进入云计算时代后,很多企业也开始考虑搭建 RADIUS 云服务器管理云上资源。而且相比传统的本地服务器,云服务器可以大幅减轻 IT 管理员的运维负担。当然,RADIUS 云服务器的优势远不止于此,下面就来了解一下企业选择部署 RADIUS 服务器的原因,以及如何在云上搭建 RADIUS 服务器。
企业为什么采用RADIUS协议?
远程访问拨入用户服务(RADIUS)是一种用于管控无线网络准入的协议。它需要用户出示一组唯一的凭证进行身份认证,而不是单纯的 WPA 密码。在运行过程中,RADIUS 服务器直接和身份源(IdP)等用户目录服务通信,核对完用户凭证和存储在服务器中的用户身份数据后,再授权该用户进行网络访问。RADIUS 认证之所以增强了网络安全就是因为在静态密码登录机制上增加了基于凭证的身份认证环节,即便密码泄露也很难入侵网络。
管理员也可以通过 RADIUS 的回复(reply)属性使用虚拟局域网 (VLAN) 对网络访问进行分段,从而更严格地控制企业网络,并根据用户的角色、状态或部门分配相应的访问权限。这种网络分段方法有利于构建零信任安全环境。除此之外,企业还可以利用 RADIUS 实施多因素认证 (MFA),这也是保护 VPN 访问的重要环节。
为什么选择云RADIUS?
传统的 RADIUS 服务器一般在本地进行部署维护。和很多本地部署一样,RADIUS 服务器的正常运行离不开复杂的技术配置和持续运维。如果核心服务器发生故障,还需要另外搭建用于故障转移的服务器实现冗余。
现在,许多在本地运行的功能如开发基础设施和文件存储等都迁移到了云上,这些资源都作为服务提供,用户可以从任何位置访问,管理员的运维也更加轻松。在这一背景下,考虑到基础设施上云的数量,搭建 RADIUS 云服务器也是大势所趋。
如何搭建基于云的RADIUS服务器
目前,企业搭建 RADIUS 云服务器有以下两种实现方案:
1)基于云的 FreeRADIUS
FreeRADIUS 是一种开源的 IaaS 解决方案,覆盖了 RADIUS 服务器的很多功能,不过大部分都是收费功能。这种方案需要企业订阅 IaaS 服务,并且负责服务器的运维管理。
FreeRADIUS 虽然也搭建了 RADIUS 云服务器,但其实也有一些和本地服务器类似的缺点。首先,管理员还是逃不过服务器的实施、配置和维护这些繁重的工作。其次,在处理可用性问题和服务器故障转移时,管理员需要学习云计算平台的相关知识。
除此之外,还有身份源的问题。上文提到,RADIUS 服务器需要连接到身份源才能根据用户凭证核对用户的访问权限。为此,很多 RADIUS 服务器都内置用户目录,但大多数企业都依靠现有的本地目录。
问题在于,本地目录服务很难将身份数据上云,也就无法支持 RADIUS 云服务器的身份认证功能,最终可能弊大于利。
2)RADIUS 即服务
RADIUS 即服务是另一种可供企业选择的方案,主要通过在全球范围内预先实施的 RADIUS 云服务器网络提供认证服务。企业将无线接入点(WAP)和 VPN 指向云服务器后,就能立刻对访问企业网络的用户进行身份认证。
RADIUS 即服务也可以集成云身份目录NingDS一起使用,帮助现代企业重构本地目录服务。两者集成后,管理员使用 RADIUS 认证服务时无需将 RADIUS 服务器绑定到企业现有的身份管理基础设施中,实施更简单。
此外,企业还可以使用云身份目录NingDS统一管理用户对系统、网络、应用等 IT 资源的访问,并为所有资源提供身份凭证,实现身份管理上云。