在验证服务器的实作方面
,
一般会以
RADIUS
的方式来实作
,
有两种实作方式既容易取得
,
设定上也不会太复杂
(
这两种实作方式虽然也经常被应用在
production
的环境中
,
但老话一句
,
应用之前还是要经过详细的规划以及测试
),
分别是
Microsoft IAS
以及开放源码的
FreeRADIUS
。
IAS(Internet Authentication Service)
这是
Microsoft
的网际网路验证服务
,
内建于
Windows 2003 Server(S.E.
以及
E.E.
均有支持
,
只是
S.E.
会有一些限制存在
,
例如在
Windows 2003 Server standard edition
安装
IAS,
此时一台
IAS
服务器仅能支持最大
50
个
RADIUS
用户端
,
也就是
50
个
AP,
然而
,
虽然存在着这样的限制
,
但即使是在一、二百人应用的场合
,
也已经是绰绰有余
),
使用
IAS
最大的好处是可以轻易的与
Microsoft AD(Windows 2000
原生模式或
Windows Server 2003
功能的网域层级
,
预设是混合模式
)
整合在一起
,
只要提供
IAS
的服务器为
AD
的成员服务器
(member server),
就可以很有弹性的授予个别使用者或群组使用权利
(
在实际应用上
,
通常会建立一个群组
,
例如
wireless users,
再将要授予无线网路使用权利的使用者加入到这个群组
)
。当然
IAS
服务器也可以是一台独立服务器
,
只是这种情况下
,
使用者资料是建立于
IAS
服务器上
,
这种模式较适合小规模的应用。
IAS
亦支持
EAP-PEAP
以及
EAP-TLS
这两种
EAP method
。
FreeRADIUS
Linux + FreeRADIUS + OpenSSL
最大的好处是可以大大降低作业系统的授权使用费用
,
甚至于
”
免费
”
使用
,
这也是
open source
最吸引人的地方
,
再加上稳定度、自由度以及越来越人性化的介面
,
这也是为什么越来越多人或公司要舍
Microsoft
而就
Linux
。大部份的
Linux distribution(
例如
RedHat
、
SuSE
、
Fedora)
都已经内含
FreeRADIUS
以及
OpenSSL
的套件
(RPM)
。
FreeRADIUS
扮演的角色就有如
Microsoft IAS Server
的角色
,OpenSSL
则可以利用来发行凭证
(
非必要
,
端视使用那一种
EAP method
而定
)
。同样的
,RADIUS Server
可以利用现有的
LDAP Server(
须搭配相关的
schema
以及
object classes)
上的使用者资讯来进行验证
,
当然
,
也可以由
RADIUS Server
自己来维护一份使用者资讯。
FreeRADIUS
亦支持
EAP-PEAP
以及
EAP-TLS
这两种
EAP method
。