第1页:解密六款低成本RADIUS

  你在认证、授权、审计(AAA)的同时,是否需要一个远程用户拨号认证系统(RADIUS:Remote Authentication Dial In User Service)服务呢?你可以为RADIUS花费成百上千的费用,但是你也有一些低成本的替代品可供选择。RADIUS特别适合小机构,把它用在一个单一的目的上,如,实施企业无线网络安全与802.1 X认证。当然,也可用于其他AAA的目的。

网管员的最爱!解密六款低成本RADIUS

  RADIUS系统由RFC2865,RFC2866定义,是目前应用最广泛的AAA协议。RADIUS是一种C/S结构的协议,它的客户端最初就是NAS(Net Access Server)服务器,现在任何运行RADIUS客户端软件的计算机都可以成为RADIUS的客户端。RADIUS协议认证机制灵活,可以采用PAP、 CHAP或者Unix登录认证等多种方式。RADIUS是一种可扩展的协议,它进行的全部工作都是基于Attribute-Length-Value的向量进行的。RADIUS也支持厂商扩充厂家专有属性。

  由于RADIUS协议简单明确,可扩充,因此得到了广泛应用,包括普通电话上网、ADSL上网、小区宽带上网、IP电话、VPDN(Virtual Private Dialup Networks,基于拨号用户的虚拟专用拨号网业务)、移动电话预付费等业务。最近IEEE提出了802.1x标准,这是一种基于端口的标准,用于对无线网络的接入认证,在认证时也采用RADIUS协议。

  如果你正在运行Windows Server,请保证已经启用了RADIUS能力。在使用第三方服务之前,研究一下Windows Server 2003 R2中(或更早些的)互联网认证服务(IAS,Internet Authentication Service)的组成,或者Windows Server 2008和后期的版本中网络政策服务器(Network Policy Server,NPS)的组成。

  对于那些没有一个Windows Server,以及那些需要更多的功能和客户定制的企业来说,下面的九种RADIUS服务或许恰好就是您所需要的解决方案:

  1.FreeRADIUS

  免费的开放源码软件FreeRADIUS是世界上最受欢迎的RADIUS服务之一。FreeRADIUS能设置在旧的桌面塔,可以服务于任何地方的上百个用户,或者它也可以安装在适当的服务器上,以支持多达数百万用户和要求。FreeRADIUS被设计成专门运行于Unix和Linux操作系统以及其他类Unix的服务。你还能在大多数Linux发行版的仓库中找到它,并且可以手动地轻易安装它并且可以在其他大部分操作系统上编译它。

  默认情况下,FreeRADIUS有一个命令行界面,并通过编辑配置文件改变设置,以适用于拥有Unix/Linux经验的IT专业人士。由于是开源软件,岁配置是高度可定制的,你甚至可以改变代码。

  2.FreeRADIUS.net

  FreeRADIUS.net是免费基于FreeRADIUS.net的Windows发行版,被设计工作于Windows XP上。它也可能工作在其他Windows版本上。它提供一个窗口安装,但是它基于FreeRADIUS 1.1.7的旧版本。你也可以手动建立自己的二进制文件,但是你可能被限制到2.0版本。由于这些版本的局限性,FreeRADIUS.net不适合关键网络。但它非常适合于不熟悉Unix或Linux,又想实验一把的新手们。

第2页:网管员最爱的RADIUS

3.TekRADIUS

  TekRADIUS提供一个GUI(图形用户界面)可以运行于Windows上。基本特征是提供免费,可以收买的附加版本。TekRADIUS的企业版(149美元)增加支持EAP-TLS、动态凭证自我签署的PEAP课程,NTLM认证为MS-CHAP认证方法和基于属性匹配的正则表达式。另外,TekRADIUS SP的版本(449美元)附加企业特性提供VoIP帐单。
网管员的最爱!解密六款低成本RADIUS

4.Access Points

  如果你正在为802.1 X认证方案寻找一个RADIUS,进而来实施企业无线网络安全,使得保持一些接入点(APs)有一个嵌入式RADIUS服务器。例如,惠普ProCurve 530。此外,ZyXEL在两张商务舱APs上提供了内置的RADIUS,如NWA-3500、NWA3166 或NWA3160-N。这些RADIUS价格都超过230美元,而且大部门都不想安装和维护自己的服务器。这些云服务之一作为认证服务是针对所有APs的,甚至它们不必拥有相同的型号或品牌。

5.RouterOS

  RouterOS是针对RouterBOARD产品的MikroTik操作系统。它提供了免费的(有限功能)和所有的功能(加45美元)。它包括了一个嵌入式RADIUS服务。因为它提供了所有的主要路由器功能(如防火墙、×××服务和热点网关)甚至可以作为主要的网络路由器。这款操作系统可以作为ISO镜像文件被下载,并且你可以将它烧制在一个CD来启动和安装它。

6.ZeroShell



  ZeroShell是另一个路由器操作系统,但是它是完全免费开源的产品。它也包括了一个内置的RADIUS服务,常见的路由器功能:NAT防火墙、×××等等。ZeroShell同时还提供直接引导的CD,所以它无需安装,只需要简单配置即可。然而,这个项目不是受所有人欢迎的,因为它还处于Beta版,而且它也不是关键网络的最佳选择。

ZeroShell


ZeroShell