1
Sinn und Vorteil von NPS als Radius-Proxy
Hi,
welchen Sinn erfüllen RADIUS Proxies?
Sehe ich das richtig, dass es hierbei nur um die "Bündelung" des RADIUS-Datenverkehrs geht, jedoch nicht um Zwischenspeicherung und/oder Geschwindigkeit?
Man kann also steuern, dass Anfragen aus bestimmten Netzwerken an den RADIUS Server nur über festgelegte Proxies reinkommen.
Jedoch nicht, dass diese Proxies irgendwas zwischenspeichern, z.B. um für eine begrenzte Zeitspanne die Anmeldungen bekannter User und/oder Clients zwischenzuspeichern (erlaubt oder verweigert), um damit z.B. kurzzeitige Nichtverfügbarkeiten des RADIUS Servers zu kompensieren?
E.
welchen Sinn erfüllen RADIUS Proxies?
Sehe ich das richtig, dass es hierbei nur um die "Bündelung" des RADIUS-Datenverkehrs geht, jedoch nicht um Zwischenspeicherung und/oder Geschwindigkeit?
Man kann also steuern, dass Anfragen aus bestimmten Netzwerken an den RADIUS Server nur über festgelegte Proxies reinkommen.
Jedoch nicht, dass diese Proxies irgendwas zwischenspeichern, z.B. um für eine begrenzte Zeitspanne die Anmeldungen bekannter User und/oder Clients zwischenzuspeichern (erlaubt oder verweigert), um damit z.B. kurzzeitige Nichtverfügbarkeiten des RADIUS Servers zu kompensieren?
E.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 638589
Url: https://administrator.de/contentid/638589
Printed on: April 20, 2024 at 01:04 o'clock
1 Comment
Das beste Beispiel dürfte eduroam sein. Hier hängen ja weltweit Hochschulen dran, die darüber den Zugriff auf das Netzwerk regeln.
Der RADIUS-Proxy leitet einfach entsprechend an die richtige Stelle, also bleibt es an der eigenen Hochschule oder muss die Anfrage nach Peru. Nur der RADIUS-Server, der den Benutzer verwaltet, hat die Benutzerdatenbank. Und da heute Challenge-Response-Verfahren im Einsatz sind, wäre eine Zwischenspeicherung der Anfragen unmöglich bzw. der Proxy müsste sehr viel Vertrauen in die Anfrage haben, da er diese ja nicht zweifelsfrei verifizieren kann.
Ebenso erspart der Proxy die Anlage jedes einzelnen NAS auf den Servern. Sonst müsste man, um beim eduroam-Beispiel zu bleiben, jeden AP, der an irgendeiner Hochschule in Betrieb genommen wird, auf jedem RADIUS-Server einer jeden Hochschule, die bei eduroam teilnehmen, anlegen.
Aber auch teilweise in kleineren Netzen hat man das Problem, dass man in einem NAS nur zwei RADIUS-Server anlegen kann, aber mehrere Benutzerdatenbanken hat (MAC-Filter für die Rechner und EAP für die Benutzer), die man dann nur über einen Proxy für den NAS erreichbar machen kann.
Der RADIUS-Proxy leitet einfach entsprechend an die richtige Stelle, also bleibt es an der eigenen Hochschule oder muss die Anfrage nach Peru. Nur der RADIUS-Server, der den Benutzer verwaltet, hat die Benutzerdatenbank. Und da heute Challenge-Response-Verfahren im Einsatz sind, wäre eine Zwischenspeicherung der Anfragen unmöglich bzw. der Proxy müsste sehr viel Vertrauen in die Anfrage haben, da er diese ja nicht zweifelsfrei verifizieren kann.
Ebenso erspart der Proxy die Anlage jedes einzelnen NAS auf den Servern. Sonst müsste man, um beim eduroam-Beispiel zu bleiben, jeden AP, der an irgendeiner Hochschule in Betrieb genommen wird, auf jedem RADIUS-Server einer jeden Hochschule, die bei eduroam teilnehmen, anlegen.
Aber auch teilweise in kleineren Netzen hat man das Problem, dass man in einem NAS nur zwei RADIUS-Server anlegen kann, aber mehrere Benutzerdatenbanken hat (MAC-Filter für die Rechner und EAP für die Benutzer), die man dann nur über einen Proxy für den NAS erreichbar machen kann.
1
