RADIUS工作原理及测试RADIUS服务器
过去RADIUS更多地用在远程拨号接入这样的领域,但是在未来的企业网络中,RADIUS将更多被使用在以太网接入、无线局域网接入等领域。选择好的RADIUS将变得更重要。
美 国的一家实验室决定评估企业RADIUS服务器,要求参评的产品不仅支持Microsoft Active Directory和RSA Security SecureID,而且还可以连接多种客户机,即NAS(网络接入服务器)设备,如拨号服务器、VPN集中器、WLAN接入点和防火墙。Cisco、 Funk Software、IEA Software、Interlink Networks和Lucent的产品参加了这个测试。
衡量RADIUS的标准
RADIUS的性能是用户该关注的地方,比如,能接受多少请求以及能处理多少事务。同时,遵循标准,并具备良好的与接入控制设备的互操作性是 RADIUS服务器好坏的重要指标。从测试的情况看,所有的产品都符合RADIUS规范和EAP(扩展认证协议)定义。不过,为了发现所支持的认证机制和 后端认证存储的种类,测试者进行了更深入的研究。在互操作性方面,他们测试了这些服务器与多种RADIUS客户机(包括接入点、VPN和拨号服务器)一起 工作时的情况。他们根据创建用户和工作组配置文件的难易程度以及配置用户专有属性的灵活性,对参评产品的配置管理评分。安全性也是关注的重点。测试者希望 了解服务器在和NAS设备通信的过程中是如何保证安全和完整性的。
另外RADIUS是否能够让管理员实现诸多管理安全特性和策略 是非常重要的一环。为此测试者评估了能够通过RADIUS服务器执行的不同规则,特别将重点放在按用户、用户组或角色实施的时段限制上。测试者还留意了产 品是否支持强制时间配额。这种功能使网络管理员可以限制用户或用户组能够通过RADIUS服务器接入网络多长时间。
大多数参测的 RADIUS服务器都通过ODBC或JDBC,利用SQL Server数据库保存和访问用户配置文件。数据库集成对于处理大量为账户和事件日志采集的数据至关重要。假如网络管理员不能分析和报告数据的话,这些数 据没有任何意义,为此他们测试了用于显示信息、显示信息的动态性以及利用信息可执行什么任务的工具。
除了上述基本特性外,测试者 还对RADIUS服务器的功能进行了测试。他们测评了服务器主动与网络管理系统合作的情况。例如,他们评估了实现电子邮件报警的复杂性。实现电子邮件报警 在Cisco和IEA Software的服务器中十分流畅,但在一些其他设备上就没有那么轻松。测试者还评估了证书请求工具。请求工具可将签名的证书授予发出请求的 RADIUS服务器。具有VoIP账户功能的产品很少,只有Cisco和IEA Software的产品才提供。
测试方法
为了测试RADIUS服务器,测试者搭建了一个近乎真实的测试环境。
测试者将服务器配置为连接多台RADIUS客户机,包括一台Cisco VPN 3000集中器、一台Cisco Aironet 1100接入点和一台Proxim AP-600接入点。他们还使用商用RADIUS测试实用工具(如NAS Simulator和Evolynx RADIUS Load Test)来模拟多个认证请求。这些测试实用工具为测试者提供了检查服务器支持RADIUS客户机的能力和灵活性。