对于已经采用微软 Azure Active Directory(Azure AD 或 AAD)的企业,在决定使用哪些网页应用和 Azure 基础设施之前,可能会先了解 Azure 除了单点登录 (SSO) 以外的其他原生功能。
尽管 Azure AD 覆盖了很多应用场景,但很多人可能并不清楚它是否能通过 RADIUS 协议对用户进行网络认证。下文将告诉你答案。
1. RADIUS 认证是 Azure AD 的原生功能吗?
简单来说,Azure AD 本身并不支持 RADIUS 这种特定的网络认证协议。但是,在企业长期发展与网络安全息息相关的今天,RADIUS 认证的确是维护敏感网络信息安全的重要手段,也因此被视为 IT 基础设施的核心部分。
Azure AD 在将 Active Directory(AD)中的身份桥接到web应用上起了很大作用,但要完成网络认证等任务还是需要其他工具的支持。考虑为 Azure AD 集成 RADIUS 认证的管理员可以参考以下方案。
需要注意的是,微软目前并不支持 Azure 中托管网络策略服务器(NPS)。因此,管理员如果要实现 RADIUS 认证,只能考虑 NPS 以外的其他方案,例如托管的 FreeRADIUS 实例或在 Azure 中手动运行企业自己的 NPS 实例。这些方法只有在集成后才能正常运行,但也是一种可行方案。
2. Azure AD + AD
Azure AD 开发的初衷就是对 AD 的补充,所以并不包含 AD 现有的关键功能,例如组策略对象(GPOs)、系统管理和对 LDAP 的支持。
企业可以选择实施本地 NPS 服务器作为 RADIUS 认证的路径点,连接到本地的 WiFi 无线网络和 VPN。这种方法可能适用于希望将大部分 IT 资源放在微软生态和本地环境中的企业。而对于大多数希望从本地上云的企业来说,可能并不理想。
此外,要实现 Azure AD + AD 的混合环境还需要一定的预算才能实现,涉及的费用包括本地 NPS 服务器的运维、AD 硬件,以及 Azure AD 和 AD 的许可费。
还有一个问题是,本地 NPS 服务器只有运行本地资源才能达到最佳效果,因此很难为部署在 Azure 中的 VPN 或外部数据中心的网络设备提供网络认证支持。如果要对这些资源进行身份验证还需要额外的 VPN 才能将资源连接回本地 NPS 服务器。
3. Azure AD + FreeRADIUS
如果企业想要同时使用基于云的身份管理工具以及 Azure AD 的单点登录(SSO)功能,可以考虑部署私有的 FreeRADIUS 虚拟服务器。
为此,管理员需要为 Azure AD 域服务(AAD DS)中的托管域启用 LDAP安全认证功能。需要重点关注的是,LDAP 服务器的流量在默认情况下没有经过加密,需要管理员手动保护端口,避免暴力破解等网络安全威胁。
在 AAD DS 中启用 LDAP 认证后,管理员必须创建一个虚拟机(VM),目的是在和 Azure AD 域服务相同的虚拟网络中托管 FreeRADIUS 服务器。然后在 FreeRADIUS 中配置 LDAP 安全认证,将 Azure AD DS 作为最终的身份验证源。
这种方法可以帮助部分采用 Azure AD 的企业实现基于云的网络认证,缺点是部署耗时而且几乎全部都要手动实施。此外,如果配置不当,可能成为网络攻击的漏洞,致使企业资产受损。
当然,配置 FreeRADIUS 服务器只解决了身份验证的一部分问题,距离有效管理系统、用户、组、策略以及应用和网络还有很大差距。
4. Azure AD + NingDS
如果企业想寻求可以管理不同 IT 基础架构的纯云解决方案,身份目录即服务(Directory-as-a-Service, DaaS)将是理想的选择。它将目录服务(LDAP)、远程用户拨号认证(RADIUS)、IdP 身份源(SAML 等)这类基础设施云化,提供企业便捷的用户存储、身份验证与管理、IT 资源的连接打通等,不仅可以利用身份桥接工具实现云上、本地身份同步(Azure AD 和 AD、企业微信、飞书、钉钉),还提供单点登录(SSO)、多因素身份认证(MFA)等能力。
此外,DaaS 有着免安装部署、按需付费的优势,有效简化企业 IT 运维管理,节约部署成本。对于目前企业的 IT 架构发展趋势而言,更经济、更安全高效。
(本文来源于宁盾,仅供学习和参考,未经授权禁止转载和复制。如欲了解无线网络认证更多内容,可前往宁盾官网博客解锁更多干货)