進(jìn)入云計算時代后，很多企業(yè)也開始考慮搭建 RADIUS 云服務(wù)器管理云上資源。而且相比傳統(tǒng)的本地服務(wù)器，云服務(wù)器可以大幅減輕 IT 管理員的運維負(fù)擔(dān)。當(dāng)然，RADIUS 云服務(wù)器的優(yōu)勢遠(yuǎn)不止于此，下面就來了解一下企業(yè)選擇部署 RADIUS 服務(wù)器的原因，以及如何在云上搭建 RADIUS 服務(wù)器。

企業(yè)為什么采用RADIUS協(xié)議？

遠(yuǎn)程訪問撥入用戶服務(wù)（RADIUS）是一種用于管控?zé)o線網(wǎng)絡(luò)準(zhǔn)入的協(xié)議。它需要用戶出示一組唯一的憑證進(jìn)行身份認(rèn)證，而不是單純的 WPA 密碼。在運行過程中，RADIUS 服務(wù)器直接和身份源（IdP）等用戶目錄服務(wù)通信，核對完用戶憑證和存儲在服務(wù)器中的用戶身份數(shù)據(jù)后，再授權(quán)該用戶進(jìn)行網(wǎng)絡(luò)訪問。RADIUS 認(rèn)證之所以增強(qiáng)了網(wǎng)絡(luò)安全就是因為在靜態(tài)密碼登錄機(jī)制上增加了基于憑證的身份認(rèn)證環(huán)節(jié)，即便密碼泄露也很難入侵網(wǎng)絡(luò)。

管理員也可以通過 RADIUS 的回復(fù)（reply）屬性使用虛擬局域網(wǎng) (VLAN) 對網(wǎng)絡(luò)訪問進(jìn)行分段，從而更嚴(yán)格地控制企業(yè)網(wǎng)絡(luò)，并根據(jù)用戶的角色、狀態(tài)或部門分配相應(yīng)的訪問權(quán)限。這種網(wǎng)絡(luò)分段方法有利于構(gòu)建零信任安全環(huán)境。除此之外，企業(yè)還可以利用 RADIUS 實施多因素認(rèn)證 (MFA)，這也是保護(hù) VPN 訪問的重要環(huán)節(jié)。

為什么選擇云RADIUS？

傳統(tǒng)的 RADIUS 服務(wù)器一般在本地進(jìn)行部署維護(hù)。和很多本地部署一樣，RADIUS 服務(wù)器的正常運行離不開復(fù)雜的技術(shù)配置和持續(xù)運維。如果核心服務(wù)器發(fā)生故障，還需要另外搭建用于故障轉(zhuǎn)移的服務(wù)器實現(xiàn)冗余。

現(xiàn)在，許多在本地運行的功能如開發(fā)基礎(chǔ)設(shè)施和文件存儲等都遷移到了云上，這些資源都作為服務(wù)提供，用戶可以從任何位置訪問，管理員的運維也更加輕松。在這一背景下，考慮到基礎(chǔ)設(shè)施上云的數(shù)量，搭建 RADIUS 云服務(wù)器也是大勢所趨。

如何搭建基于云的RADIUS服務(wù)器

目前，企業(yè)搭建 RADIUS 云服務(wù)器有以下兩種實現(xiàn)方案：

1）基于云的 FreeRADIUS

FreeRADIUS 是一種開源的 IaaS 解決方案，覆蓋了 RADIUS 服務(wù)器的很多功能，不過大部分都是收費功能。這種方案需要企業(yè)訂閱 IaaS 服務(wù)，并且負(fù)責(zé)服務(wù)器的運維管理。

FreeRADIUS 雖然也搭建了 RADIUS 云服務(wù)器，但其實也有一些和本地服務(wù)器類似的缺點。首先，管理員還是逃不過服務(wù)器的實施、配置和維護(hù)這些繁重的工作。其次，在處理可用性問題和服務(wù)器故障轉(zhuǎn)移時，管理員需要學(xué)習(xí)云計算平臺的相關(guān)知識。

除此之外，還有身份源的問題。上文提到，RADIUS 服務(wù)器需要連接到身份源才能根據(jù)用戶憑證核對用戶的訪問權(quán)限。為此，很多 RADIUS 服務(wù)器都內(nèi)置用戶目錄，但大多數(shù)企業(yè)都依靠現(xiàn)有的本地目錄。

問題在于，本地目錄服務(wù)很難將身份數(shù)據(jù)上云，也就無法支持 RADIUS 云服務(wù)器的身份認(rèn)證功能，最終可能弊大于利。

2）RADIUS 即服務(wù)

RADIUS 即服務(wù)是另一種可供企業(yè)選擇的方案，主要通過在全球范圍內(nèi)預(yù)先實施的 RADIUS 云服務(wù)器網(wǎng)絡(luò)提供認(rèn)證服務(wù)。企業(yè)將無線接入點（WAP）和 VPN 指向云服務(wù)器后，就能立刻對訪問企業(yè)網(wǎng)絡(luò)的用戶進(jìn)行身份認(rèn)證。

RADIUS 即服務(wù)也可以集成云身份目錄NingDS一起使用，幫助現(xiàn)代企業(yè)重構(gòu)本地目錄服務(wù)。兩者集成后，管理員使用 RADIUS 認(rèn)證服務(wù)時無需將 RADIUS 服務(wù)器綁定到企業(yè)現(xiàn)有的身份管理基礎(chǔ)設(shè)施中，實施更簡單。

此外，企業(yè)還可以使用云身份目錄NingDS統(tǒng)一管理用戶對系統(tǒng)、網(wǎng)絡(luò)、應(yīng)用等 IT 資源的訪問，并為所有資源提供身份憑證，實現(xiàn)身份管理上云。