RADIUS 认证服务已经应用了几十年,但一直以来 IT 界都在争论 RADIUS 认证是否应该作为用户管理和身份验证的首选服务。从实际情况来看,尽管在今天的技术领域中可以看到各种不同的身份验证协议,RADIUS 认证服务还将继续在新的现代化 IT 场景中占有一席之地。
为了了解 RADIUS 认证服务为何如此重要,本文将首先介绍 RADIUS 认证的基本情况、传统 RADIUS 服务的优缺点以及适合现代云环境的新一代 RADIUS 服务。
1. RADIUS 认证是什么?
RADIUS 是远程访问拨号用户服务的简称,最早由 Livingston Enterprises, Inc. 开发,作为一种网络认证和计费协议。其开发的初衷是为了响应1991年 Merit Network 公司发起的呼吁,即采用一种创新模式管理对网络中各种入网点 (POP) 的拨入访问。
RADIUS 通过客户端/服务器模型来验证和授权用户对网络或网络基础设施的登录。具体来说,客户端会以包的形式发送请求到 RADIUS 服务器进行验证,验证请求包括客户端的用户名、密码、IP 地址和端口,然后在数据库中查询潜在的匹配项。服务器会根据匹配情况返回对访问请求的接受、拒绝或质询操作。
尽管 RADIUS 最初是为了取代专有的拨入服务,实际上却为特定网络上的用户提供集中的网络 AAA 管理,即身份验证(authentication)、授权(authorization)和审计(accounting)。现在,网络AAA 管理的概念已经大幅拓展,涵盖了各种协议和现代网络。不过,传统网络 AAA 管理中的 RADIUS 服务器在本地部署,而基于云的 RADIUS 即服务则与微服务功能类似。
2. RADIUS 认证服务有哪些优缺点?
- 安全性提升:RADIUS 为每个用户提供唯一的身份凭证,消除了密码共享,大大减少了网络攻击威胁。
- 简化密码管理:身份凭证唯一省去了共享密码的定期修改工作,每个人都可以管理自己的密码,节省了密码管理时间。
- 用户和系统集中认证:统一认证、授权和密码管理。
- 优化大型网络管理:对于用户数量巨大的大型网络,RADIUS 可以更轻松地管理用户的访问权限,确保只有授权人员才能访问敏感数据。通过属性对 VLAN 分段是 RADIUS 网络认证的一大特点。
- 加密用户会话:802.1x 协议使用可扩展身份验证协议 (EAP) 框架在两个设备之间传递身份验证数据包。这一框架非常灵活,可以轻松添加到企业现有的网络基础架构。
- 保护 VPN 安全:RADIUS 认证服务不仅可以将用户安全连接到 WiFi 网络,而且还可以配合 VPN 一起使用,灵活支持用户的网络连接。
- 部署轻松:基于云的 RADIUS 服务器由第三方厂商管理。企业 IT 管理员只需将VPN、无线接入点等网络基础设施指向云 RADIUS 服务器端点进行认证,无需本地部署。
- 系统集成:基于云的 RADIUS 解决方案可以与任何现有 IT 系统集成,比传统 RADIUS 认证方案更灵活。
当然,传统的 RADIUS 服务器在现代化的 IT 环境中也遇到不少阻力,主要可以总结为以下几点:
- 初始设置难:IT 管理员很难在现有 IT 环境中实施和集成 RADIUS 认证服务,尤其是存在微软 Active Directory 等本地遗留服务的 IT 环境。
- 本地实施难:RADIUS 本地服务器的运维既困难又耗时,而且长期来看,本地服务器的定期维护和监管会大大增加 IT 管理成本。
- 配置复杂:RADIUS 服务器的配置会因各种协议和兼容性问题变得复杂,即使是最有经验的 IT 管理员也无法简化配置过程。
- 方案选择难:选择适合企业的 RADIUS 服务器方案也不容易。付费方案不仅成本高还需要长期订阅,免费方案又需要大量时间和精力来部署。
3. RADIUS 的未来——基于云的 RADIUS 认证服务
尽管传统的 RADIUS 认证服务仍然有其优势,但基于云的 RADIUS 认证服务不仅继承了传统 RADIUS 认证的功能,更重要的是省去了本地服务器的运维工作。
基于云的 RADIUS 认证服务是身份目录即服务(Directory-as-a-Service, DaaS) 平台的众多特性和功能之一,以 SaaS 模式交付 RADIUS 服务,开箱即用,按需订阅。
此外,DaaS 平台也支持 LDAP、SAML 等多种身份验证协议,作为企业核心身份源可将用户身份与任何类型的 IT 资源打通,包括硬件设备、本地应用或云应用、存储系统或网络设备。其中, RADIUS 认证服务还可结合多因素认证(MFA),共同保障无线网络接入安全。
基于云的 RADIUS 认证服务是 RADIUS 的一项重大创新,帮助企业实现完整的认证功能而无需部署本地服务器,更无需手动管理。