks nada op onze AD's draait. Die zei "als je wist wat ik al ben tegengekomen :-)"
Zelf draaien we 2 aparte radius servers voor wifi. Werkt perfect, alleen niet vergeten om via GPO in te stellen dat de lokale certs dienen vernieuwd te worden. Dat was ik dus vergeten :-).

NPS is ook een vrij standaard rol, welke zonder problemen op een domain controller kan draaien. Sterk nog Microsoft adviseert het zelfs voor performance, of in iedergeval zo zicht mogelijk bij een DC/GC.

• To optimize NPS authentication and authorization response times and minimize network traffic, install NPS on a domain controller.
• When universal principal names (UPNs) or Windows Server 2008 and Windows Server 2003 domains are used, NPS uses the global catalog to authenticate users. To minimize the time it takes to do this, install NPS on either a global catalog server or a server that is on the same subnet.

Migreren is ook niet erg lastig voor deze rol, dus dat is ook niet echt een sterk argument

Vanuit architectuur, zou je hiervoor waarschijnlijk een dedicated machine voor willen hebben. En dan eigenlijk weer 2 voor hoog beschikbaarheid.

Het hangt er voornamelijk vanaf, hoe groot is je omgeving, en hoe is je architectuur. Ik ga er dan wel vanuit voor de standaard MS NPS role. Overige radius 3de partij servers zou ik inderdaad wel liever op een andere server draaien. Maar de architectuur is hierin eigenlijk weer leidend. MKB vs Enterprise heeft hele andere eisen aan de infra structuur.

Maar technisch is er niet echt een limitatie om dit te doen.