Källa: FreeRadius | Keycloak |
What is the difference between FreeRADIUS and LDAP?
Ja, det finns stöd för OIDC i detta sammanhang, men det beror på exakt vad du menar med ”stöder”:
- Keycloak som OIDC-provider: Keycloak har inbyggt stöd för OpenID Connect. Det betyder att du kan använda Keycloak för att logga in i webbapplikationer som stöder OIDC, oavsett om du använder RADIUS för nätverket eller inte.
- RADIUS-pluginet och OIDC: Det populära keycloak-radius-plugin stöder en funktion som kallas Radius OIDC password. Detta gör det möjligt för användare att använda OIDC-flöden eller tokens i kombination med RADIUS-autentisering.
- Identity Brokering: Keycloak kan agera som en brygga och låta användare logga in via en annan extern OIDC-leverantör (som Google eller Azure AD). RADIUS-pluginet kan sedan validera dessa användare när de försöker ansluta till nätverket.
Kortfattat: Keycloak är i grunden byggt på OIDC, och det mest använda RADIUS-pluginet är utvecklat för att dra nytta av just dessa moderna protokoll för att erbjuda funktioner som MFA och sessionshantering även för RADIUS-klienter.
Försöker du konfigurera en specifik tjänst (som en VPN eller en Brandvägg) att använda Keycloak via OIDC, eller vill du att RADIUS-klienten ska förstå OIDC-tokens?
Please be aware the FreeRADIUS is an AAA server, and LDAP is a database. This separation of roles means that FreeRADIUS supports multiple kinds of authentication protocols such as PAP , CHAP , MS-CHAP , etc. An LDAP database supports only one authentication method: ”bind as user”.
Keycloak och FreeRADIUS
integreras ofta för att förena modern webbaserad identitetshantering (IAM) med traditionell nätverksautentisering för Wi-Fi, VPN och switchar.
Det finns två huvudsakliga tillvägagångssätt för att få dem att samarbeta:
1. FreeRADIUS som brygga (Proxy)
I detta scenario agerar FreeRADIUS som front-end för nätverksenheter men validerar användaruppgifterna mot Keycloak.
- Metod: FreeRADIUS konfigureras att anropa Keycloak via ett REST-anrop (t.ex. till Keycloaks token-endpoint) eller genom att använda en modul som pam-exec-oauth2för att verifiera användaren via OAuth2/OpenID Connect.
- Fördel: Du kan använda FreeRADIUS fulla kraft för komplexa nätverksprotokoll (som EAP-TLS eller MS-CHAPv2) samtidigt som användardatan centraliseras i Keycloak.
2. Keycloak RADIUS Plugin (Inbyggt stöd)
Det finns tredjeparts-plugins som lägger till RADIUS-funktionalitet direkt i Keycloak-servern, vilket gör en separat FreeRADIUS-installation överflödig i vissa fall.
- Populärt val: keycloak-radius-plugin av vzakharchenko.
- Funktion: Pluginet låter Keycloak lyssna på RADIUS-förfrågningar (UDP-port 1812/1813) och hantera autentisering direkt från sin egen databas.
- Begränsning: Plugin-lösningar stöder ofta inte alla avancerade EAP-metoder som en dedikerad FreeRADIUS-server gör.
Jämförelse
| Funktion | FreeRADIUS + Keycloak | Keycloak Radius Plugin |
|---|---|---|
| Komplexitet | Högre (två servrar att hantera) | Lägre (allt i ett) |
| Protokollstöd | Fullständigt (EAP, MS-CHAP etc.) | Begränsat (främst PAP/MS-CHAPv2) |
| Skalbarhet | Mycket hög för nätverkstrafik | Beroende av Keycloaks prestanda |