你在这里

Infoblox RADIUS模块

Infoblox RADIUS 模块主要是为网络装置与用户提供可靠且高可用性的认证服务,藉由标准 RADIUS 认证服务与 Infoblox Grid 技术的整合,企业只要简单地在各处使用 Infoblox 设备,即可强化企业提供分散而可靠、安全、无间断的认证服务能力。

802.1X 是网络存取认证的业界标准,是确保有线与无线网络安全的主要元素,同时也提供了全新的安全创新,例如网络存取控管(NAC)。802.1X 包含三个元件:“请求者(the supplicant)” --指的是个人端装置、网络存取装置上的软件,一般是无线存取端点或者是有线的交换器;“认证服务器(authentication server)”-使用 RADIUS 与网络存取装置沟通,透过 802.1X,认证服务器成为网络基础建设中的一个主要元件,假使认证服务器无法运作,或者无法连接上,所有对网络的存取均会被拒绝。为此,网络认证服务必须是用最高等级的可靠性来建构,整体系统的设计必须够强大,并足以抵抗服务器停止运作,或者远端网络存取装置与集中式人员目录之间的 WAN 连结失败。

功能与效益

弹性作业

企业可以将部署在跨 LAN 或 WAN 环境中的个别(或者HA对配)设备,产生弹性化的网格(Grid),当面临个别设备发生故障时,Infoblox Grids 具备极大的弹性,即使 LAN 或 WAN 连接失败,其还是可以继续提供服务,当故障设备替换或者 LAN 或 WAN 重新连接时,会自动对 Infoblox Grid 中的所有设备重新进行同步作业。

Infoblox Grid Connector for Microsoft Active Directory

该应用程式须安装在 Microsoft Windows Server 上,会将存放在 Active Directory 上的使用者身份凭证,复制一份到 Infoblox Grid Master,而 Infoblox Grid Master 会再将数据复制到 Grid 网格中已经启动 RADIUS 模块的设备上。如果 WAN 与远端站点的连接缓慢,远端站点上的设备仍然可以试着存取无线网络来进行使用者的认证,管理者可以定时、周期地设定,让 Grid Connector for Microsoft AD 将异动传送给 Grid Master。

本机用户储存

直接使用 Infoblox Grid Master 上的既有用户来提供 RADIUS 服务,而不一定要连接到 Active Directory 或者 LDAP 服务器上。

Grid 的用户身份复制

在 Infoblox Grid 的所有设备之间,均可以自动且安全地将使用者名称与密码进行同步,以确保数据的一致性以及即时安全性。

PEAP/EAP-MSCHAPv2 与个人端凭证(EAP-TLS)认证

此解决方案支持 Microsoft 内建的 802.1X 认证方式,也就是不需要额外安装个人端软件。

自动支持多种认证方式

RADIUS 模块可以自动支持多种常见的认证方式,包含:PAP, CHAP, MS-CHAP, MS-CHAPv2, EAP-TLS, EAP-MSCHAPv2, EAP-GTC, PEAP/EAP-MSCHAPv2, PEAP/EAP-GTC, EAP-TTLS/EAP-PAP, EAP-TTLS/EAP-CHAP, EAP-TTLS/EAP-MS-CHAP, EAP-TTLS/EAP-MS-CHAPv2, EAP-TTLS/EAP-GTC以及个人端凭证。

HA 与故障复原

RADIUS 模块具有多层级的高可靠性,如果远端站点上的设备无法运作,但是 WAN 的连接还是可通的话,远端站点上的网络存取设备可以自动地藉由集中式 RADIUS Server 而进行故障复原,也就是说,采用 HA 配对部署的设备,将会增加远端站点的可靠性。

产生自签凭证(Self-Signed Certificates)、CSRs 与自动复制凭证

有许多的认证方式需要 RADIUS server 搭配 X.509 凭证,RADIUS 模块可以容易地针对 RADIUS Server 产生一个自签凭证(Self-Signed Certificates),也可以产生 Certificate Signing Requests (CSRs),并且将其传送给凭证管理中心(Certificate Authority, CA) 加以签证,为使用户端认证提供多一层的安全保护。

使用 MAC 位址的认证

有许多企业目前正在布署无线装置(例如:无线 PDA、条码扫描机、POS 系统与 VoIP 电话),但是这些装置并不具备无线网络存取认证所需要的 802.1X 请求者(supplicant),在此些环境之中,可以将这些装置的 MAC 位址加入到 RADIUS Server 的使用者数据库,并将其作为凭证,一旦装置尝试连上网络时,switch 交换器或者无线存取端点将可以使用装置的 MAC 位址与 RADIUS Server 联系。RADIUS Server 将会在使用者数据库中检查该 MAC 位址,如果其在数据库中,则该装置将被授权存取网络。

RADIUS 技术规格

Protocol engine FreeRADIUS 1.1.3
Authentication Methods
  • PAP – Password Authentication Protocol
  • CHAP, MS-CHAP and MS-CHAPv2 – Challenge Handshake Authentication Protocol
  • EAP – Extensible Authentication Protocol for 802.1x port-based authentication EAP-TLS, EAP-MSCHAPv2, EAP-GTC
  • PEAP – Protected Extensible Authentication Protocol for 802.1x port-based authentication PEAP/EAP-GTC, PEAP/ EAP-MSCHAPv2 (authentication method natively supported by Microsoft Windows clients)
  • EAP/TLS – Extensible Authentication Protocol Transport Layer Security, provides mutual authentication, requires client certificates
  • EAP-TTLS/EAP-PAP, EAP-TTLS/EAP-CHAP, EAP-TTLS/EAP-MS-CHAP, EAP-TTLS/EAP-MS-CHAPv2, EAP-TTLS/EAP-MSCHAPv2, EAP-TTLS/EAP-GTC