Para algunos, la comparación entre LDAP y RADIUS quizá no tenga mucho sentido. Pero para otros, existen instancias en donde coinciden las habilidades de cada protocolo —en especial cuando se trata de autentificar varios dispositivos de red.
Con la pandemia llegando casi a su fin, las organizaciones abren sus puertas para dar la bienvenida de nuevo a sus empleados a la oficina y crear ambientes de trabajo híbridos; con ello y teniendo en mente la pregunta emergente de cómo los usuarios finales accederán a los recursos TI, echemos un vistazo a LDAP versus RADIUS.
LDAP versus RADIUS: Similitudes y Diferencias
Tanto LDAP y RADIUS son protocolos que permiten a los usuarios acceder a los recursos TI. Cada protocolo se encuentra disponible como una implementación de fuente abierta, y cada una se encuentra estandarizada con un Internet Engineering Task Force Request for Comments o IETF RFC. Aquí se presenta un link para cada uno: LDAP y RADIUS.
Además, cada solución cuenta con una comunidad rodeándola que le provee un desarrollo adicional, discusión e implementación para mejores prácticas.
En resumen, estos dos protocolos fueron creados para diferentes casos de uso. LDAP se creó principalmente para la autenticación de sistemas y aplicaciones.
RADIUS, por otra parte, se creó inicialmente para condiciones de bajo ancho de banda a través de las redes para autentificar a los usuarios de marcación por medio de módems a servidores remotos por medio de líneas telefónicas. Actualmente, se emplea principalmente para la autenticación de redes y recursos de redes.
LDAP y RADIUS pueden coincidir: LDAP puede ser impulsado para autenticar usuarios para redes OpenVPN de la misma manera que puede RADIUS, por ejemplo.
Además, algunos equipos de redes WiFi permiten la autenticación LDAP en vez de RADIUS. Los administradores de TI e ingenieros DevOps pueden tener una preferencia basada en la configuración de su entorno, procesos de la compañía o experiencia personal.
Pese a estas coincidencias, uno no puede generalmente reemplazar al otro. Por ejemplo, quizá necesite atributos de respuesta de RADIUS para colocar a un usuario dado, o un grupo de usuarios, en el VLAN correcto. Esto no lo puede hacer con LDAP. De igual manera, no usaría RADIUS para autenticar usuarios a servidores LINUX o compartir los atributos de usuario con una aplicación.
Afortunadamente, LDAP y RADIUS trabajan bien en conjunto. Razón por la cual la Plataforma de Directorio de JumpCloud utiliza ambos protocolos para que así usted tenga la habilidad para usar LDAP y RADIUS —todo sin tender a ninguna infraestructura local.
Qué hace LDAP
LDAP, or Lightweight Directory Access Protocol, es un protocolo de autenticación que facilita el acceso a varios recursos TI para los usuarios (aplicaciones, servidores, equipo de red, servidores de archivos y más).
LDAP se utiliza también como un directorio de almacenamiento de información de usuarios, sus atributos y membresías de grupos, entre otros detalles. LDAP permite a los administradores de TI almacenar, acceder, autentificar y modificar aquellos atributos junto con el empleo de aquellos atributos durante el proceso de autenticación.
Una de las acciones más comunes de LDAP es la solicitud de unión. Principalmente, una solicitud de unión es una solicitud de un cliente (enviada a nombre de un usuario) para autenticar en contra de un servidor LDAP, el cual alberga al directorio en sí —la base de datos de los usuarios junto con sus contraseñas, atributos y más.
Finalmente, el proceso de unión es para obtener acceso a un recurso particular —que podría ser un servidor LINUX, una aplicación (tal como Atlassian Jira), un sistema de almacenamiento local como un dispositivo de almacenamiento de red incluido (NAS, por sus siglas en inglés), una red basada en OpenVPN, o un equipo de red inalámbrica entre muchas otras.
Las opciones de implementación comunes de LDAP incluyen:
- OpenLDAP — el dispositivo de recurso abierto más utilizado ampliamente para la implementación LDAP. Al ser una solución de recurso abierto, la descarga del software es gratis, pero el instalarlo en un hardware físico no lo es. OpenLADP resulta extremadamente flexible y puede utilizarse para la autenticación de muchos tipos de recursos, pero en última instancia, todas emplean el protocolo LDAP. Existen muchos otros servidores de recursos abiertos incluyendo el Servidor de Directorio 389, el Directorio Abierto y más.
- Servidor de Directorio Apache — Un OpenLDAP de ramificación con asistencia para Kerberos y herramientas de gestión adicionales integradas.
Compare el Directorio Apache con el OpenLDAP. - Active Directory — Active Directory hace uso de LDAP para la autenticación, pero también utiliza muchos de los propios protocolos de autenticación de propietario de Microsoft con su propia implementación de Kerberos siendo este el más importante. Carece de flexibilidad si se compara con las implementaciones de recursos abiertos cuando se trata de LDAP, pero se usa ampliamente como el servicio de directorio legal local más popular.
- LDAP-como-un-Servicio — Este servicio basado en la cloud de JumpCloud libra a los administradores de TI e ingenieros DevOps de tener que instalar, configurar y mantener servidores LDAP locales. Otorga una autenticación para las aplicaciones, servidores Linux, y redes OpenVPN, entre otros recursos de TI.
Que hace RADIUS
RADIUS, o Remote Access Dial-In User Service, es un protocolo creado para identificar las identidades de los usuarios para redes e infraestructuras de red. Como LDAP, RADIUS tiene una base de datos integrada para almacenar usuarios y atributos, pero a diferencia de LDAP, la mayoría de las implementaciones de RADIUS delegan la verificación de identidad a un servidor de directorio separado.
El caso de uso principal para RADIUS es el de centralizar las autenticaciones para acceder a las redes por medio de WiFi o VPNs así como también de muchos tipos diferentes de equipos de red. Aquellos dispositivos podían incluir puntos de accesos inalámbricos, conmutadores, VPNs, enrutadores y muchos más.
RADIUS funciona tanto como una pieza de software y como un protocolo; RADIUS puede almacenar identidades de usuarios para fines de autenticación, por lo general el trabajo de realmente llevar a cabo esas autenticaciones se le delega al servicio de directorio (principalmente porque RADIUS no es un protocolo popular de autenticación con las aplicaciones y sistemas y podría de esta manera requerir de otro almacenamiento de usuario).
Mientras que RADIUS cuenta con la habilidad de almacenar atributos básicos del usuario, como los nombres de usuario y contraseñas, muchas organizaciones también necesitan de otros atributos en sus ambientes de autenticación de red que por lo general se enfocan en la parte de la red, tales como la ubicación del VLAN y la información “contable”, la cual incluye reportes de actividad de la red —cosas que RADIUS soporta.
Por medio de centralizar las autenticaciones, RADIUS elimina la necesidad de los usuarios de recordar diferentes credenciales para cada recurso de red. Esto mejora la experiencia del usuario, facilita el proceso de abastecer y desabastecer al usuario, y remueve el riesgo de credenciales filtradas para los recursos de la red central mediante el reemplazo de un acceso maestro compartido con los accesos basados en el usuario individual (ya no se necesita más WiFi compartido o credenciales de red VPN pasadas entre los usuarios).
Debido a que RADIUS ha estado aquí por casi tres décadas y funciona con muchos tipos de equipo, ha consolidado su lugar en las TI para otra generación.
RADIUS es común en ambientes con muchos usuarios diferentes y una suma significativa de equipos de red, como ISP, campus de las universidades e infraestructuras de empresas. Las implementaciones comunes de RADIUS —tanto del software como del protocolo— incluyen:
- FreeRADIUS — la implementación local más popular y autodirigida de RADIUS en el mercado. Como sucede con OpenLDAP, mientras que el software es gratis, existen costos asociados con la instalación (la compra de hardware y trabajo de financiamiento).
- Cisco ISE — ISE se trata más de una máquina de políticas que dicta el acceso de la red a través de varios puntos de información. Se integra con el equipo de red Cisco, lo cual puede derivar en ligarse a un proveedor.
- Microsoft NPS — NPS, el servidor RADIUS de Microsoft, se integra estrechamente con el Active Directory. Funciona mejor en ambientes de Windows, anulando algo de la flexibilidad que los administradores de TI obtienen con opciones de recursos abiertos.
- RADIUS-as-a-Service — Así como LDAP-as-a-Service, un servidor RADIUS en la cloud libra a los administradores de TI e ingenieros de DevOps del mantenimiento local. Autentifica a los usuarios de Windows, Mac y Linux a cualquier tipo de infraestructura de red, incluyendo puntos de acceso inalámbrico, conmutadores 802.1x, VPNs y más.
Pruebe JumpCloud Hoy
JumpCloud integra los protocolos LDAP y RADIUS en un directorio integrado basado en la cloud que de manera segura gestiona a sus dispositivos, usuarios, y recursos TI. Regístrese hoy para una prueba gratuita de 30 días.