Ostatnia aktualizacja dnia 1 września 2025
Uwierzytelnianie MFA dla protokołu RADIUS to wielowarstwowe podejście do uwierzytelniania użytkowników serwera RADIUS. Zazwyczaj składa się z dwóch warstw zabezpieczeń, Uwierzytelnianie MFA dla protokołu RADIUS wymaga od użytkownika loginu i hasła jako pierwszego czynnika uwierzytelniania oraz dodatkowej metody uwierzytelniania jako drugiego czynnika. Dodatkowa metoda uwierzytelniania musi być albo czymś, co posiadasz (np. zarejestrowane urządzenie mobilne, klucz bezpieczeństwa FIDO2), albo czymś, kim jesteś (np. odcisk palca lub inne biometryczne dane).
Co to jest RADIUS?
RADIUS (Remote Authentication Dial-In User Service) to protokół sieci komputerowej, który wykorzystuje trzy A. Pierwsze A oznacza uwierzytelnianie (Authentication), drugie A to autoryzacja (Authorization), a ostatnie A odnosi się do rozliczania (Accounting). Skupmy się na pierwszym A i dowiedzmy się, jak protokół i serwer RADIUS działają w ramach wieloskładnikowego uwierzytelniania (MFA).
Protokół RADIUS vs. serwer RADIUS – wyjaśnijmy to!
Kluczowe jest rozróżnienie między protokołem RADIUS a serwerem RADIUS. Protokół RADIUS to protokół przesyłu danych używany podczas komunikacji między serwerem RADIUS a klientem RADIUS. Natomiast serwer RADIUS to proces, który działa w tle na serwerze Windows lub Linux i przechowuje profile użytkowników w bazie danych. Te profile zawierają dane uwierzytelniające użytkownika, takie jak hash hasła.
Innymi słowy, serwer RADIUS albo jest samym dostawcą tożsamości (Identity Provider – IdP), albo jest ściśle związany z dostawcą tożsamości (np. z bazą danych MySQL) i dlatego może być używany jako źródło Twoich danych uwierzytelniających podczas pierwszego kroku uwierzytelniania wieloskładnikowego (MFA). Jednym z najpopularniejszych serwerów RADIUS jest FreeRADIUS.
Analogicznie do serwera RADIUS, klient RADIUS jest jedną ze stron biorących udział w komunikacji, która wykorzystuje protokół RADIUS. Klientem RADIUS jest zazwyczaj serwer dostępu do sieci (Network Access Server – NAS), taki jak wirtualna sieć prywatna (VPN), router lub przełącznik.
Znajomość różnicy między protokołem RADIUS, serwerem i klientem jest istotna, ponieważ łatwo jest pomylić te terminy, co z kolei może prowadzić do większej liczby nieporozumień.
Jak zwiększyć bezpieczeństwo protokołu RADIUS?
Protokół RADIUS nie szyfruje pakietów wysyłanych w komunikacji między klientem a serwerem. Jedynym wyjątkiem jest hasło. Pomimo szyfrowania hasła, bezpieczeństwo protokołu RADIUS opiera się jedynie na bezpieczeństwie jego implementacji. Niestety, nawet przy wzorowej implementacji, jeśli hasło jest jedyną barierą, którą haker musi ominąć, aby włamać się na Twoje konto, możemy uznać, że zhakowanie już nastąpiło.
Ale jest na to sposób. Ten sposób to uwierzytelnianie wieloskładnikowe, czyli uwierzytelnianie MFA. Uwierzytelnianie MFA wprowadza dodatkową warstwę zabezpieczeń do Twoich logowań. Jeśli połączysz swoje hasło z żądaniem uwierzytelniania za pomocą metody uwierzytelniania Powiadomienie mobilne, zwiększysz bezpieczeństwo swojego konta. Jak działa uwierzytelnainie MFA?
Jak działa uwierzytelnianie MFA z protokołem RADIUS?
Aby włączyć uwierzytelnianie MFA na swoich VPNach, musisz użyć usługi Rublon Authentication Proxy. Usługa Rublon Authentication Proxy to lokalny serwer proxy RADIUS.
Gdy włączone jest uwierzytelnianie wieloskładnikowe Rublon MFA, usługa Rublon Authentication Proxy używa protokołu RADIUS do komunikacji z dostawcą usług, takim jak Twój VPN. Aby komunikować się z dostawcą tożsamości, usługa Rublon Authentication Proxy używa albo protokołu RADIUS (jeśli przechowujesz swoich użytkowników na przykład w serwerze FreeRADIUS), albo protokołu LDAP (jeśli przechowujesz swoich użytkowników na przykład w katalogu Active Directory).
1. Użytkownik loguje się do zintegrowanej usługi podając swój login i hasło.
2. Zintegrowana usługa kontaktuje się z usługą Rublon Authentication Proxy za pomocą protokołu RADIUS.
3. Usługa Rublon Authentication Proxy pyta dostawcę tożsamości (albo serwer RADIUS, albo serwer LDAP) czy hasło jest poprawne.
(Pamiętaj, że usługa Rublon Authentication Proxy używa protokołu PAP lub bardziej bezpiecznego typu protokołu CHAP do komunikacji z serwerem RADIUS, natomiast protokół LDAP(S) jest używany do komunikacji z serwerem LDAP.)
4. Jeśli hasło jest poprawne, usługa Rublon Authentication Proxy kontaktuje się z interfejsem Rublon API i prosi interfejs Rublon API o wysłanie żądania uwierzytelniania za pomocą metody Powiadomienie mobilne na telefon użytkownika.
5. Jeśli użytkownik zaakceptuje powiadomienie, zostaje połączony z zintegrowaną usługą.
Czy mogę użyć serwera FreeRADIUS jako dostawcy tożsamości dla moich aplikacji chmurowych?
Tak, możesz! Możesz wdrożyć aplikację Rublon Access Gateway, która jest dedykowanym rozwiązaniem firmy Rublon używanym do integracji z aplikacjami w chmurze. Następnie możesz ustawić swój serwer FreeRADIUS (lub dowolny inny serwer RADIUS) jako dostawcę tożsamości w aplikacji Rublon Access Gateway. Sprawdź stronę Uwierzytelnianie wieloskładnikowe (MFA) dla protokołu SAML, aby uzyskać więcej informacji.
Jak włączyć uwierzytelnianie MFA na moich VPNach i innych usługach kompatybilnych z protokołem RADIUS?
Oto krok po kroku, jak włączyć uwierzytelnianie wieloskładnikowe Rublon MFA dla jednej lub więcej Twoich aplikacji kompatybilnych z protokołem RADIUS:
- Zainstaluj i skonfiguruj usługę Rublon Authentication Proxy.
- Znajdź odpowiednią instrukcję integracji w naszej dokumentacji.
- Postępuj zgodnie z instrukcjami i zintegruj swoją usługę z usługą Rublon Authentication Proxy.
- Powtórz kroki 2 i 3 dla dowolnej liczby usług kompatybilnych z protokołem RADIUS.
