浅谈IEEE 802.1X/EAP架构(三)

在验证服务器的实作方面 , 一般会以 RADIUS 的方式来实作 , 有两种实作方式既容易取得 , 设定上也不会太复杂 ( 这两种实作方式虽然也经常被应用在 production 的环境中 , 但老话一句 , 应用之前还是要经过详细的规划以及测试 ), 分别是 Microsoft IAS 以及开放源码的 FreeRADIUS

IAS(Internet Authentication Service)

这是 Microsoft 的网际网路验证服务 , 内建于 Windows 2003 Server(S.E. 以及 E.E. 均有支持 , 只是 S.E. 会有一些限制存在 , 例如在 Windows 2003 Server standard edition 安装 IAS, 此时一台 IAS 服务器仅能支持最大 50 RADIUS 用户端 , 也就是 50 AP, 然而 , 虽然存在着这样的限制 , 但即使是在一、二百人应用的场合 , 也已经是绰绰有余 ), 使用 IAS 最大的好处是可以轻易的与 Microsoft AD(Windows 2000 原生模式或 Windows Server 2003 功能的网域层级 , 预设是混合模式 ) 整合在一起 , 只要提供 IAS 的服务器为 AD 的成员服务器 (member server), 就可以很有弹性的授予个别使用者或群组使用权利 ( 在实际应用上 , 通常会建立一个群组 , 例如 wireless users, 再将要授予无线网路使用权利的使用者加入到这个群组 ) 。当然 IAS 服务器也可以是一台独立服务器 , 只是这种情况下 , 使用者资料是建立于 IAS 服务器上 , 这种模式较适合小规模的应用。 IAS 亦支持 EAP-PEAP 以及 EAP-TLS 这两种 EAP method

FreeRADIUS

Linux + FreeRADIUS + OpenSSL 最大的好处是可以大大降低作业系统的授权使用费用 , 甚至于 免费 使用 , 这也是 open source 最吸引人的地方 , 再加上稳定度、自由度以及越来越人性化的介面 , 这也是为什么越来越多人或公司要舍 Microsoft 而就 Linux 。大部份的 Linux distribution( 例如 RedHat SuSE Fedora) 都已经内含 FreeRADIUS 以及 OpenSSL 的套件 (RPM) FreeRADIUS 扮演的角色就有如 Microsoft IAS Server 的角色 ,OpenSSL 则可以利用来发行凭证 ( 非必要 , 端视使用那一种 EAP method 而定 ) 。同样的 ,RADIUS Server 可以利用现有的 LDAP Server( 须搭配相关的 schema 以及 object classes) 上的使用者资讯来进行验证 , 当然 , 也可以由 RADIUS Server 自己来维护一份使用者资讯。 FreeRADIUS 亦支持 EAP-PEAP 以及 EAP-TLS 这两种 EAP method

 

posted on 2007-03-25 01:14 C. H. 阅读(1781) 评论(1)  编辑 收藏 引用 所属分类: WLAN无线乐园

评论

# re: 浅谈IEEE 802.1X/EAP架构(三) 2007-03-26 11:24 firefox

分析的不错  回复  更多评论   

只有注册用户登录后才能发表评论。
<2007年3月>
25262728123
45678910
11121314151617
18192021222324
25262728293031
1234567

导航

统计

公告

我相信-
科技始终来自于人性
科技的目的是要让”不可能”成为”可能”

我来自于台湾
现于江苏省-镇江市落脚
我是C. H.

----------------------------------

MSN: iceliao618@hotmail.com

留言簿(2)

随笔分类(22)

随笔档案(22)

相册

玩转科技时尚-3C数码

搜索

积分与排名

最新评论

阅读排行榜