MÉTODOS DE AUTENTICACIÓN

...

mutua, el suplicante que se conecta al servidor verifica primero la identidad del servidor al que posteriormente va enviar sus credenciales.

Autenticación contra bases de datos

Los datos de los usuarios se encuentran almacenados en la BD, así como los atributos de autorización y la información de arqueo de cuentas. De eta manera en muy sencilla a administración, consulta edición o eliminación de estos datos.

Permiten implementaciones de gran tamaño gracias al rendimiento que ofrecen los sistemas SQL. Es Tanto mediante programas obres, comerciales o mediante soluciones a la medida, es más viable la gestión de usuarios y de arqueo, los sea que todos los datos necesario para la completa gestión AAA.

La mayor parte de los servidores RAIUS incluyen soporte para las BD, lo que simplifica a administración de las B necesarias. Se puede realizar copias de seguridad o sistemas redundantes o paralelos de consulta.

Lo más habitual es que el servidor de base de datos sea una o varias máquinas separadas en distintas ubicaciones, en una empresa pequeña se pueden gestionar en la misma máquina que le servicio RADIUS.

En el caso de FreeRADIUS, se dispone de varias consolas gráficas de administración como ARA, DialupAdmini o php RADmin, prefiriendo el último por su facilidad de uso y su potencia media.

Para la gestión de autenticación de un gran número de usuarios la BD es la solución más apropiada, pudiéndose crear scripts automáticos en SQL para su administración. Además de la posibilidad de uso de MD%, SHA1 u otras personalizables para el almacenamiento cifrado de las contraseñas o información importante.

Autenticación contra los servicios de directorio

La Autenticación contra los servicios de directorio como Active Directory mediante Kerbero, LDAP, eDirectory, etc., es apropiado para un determinado esquema de instalación. Probablemente ese esquema consiste es una empresa mediana/grande que pretende autentificar a sus empleados contra sus sistemas internos de gestión de usuario. No es, como en el caso anterior, una empresa como un ISP dedicado a dar accesos innumerables usuario que contratan sus servicios. Autenticando contra servicios de directorio se gestiona de forma común las políticas de acceso y de trabajo para la res corporativa. Para ello, RADIUS efectúa las consultas de autentificación y autorización contra las bases de datos almacenadas en los servidores de directorio como Acive Directory de Microsoft mediante Kerberos, LDAP u otros. Se trata de una íntima colaboración entre RADIUS y los servidores de dominio.

Reautenticación

El proceso de reautenticación de cliente se suele producir cuando un cliente pierde la conexión y necesita volver a autenticarse contra el servidor RADIUS.

También se puede forzar un tiempo de caducidad de la sesión del usuario, a fin de obligar su reautenticación de forma periódica.

En el caso de WiFi, se puede configurar el suplicante, el servidor o el NAS para que se reautentique intervalos de tiempo preestablecidos. Si se programa este tiempo prudente para evitar una gran carga del servidor RADIUS, se fuerza a la renovación de calves de cifrado o re-keying, incrementando así la seguridad. También se puede producir reautenticación por el roaming o la movilidad de un cliente inalámbrico de un AP a otro, aunque algunos fabricantes ya permiten hacer roaming, traspasando al cliente de una célula a una configuración, hasta que alguno de estos módulos reconozca sus algoritmos o las credenciales del usuario.

MULTIPLATAFORMA (GNU-Linux, Windows, Solaris…)

Como es habitual en este tipo de protocolos clásicos, fueron desarrollados en sistemas basados en Unix y algunos posteriormente trasladados a SO basados en Windows. Por tanto los primero servidores vasados en RADIUS fueron complicados para Unix y funcionan perfectamente en GNU/Linux o sistemas similares.

El problema que presentan estas implementaciones OpenSource como FreeRADIUS para algunos administradores es la falta d comodidad en la administración por medio de consolas graficas o GUI.

En el caso de OpenSource como FreeRADIUS, el coste por introducción es el coste de consultoría, formación, implantación, administración y mantenimiento.

AUTENTICACIÓN CONTRA ARCHIVOS DE USUARIO.

La autenticación y autorización contra archivos de usuario es el tipo de clasificación más clásico utilizado por los servidores de autenticación. Se basa en in simple fichero de texto, en el cual se almacenan las credenciales de los usuarios y los parámetros asociados a estos Este método es suficiente para pequeñas instalaciones con un número reducido de usuarios.

AUTENTICACIÓN CONTRA EL SISTEMA OPERATIVO

En este caso, un módulo del servidor de autenticación con los privilegios suficientes es capaz de leer los usuarios y las contraseñas de estos, almacenadas en cualquiera de las formas nativas que utilizaban o utilizan algunos sistemas operativos como Unix, Linux y Windows.