|
|
|
|
|
|
|
|
Newsletter 01/07 | rt-solutions.de |
|
|
|
|
|
|
|
|
|
Erweiterungen für
Microsoft IAS
Microsoft
bietet mit dem IAS als Bestandteil des Windows Server 2003 einen einfach
bedienbaren und gut integrierten RADIUS-Server an,
der sich ohne zusätzliche Lizenzkosten nutzen lässt. Damit stellt der IAS eine
solide Grundlage für die Einführung von IEEE 802.1X zur Zugangskontrolle in Firmen-LAN und WLAN dar.
Doch hat
man erst einmal eine funktionierende IEEE 802.1X Infrastruktur implementiert,
kommen schnell weitere Wünsche hinzu. Zum einen ist es wünschenswert, dass Potential
einer 802.1X-Umgebung voll auszuschöpfen, zum anderen ist aus Kostengründen die
Wiederverwendung der RADIUS Server für andere Dienste sinnvoll.
Neben der
gängigen Authentifizierung von im Active Directory erfassten
Benutzern und Geräten sind hier vor allem folgende Szenarien interessant:
·
Integration
von Geräten ohne 802.1X-Unterstützung
Viele Altgeräte – hauptsächlich Drucker –
unterstützen keine 802.1X-Authentifizierung. Solange diese Geräte nicht fläckendeckende 802.1X-Unterstützung mitbringen, ist man
auf eine Übergangslösung angewiesen. Natürlich könnte man die Drucker weiterhin
an ungeschützten Netzwerkzugängen ohne Authentifizierung betreiben, aber dies
unterläuft das ganze Sicherheitskonzept. Auch das mühselige Eintragen von MAC-Adressen für jeden LAN-Port, an dem ein Drucker hängt,
ist fehlerträchtig und bei Umzügen mit viel Aufwand verbunden. Die eleganteste
Lösung ist hier ohne Frage eine zentrale MAC-Authentifizierung
am RADIUS-Server.
·
Anbindung
weiterer Nutzer- und Geräte-Verzeichnisse
Häufig sind nicht alle Geräte oder Benutzer im Active Directory erfasst und gepflegt. Stattdessen wird oft
auf SQL-Datenbanken oder LDAP-Verzeichnisse gesetzt. Dies betrifft vor allem
mobile Geräte (Handheld-Scanner, PDAs), aber auch
Drucker. Häufig wäre eine Integration oder eine Synchronisation mit dem Active Directory aufwändig und komplex. Einfachste Lösung:
der IAS nutzt zusätzlich weitere Datenbanken oder Verzeichnisse zur
Authentifizierung.
·
Nutzung
zusätzlicher Authentifizierungsprotokolle
Die EAP-Standardprotokolle zur
802.1X-Authentifizierung, namentlich EAP-TLS und PEAP, unterstützt sowohl die
Mehrzahl der Clients als auch der IAS selbst problemlos. Für das ein oder
andere Endgerät trifft dies aber nicht zu, trotzdem müssen diese Endgeräte
integriert werden können. Die Nutzung zusätzlicher Protokolle ist dann oft
besser als auf die MAC-Authentifizierung zu setzen.
·
Authentifizierung
und Autorisierung für andere Dienste
Den IAS lediglich als RADIUS-Server
für die 802.1X-Authentifizierung zu nutzen, wäre ökonomisch eine Verschwendung.
Besser, man nutzt ihn gleichzeitig auch für die Authentifizierung und
Autorisierung anderer Dienste, wie z.B. VPN, VoIP und
Web-Server. Natürlich bedarf es hierfür entsprechende Unterstützung für die
notwendigen Protokolle und Verfahren. Ein schönes Beispiel ist der RFC4590 zur Digest-Authentifizierung von http-basierten
Clients (VoIP-Clients, Webbrowser).
·
Zusätzliche
Accounting/Logging-Mechanismen
Der IAS bringt bereits Möglichkeiten mit, um zwecks Accounting und Analyse in Textdateien und SQL-Datenbanken
zu loggen. Es handelt sich allerdings um blockierende Mechanismen, d.h. bei
Nichterreichbarkeit des SQL-Servers oder eines Verzeichnisses (weil z.B. auf
Windows Remote-Share) kommt die Authentifizierung zum
Erliegen. Für richtige Provider ist das natürlich ein schönes Features: wenn
keine Abrechnungsdaten geschrieben können, bekommt der Nutzer keinen Zugang.
Für die Mehrzahl der Unternehmen ist dieses Verhalten aber kontraproduktiv. Nicht-blockierende Mechanismen sind hier wünschenswert. Und
wer gar keine SQL Datenbanken betreiben möchte, weil er bereits auf zentrales Logging mittels Syslog setzt, der
wünscht sich natürlich Syslog-Unterstützung auf
Seiten des IAS.
All diese
„Sonderwünsche“ unterstützt der IAS jedoch nicht oder nur
unzureichend - schade! Also doch auf einen anderen RADIUS-Server
wechseln, und damit Zusatzkosten (Lizenzen, Schulungen, Integration, Support
zusätzlichen RADIUS-Server, …) in Kauf nehmen?
Das muss nicht sein! Denn der IAS ist lernfähig …
Aber wie?
Für die
Realisierung von zusätzlichen IAS-Features bietet
Microsoft ein passendes API. Mit Hilfe dieses API lassen sich eigene
Authentifizierungs- und Autorisierungsverfahren integrieren. Technisch
realisiert wird dies, indem eine passende Erweiterung (sog. IAS Extension) in
Form einer DLL dem IAS bereitgestellt wird. Erweiterungen können je nach Bedarf
Authentifizierung, Autorisierung oder gar beides durchführen.
Am
Beispiel der MAC-Authentifizierung lässt sich dies
gut nachvollziehen. Der IAS reicht die Authentifizierungspakete stets zuerst an
die IAS-Erweiterungen, damit diese die Möglichkeit
haben, ihre eigenen Verfahren zu realisieren. In diesem Falle würde die IAS-Erweiterung also nachschauen, ob es sich überhaupt um
eine MAC-Authentifizierung handelt. Trifft dies nicht
zu, arbeitet die IAS-Erweiterung völlig transparent
und reicht das Datenpaket zur weiteren
Verarbeitung zurück an den IAS. Anderenfalls schaut die Erweiterung nach, ob
die MAC-Adresse gültig ist (beispielsweise anhand vom
Datenbestand einer SQL-Datenbank) und signalisiert dem IAS, ob die Anfrage als
erfolgreich oder ungültig betrachtet wird. Näheres dazu lässt sich auch im MAC Authentication
Whitepaper nachlesen.
Auch in
den Autorisierungsprozess lässt sich eingreifen. Zunächst nimmt der IAS nach
erfolgreicher oder fehlgeschlagener Authentifizierung eine entsprechende
Autorisierung vor (Accept / Reject).
Bevor diese Entscheidung an RADIUS-Clients geschickt
wird, passiert das Paket jedoch die IAS-Erweiterungen.
Die Erweiterung kann somit Einfluss auf die Entscheidungen nehmen, indem
Attribute (z.B. VLAN-Zuweisung,
Hersteller-spezifische Attribute) hinzugefügt werden.
Fazit
Wie man
sieht, ist der IAS eine solide und kostengünstige Grundlage für
Authentifizierung und Autorisierung, vor allem im Bereich 802.1X. Aber es gibt
durchaus Situationen, wo bestimmte Features sehr hilfreich wären. Doch mit
Hilfe passender Erweiterungen nimmt der IAS auch diese Hürde. Es lassen sich
maßgeschneiderte Lösungen entwickeln, die gezielt zusätzliche
Authentifizierungs- und Autorisierungsmechanismen realisieren und damit
deutlichen Mehrwert erreichen.
Über rt-solutions.de
|
||||
|
|
|
|
|
|