自互联网发展以来,企业内网发生了翻天覆地的变化。以前,用户需要给 PC 电脑插网线才能上网,进入无线网络时代后,用户随时随地都能访问。网络运行方式的变化也很快影响到网络访问的实现和保护。特别是基于 SaaS 的 RADIUS 认证作为云身份认证和访问管理(IAM)的一项功能很大程度上改变了管理员对无线网络准入控制的看法。
1. 企业刚需——网络准入
在有线网络时代,用户只有到办公室才能获得访问权限,所以总体上有线网络的准入控制更容易实现。但在无线WiFi网络普及的今天,在办公室外的一定范围内就能接收 WiFi 信号。这就意味着黑客可以从隔壁办公楼、停车场甚至在公司大厅就能侵入企业内网。这正是大多数管理员最担心的问题。
在有线网络时代,管理员将部署在本地的 Active Directory (AD,活动目录)作为企业的身份管理平台。用户登录的都是连接有线网络的 Windows 设备,登录认证过程也都通过 AD 的域控制器。AD 域控制器不仅允许用户访问 Windows 系统,还允许用户访问任何已授权的 Windows 应用程序和网络。这个过程有点像现在的单点登录。
采用无线 WiFi 网络之后,上述登录流程也不存在了。现在,用户通过共享的 SSID 和密码就能连接到企业的无线网络。这些共享的凭证给管理员带来了极大的安全风险,而企业人员的变动又迫使企业定期更改密码,最终增加了管理员的负担。
2. 使用 DaaS 方案保障网络安全
为解决上述问题,管理员开始寻找无线网络准入控制方法,其中就包括利用 RADIUS 协议将身份认证功能集成到目录服务。这种方法的问题在于高成本和部署难度,管理员需要将 RADIUS 服务器的一端对接无线接入点,另一端接入企业的目录服务。此外还需要配置终端正确使用 RADIUS 协议,为此可能需要在每台机器上安装软件。
全新一体化身份目录即服务 DaaS 平台可有效降低上述方案的部署复杂性和管理成本,同时支持 SaaS RADIUS 认证功能,借助这种 LDAP 目录服务和 RADIUS 远程用户拨号认证服务的无缝集成,帮助管理员提高无线网络基础设施接入的安全性。可以说 DaaS 方案是对云计算时代目录服务的重构。
(本文来源于宁盾,仅供学习和参考,未经授权禁止转载和复制。如欲了解 RADIUS 认证的更多内容,可前往宁盾官网博客解锁更多干货)
