扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:techrepublic.com.com 2006年4月19日
关键字:
在本页阅读全文(共2页)
EAP/TLS
EAP/TLS协议采用了一些更高级的安全认证方法,如:智能卡、Kerberos登陆协议以及数字证书等技术,比上述几种“用户名/密码”的身份验证方式具有更高的安全性。EAP/TLS协 议是RFC 2716文档中所定义的标准。
在EAP/TLS协议的验证模式中,远程访问控制的服务器端充当授权中心的角色,也可以只是一个数据包的检查“关口”,在这里,数据包首先被进行压缩处理,然后再发送给后台的 专门处理身份验证的服务器,如远程用户拨号认证系统(RADIUS)。
RADIUS认证
RADIUS有一个集中控制的认证数据库,除了认证外还可以提供授权和计费功能。授权功能用于准许基于他们身份认证的特殊服务,还可以对特定的用户加以限制。计费功能可以让 用户跟踪网络的使用情况,同时还可以计费、管理和用于安全方面。RADIUS在RFC 2865—2866文档中有详细定义。
拨号远程访问服务器、UPN服务器,以及无线接入点(WAPs)都支持RADIUS。除了以上列举的身份验证协议外,RADIUS还支持无线的受保护的EAP(PEAP)。
微软的RADIUS执行协议是因特网认证服务(IAS)协议,内置在Windows 2000服务器和Windows 服务器2003操作系统中。微软RADIUS系统的属性在RFC 2548文档中有详细定义。因特 网认证服务(IAS)协议整合了活动目录服务,并让使用活动目录服务的用户在远程访问中被信任。
扩展
随着企业规模的扩大,远程访问用户数量也在不断增大。因此,如何管理大量用户的身份验证就成了问题。找到一种跟踪用户远程使用情况的方法对大型企业来说特别有帮助。另 外,随着企业规模的增长,安全会越来越重要。
如果你选择EAP/TLS协议作为你的远程访问身份验证方法,那么,在确保大多数安全远程访问认证的同时,还要确保在网络需要扩展的时候,可以容易的执行RADIUS解决方案。
你可以采用一些远程访问策略来控制用户组,在多域环境中,IAS允许通过使用用户主体名称(UPN)来认证每一个用户。这对于那些网络结构复杂的大型企业尤其适合,因为无论 用户隶属于哪个域,他/她的UPN都一样。
Windows 2003 Server Enterprise Edition的IAS对RADIUS客户端没有数量限制,因此,你可以按照自己的需要来配置RADIUS服务器群的数目。更重要的是,单个的RADIUS服务器可 以同时支持多个远程访问控制服务器,因此,就算你增加了拨号服务器或VPN服务器的数量,甚至是同时增加了两者的数量,这些服务器的用户仍然可以通过RADIUS服务器来进行集 中管理或授权。实际上,身份验证服务器与访问控制服务器是分离的,这样不仅可以分别确保两者的安全性,还比其他的身份验证方法具有更强的可扩展性。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。