Berichten

Authenticatie: Radius of Tacacs+ ?

microsoft-nps

Je wilt centraal authenticatie doen voor b.v. een router, netwerk device, 802.x, noem maar op. Tuurlijk kan je de Active Directory gebruiken maar dit is niet altijd mogelijk. Niet ieder apparaat ondersteund een LDAP client. Om maar niet te spreken van licenties.

Je zal al snel op Radius of Tacacs+ uitkomen, oké die laatste wat minder snel maar hij zal de revue passeren. Maar wat zijn nou de verschillen, en waarom worden vaak beiden ondersteund en benoemd terwijl de uiteindelijk oplossing hetzelfde resultaat bied. Hieronder zijn de belangrijkste verschillen benoemd:

  • RADIUS gebruik UDP waar TACACS+ TCP gebruikt
  • RADIUS encrypt het wachtwoord alleen tijdens verzenden waar TACACS+ de gehele sessie encrypt
  • RADIUS combineert authenticatie en authorizatie waar TACACS+ deze scheid en apart ook nog accountability anbied
  • RADIUS is is beperkt in toegangs niveau’s (privelege voor de Cisco kenners) waar TACACS+ 15 levels beschikbaar heeft.
  • RADIUS is een open standaard en dus veel meer in gebruik / support en TACACS+ is Cisco eigendom (de Cisco ACS server)
  • RADIUS is lichter en vereist dus minder resources van de hardware van de clients (CPU, MEMORY) waar TACACS+ meer resources vereist.

En wat moet ik nu kiezen? Lees de verschillen, weeg vooral de security niveaus en sessie encryptie af. In de praktijk zal je vrijwel altijd RADIUS kiezen.TIP! Microsoft’s NPS (Network Policy Server) ondersteund dit. Er zit wel een verschil in het aantal clients tussen de Windows 2008 Server Edities.

Sharepoint en authenticatie scherm

Aangezien ik zojuist (weer) de vraag kreeg “ik moet iedere keer mijn naam en wachtwoord ingeven als ik naar onze sharepoint site ga” besloot ik het maar te bloggen.

  • Als je in “internet explorer” zit druk je op “Alt” je zal nu de menu’s zien van IE.
  • Kies voor “Extra”
  • Kies “Beveiliging”
  • Selecteer de zone “Lokaal Intranet”
  •  
  • klik op “Websites”
  • kies “Geavanceerd”
  • voeg hier de url toe, b.v. “sharepoint.domeinnaam.nl
  • kies “Sluiten”
  • kies “Ok”

Sluit het scherm nog niet, maar de website bevind zich volgens Internet Explorer nu op het “lokaal intranet”. Nu gaan we de instellingen dusdanig aanpassen zodat voor de “zone” “lokaal intanet” de gebruikers gegevens automatisch worden verstuurd.

  • Selecter in hetzelfde venster “Lokaal intranet”
  • Kies voor “Aangepast Niveau”
  • Scroll helemaal naar onder naar “Verificatie van Gebruiker”
  • Kies hier voor “Automatisch aanmelden met huidig gebruikersnaam en wachtwoord”.

Log nog een keer op de sharepoint site in, kies voor onthouden wachtwoord, en de sites als wel de documenten daar binnen zijn voortaan te openen zonder allerhande meldingen.

Uiteraard is dit ook via een group policy te regelen, en is hetzelfde truukje werkbaar voor andere “URL’s”.