RADIUSRADIUS全称为远程身份验证

RADIUS 代表远程身份验证拨入用户服务。它是一种网络协议,用于验证和授权用户访问,包括远程和本地访问。此外,RADIUS 还用于访问网络基础设施。

自推出以来,RADIUS 已被广泛用作网络访问管理的重要工具。本文探讨了 RADIUS 从一开始的演变,以及它在现代 IT 环境中的问题。

1.RADIUS 的来源

RADIUS 协议的故事始于 1987 年,当时美国国家科学基金会 (NSF) 与 Merit Network Inc. 签订合同以扩展现代互联网的前身 NSFnet。

Merit Network Inc. 是一家位于密歇根大学的非营利性公司,它一直在开发一种专有的网络身份验证协议,用于连接密歇根州的所有大学网络。当时,大多数网络专有协议都是排他性的。在此背景下,NSF 签署了一份扩展 NSFnet 的合同,以便向公众开放互联网。

然而,要开放 Internet,Merit 的专有网络必须转换为基于 IP 的 NSFnet 网络。因此,Merit 决定为公司开发一种支持拨号验证的基于 IP 的网络协议,并征求了供应商的建议。其中一家公司 Livingston Enterprises 的提案基本上包含了对当今使用的 RADIUS 协议的描述。最终,Merit 在 1991 年接受了公司的提议,RADIUS 协议诞生了。

2. RADIUS 是如何工作的?

RADIUS 使用客户端/服务器模型来验证用户的网络访问权限。用户的网络访问请求从用户系统或WiFi接入点等客户端发送到RADIUS服务器进行认证。 RADIUS 服务器通常与单个核心身份提供者 (IdP) 数据库(即目录服务)耦合,作为用户身份的来源。虽然 RADIUS 服务器本身可以存储用户身份,但服务器内的身份是锁定的,并非对所有类型的 IT 资源都可用,因此大多数企业不会选择这种方法。

当用户尝试远程访问受 RADIUS 协议保护的网络时,他们通常需要提供与存储在云或本地目录数据库中的用户身份相关联的唯一用户凭据。用户提供的凭据通过请求者(向无线网络发出登录请求的程序)从客户端传输到 RADIUS 服务器。

简单来说,身份验证请求和用户凭据都由请求者从用户设备发送到支持 RADIUS 的网络设备,例如 WiFi 接入点或 VPN。然后这些网络设备将认证请求转发给 RADIUS 服务器进行认证。在 RADIUS 服务器收到身份验证请求和凭据后路由器一直是需要身份验证,它会根据关联的目录服务数据库验证用户凭据。

如果用户凭据与目录数据库中的信息匹配,则服务器将有效授权发送回 RADIUS 客户端以连接到网络。如果不匹配,服务器将发出拒绝访问的通知。如果身份验证成功,RADIUS 服务器也可以将用户置于特定的 VLAN 中或启用多因素身份验证。

3.现代 RADIUS 限制

事实证明,RADIUS 协议可以增强网络安全性和控制力,但问题仍然存在,尤其是对于面向云的新 IT 组织而言。具体来说,RADIUS 需要一个本地身份和访问管理 (IAM) 基础架构,其中包括目录服务器、RADIUS 服务器、路由器、交换机、负载平衡器等,然后才能在本地实施。

实现这一前提可能代价高昂且难以实现。此外,本地 IAM 基础设施主要专注于 Windows 系统,其中 Microsoft Active Directory (AD) 作为核心身份提供者 (IdP)。 AD 还提供基于 RADIUS 的可访问性功能 — 称为 Windows Server Network Policy Server (Windows NPS) 的服务器。

但是,由于 AD 在跨平台和混合云环境中的局限性,许多 IT 组织正在放弃本地 AD 解决方案,而这两种环境都是各种现代 IT 环境和远程工作不可或缺的一部分。

事实上,许多 IT 组织正在采用 AD 替代方案将其本地身份管理基础架构迁移到云端,从而提高敏捷性并降低成本。但这带来了新的问题:IT 组织如何在没有任何本地部署的情况下继续提供 RADIUS 身份验证并保持无线和远程网络的安全?

4.基于云的 RADIUS 身份验证

针对这一新问题,新一代基于云的身份管理解决方案为企业提供基于云的 RADIUS 微服务。宁盾NingDS身份目录云平台基于DaaS身份目录即服务理念,采用云架构为企业提供云RADIUS认证服务。此外,NingDS身份目录云平台的云LDAP服务还可以将AD与云端的应用和基础设施连接起来路由器一直是需要身份验证,让企业更高效地管理本地和远程网络。

借助 NingDS 身份目录云平台,IT 团队可以安全地管理用户并连接到相应的业务系统、应用程序和文件。用户可以通过 RADIUS 协议访问网络,无需考虑平台、协议、制造商和位置。在充分利用IT资源的同时,也有效保障了企业网络安全。

(本文来自宁盾,仅供大家学习参考,未经授权禁止转载和复制。想了解更多身份认证知识,可以去宁盾官网博客解锁更多干货)

© 版权声明
THE END
喜欢就支持一下吧
点赞276 分享
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称表情代码图片