Usługa Rublon Authentication Proxy nie musi znajdować się w tej samej sieci co serwer RADIUS/LDAP(S), taki jak FreeRADIUS, Active Directory czy OpenLDAP. Możesz zainstalować usługę Auth Proxy na serwerze w chmurze, takim jak instancja AWS, zlokalizowanym poza prywatną siecią organizacji. Należy jednak wtedy pamiętać o ważnych kwestiach dotyczących konfiguracji i bezpieczeństwa.
Ważne: Usługa Rublon Authentication Proxy wymaga następujących portów do poprawnej komunikacji:
RADIUS: UDP port 1812
LDAP: TCP port 389
LDAPS: TCP port 636
core.rublon.net: TCP port 443
Upewnij się, że porty te nie są blokowane przez zapory lub polityki sieciowe.
Opcje wdrożenia dla Rublon Authentication Proxy
1. Zarówno serwer RADIUS/LDAP(S), jak i serwer Auth Proxy znajdują się w prywatnej sieci firmowej
Usługa Rublon Authentication Proxy może zostać zainstalowana na tym samym komputerze, co serwer VPN lub serwer RADIUS/LDAP(S) lub na innym komputerze w tej samej sieci prywatnej. Taka konfiguracja utrzymuje cały ruch uwierzytelniania wewnątrz bezpiecznej sieci prywatnej, co zmniejsza podatność na zagrożenia zewnętrzne.
2. Jedna usługa znajduje się w prywatnej sieci firmowej, a druga na serwerze w chmurze
Usługę Auth Proxy można również zainstalować na serwerze w chmurze zlokalizowanym poza prywatną siecią organizacji. Należy wtedy odpowiednio skonfigurować dostęp do sieci, aby umożliwić serwerowi RADIUS/LDAP(S) komunikację z serwerem Authentication Proxy przez Internet. Należy się upewnić, że zapory sieciowe nie blokują żadnych połączeń. Taka konfiguracja wymaga zadbania o bezpieczeństwo ze względu na przesyłanie poufnych danych uwierzytelniających przez sieci publiczne. Jeśli korzystasz z serwera RADIUS, zalecamy unikać korzystania z protokołu PAP przez publiczny Internet. Zamiast tego należy użyć bezpieczniejszych protokołów uwierzytelniania, takich jak EAP-MS-CHAPv2 (ustawiając proxy_requests na true w pliku konfiguracyjnym usługi Rublon Authentication Proxy) lub zaimplementować tunele VPN w celu zabezpieczenia połączenia między serwerem RADIUS a usługą Rublon Auth Proxy.
3. Zarówno serwer RADIUS/LDAP(S), jak i usługa Rublon Authentication Proxy są hostowane na serwerze w chmurze
W tym scenariuszu zalecamy użycie wirtualnej chmury prywatnej (VPC) w celu utworzenia bezpiecznej, odizolowanej sieci. Użytkownicy będą łączyć się z usługą lub siecią VPN, która następnie użyje bramy VPC do połączenia się z usługą Rublon Authentication Proxy znajdującą się na serwerze w chmurze. Następnie usługa Auth Proxy połączy się z serwerem RADIUS/LDAP(S).
Przydatne linki
Czy ten artykuł był pomocny?
To wspaniale!
Dziękujemy za opinię
Przepraszamy, że nie udało nam się pomóc!
Dziękujemy za opinię
Wysłano opinię
Doceniamy Twój wysiłek i postaramy się naprawić artykuł