Một số loại VPN Router (ví dụ Draytek V27xx, V29xx, V33xx hoặc Cisco ASA 5510, 18xx, 28xx, 38xx...) mặc dù đều
cho phép tạo User Profile ngay trên router nhưng có nhược điểm là số lượng người dùng bị giới hạn (thường khoảng
30-100 người dùng) và nhất là gây khó khăn trong việc sử dùng bởi người dùng phải nhớ nhiều loại mật khẩu (mật
khẩu đăng nhập vào VPN Server, mật khẩu đăng nhập vào AD...)
Sử dụng xác thực RADIUS Server, người dùng có thể sử dụng ngay mật khẩu AD để truy xuất từ xa tới và đăng nhập
vào VPN Server trên Router. Hơn nữa, sau khi xác thực với RADIUS Server thành công, người dùng có thể truy cập
được ngay vào các tài nguyên trên mạng nội bộ như các thư mục chia sẻ, máy in... mà không cần phải đăng nhập
lại. Quản trị mạng có thể quản lý và kiểm tra việc sử dụng của từng người dùng thông qua file log (text / MS SQL)
trên RADIUS Server.
Ngoài ra, RADIUS Server còn được sử dụng để cung cấp dịch vụ xác thực người dùng cho nhiều loại Network Access
Server (NAS) khác như Remote Desktop Gateway (xác thực người dùng khi truy cập máy tính từ ra), DHCP Server
(cấp phát IP dựa trên xác thực người dùng)...

Vì sao cần sử dụng RADIUS server để xác thực người dùng?
1. Trong môi trường domain, vì lý do tăng cường mức độ bảo mật ta không muốn join máy
VPN server hoặc ISA server vào domain. Vậy làm sao VPN/ISA server có thể xác thực được
người dùng (user của domain)?
2. Nếu ta sử dụng VPN server hoặc firewall cứng (không phải là máy tính cài Windows để
join domain) thì tương tự như trên làm sao VPN/firewall có thể xác thực được người dùng
(user của domain)?
Vậy để xác thực người dùng ta cần một server trung gian giữa DC và VPN/ISA server
(server này join domain để có thể truy cập được AD).Server này nhận yêu cầu xác thực từ
VPN/ISA server và truy cập AD để xác thực rồi trả kết quả về cho VPN/ISA server. Server
này gọi là RADIUS server.

Bên ngoài Hosted RADIUS server
Nhiều tổ chức có một xác thực người dùng hiện hành hoặc máy chủ thư mục mà họ muốn sử dụng để kiểm soát truy
cập mạng LAN không dây. Các loại máy chủ phổ biến bao gồm LDAP và Active. Bất kỳ loại máy chủ xác thực với
một giao diện RADIUS có thể được tích hợp với một mạng không dây Meraki. MCC cho phép một quản trị viên để
cấu hình các máy chủ RADIUS nhiều để chuyển đổi dự phòng.
Khi một máy chủ RADIUS bên ngoài tổ chức được sử dụng với một trong hai kiểm soát truy cập dựa trên MAC

hoặc WPA2 Enterprise với xác thực 802.1x, AP Meraki phải có khả năng để tiếp cận với máy chủ RADIUS. MCC
cung cấp một công cụ kiểm tra cho phép một quản trị viên để xác minh kết nối của tất cả các AP Meraki đến máy
chủ RADIUS, và để kiểm tra một tập hợp các thông tin người dùng chống lại các máy chủ RADIUS. Các công cụ
kiểm tra xuất hiện dưới tab Configure trên trang Access Control.
Khi một máy chủ RADIUS bên ngoài tổ chức được sử dụng với đăng nhập trên trang splash, một quản trị viên có
thể cấu hình Meraki mạng không dây để sử dụng một máy chủ RADIUS bên ngoài tổ chức để xác thực người


1.
2.
3.
a.
b.
c.
d.
e.
f.
4.
a.
b.
c.
5.

dùng. MCC hoạt động như một trung gian trong cấu hình này để cung cấp (1) kinh nghiệm người dùng một kết thúc
phù hợp (ví dụ, người sử dụng không dây không được trình bày với các trang splash một lần nữa nếu anh ta lại cộng
khác AP) và (2) tính năng kế toán RADIUS.
Nếu trang đăng nhập splash được lưu trữ bởi MCC, cuộc trò chuyện là RADIUS một trao đổi đơn giản giữa các
MCC và RADIUS máy chủ bên ngoài.
Nếu các dấu hiệu trên splash trang bản thân nó là bên ngoài tổ chức, cuộc trò chuyện liên quan đến việc trao đổi
giữa các máy chủ trang splash, MCC, và máy chủ RADIUS. Cụ thể là:

Khách hàng liên kết không dây với mạng không dây Meraki.
Người sử dụng làm cho một yêu cầu ban đầu cho một URL trong trình duyệt web của mình.
AP Meraki chuyển hướng người dùng đến một URL trên máy chủ trang splash. (Quản trị viên cấu hình
URL này trong MCC, dưới tab Configure trên trang Trang Splash) Khi AP Meraki chuyển hướng người dùng đến
máy chủ trang splash, nó bao gồm các thông số sau đây HTTP chuyển hướng HTTP:
continue_url: URL mà người dùng yêu cầu ban đầu. Tham số này có thể được giải thích bởi các
máy chủ trang splash để quyết định nơi người sử dụng nên được chuyển hướng nếu ông xác thực thành công.
LOGIN_URL: URL ở MCC máy chủ trang splash nên gửi một HTTP POST với các thông tin thu
thập được từ người sử dụng (xem Bước 4). Tham số này là chạy thoát để bao gồm các continue_url nhúng bên trong
nó, và không nên được hiểu bởi các máy chủ trang splash.
ap_mac: địa chỉ MAC của AP Meraki mà người sử dụng có liên quan.
ap_name: Tên của AP Meraki mà người dùng có liên quan (nếu cấu hình).
ap_tags: Tags (nếu cấu hình) áp dụng cho AP Meraki mà người sử dụng có liên quan.
mauth: Một chuỗi mờ được sử dụng bởi MCC để xác thực và an ninh.
Splash trang chủ bên ngoài hiện cho người dùng với một hình thức web nắm bắt các thông tin của người sử
dụng và gây ra người sử dụng để gửi một HTTP POST đến MCC, bằng cách sử dụng URL được chỉ định trong
LOGIN_URL (xem Bước 3). HTTP POST này, máy chủ bao gồm các thông số sau:
username: tên người dùng mà người sử dụng không dây cung cấp cho các máy chủ trang splash.
mật khẩu: mật khẩu mà người sử dụng không dây cung cấp cho các máy chủ trang splash.
success_url (tùy chọn): URL mà người dùng không dây được chuyển hướng nếu ông đi qua xác
thực. Các máy chủ trang splash có thể sử dụng tham số này để ghi đè lên continue_url mà người sử dụng yêu cầu
ban đầu.
MCC nhận được HTTP POST từ máy chủ trang splash, và lần lượt, sẽ gửi một RADIUS Access-Request
tới máy chủ RADIUS bên ngoài với tên người dùng và mật khẩu.

6.

Các máy chủ RADIUS xử lý RADIUS Access-Request từ MCC, và đáp ứng với MCC với một RADIUS
Access-Chấp nhận hoặc Access-Reject. Các máy chủ RADIUS có thể tùy chọn các thuộc tính RADIUS với MCC để
thực thi trên người sử dụng không dây.

7.
MCC xử lý các phản hồi từ máy chủ RADIUS và chuyển hướng người dùng không dây cho phù hợp.
a.
Nếu MCC nhận được một thông báo Access-Accept từ máy chủ RADIUS, người sử dụng đã xác
thực thành công. MCC chuyển hướng người dùng đến các URL ban đầu ông đã yêu cầu (continue_url), hoặc URL
được chỉ định bởi các máy chủ trang splash trong success_url (tùy chọn) (xem Bước 4).
b.
Nếu MCC nhận được một thông báo Access-Reject từ máy chủ RADIUS, ng ười s ử dụng
đã không xác thực và được chuyển hướng tr ở lại URL của máy chủ trang splash ( ở b ước 3).
Bởi vì MCC cần liên lạc với một máy chủ RADIUS bên ngoài, MCC phải
có khả năng để tiếp cận với máy chủ RADIUS. Yêu cầu này có thể cần
phải thay đổi tường lửa cho phép các kết nối gửi đến máy chủ
RADIUS. Nếu máy chủ RADIUS trở nên tạm thời không có, khách hàng
không dây hiện có (đã được xác thực) duy trì kết nối, nhưng khách hàng
không dây mới không thể để xác thực để truy cập vào mạng.


RADIUS server
Network Policy Server (NPS) có thể được sử dụng như một máy chủ RADIUS để thực hiện xác thực, ủy
quyền, và kế toán cho các khách hàng RADIUS. Một khách hàng RADIUS có thể là một máy chủ truy cập
mạng hoặc một proxy RADIUS.Khi NPS được sử dụng như một máy chủ RADIUS, nó cung cấp những điều
sau đây:
•
Một trung tâm xác thực và dịch vụ ủy quyền cho tất cả các yêu cầu truy cập được gửi bởi máy
khách RADIUS.
NPS sử dụng một Microsoft ® Windows NT ® Server 4.0 domain, một Active Directory ® miền,
hoặc Security Accounts Manager (SAM) tài khoản người dùng cơ sở dữ liệu để xác thực thông tin
người dùng cho các cố gắng kết nối. NPS sử dụng dial-thuộc tính của tài khoản người dùng và
chính sách mạng cho phép một kết nối.
•


Kế toán ghi trung tâm dịch vụ cho tất cả các yêu cầu kế toán được gửi bởi máy khách RADIUS.
Yêu cầu kế toán được lưu trữ trong một tập tin log địa phương hoặc Microsoft ® SQL ™ cơ sở dữ
liệu để phân tích.

Hình minh họa sau đây cho thấy NPS như một máy chủ RADIUS cho một loạt các khách hàng truy cập, và
cũng cho thấy một RADIUS proxy. NPS sử dụng một Directory domain ® đăng nhập để xác thực thông tin
người dùng của RADIUS đến tin nhắn Access-Request.

Khi NPS được sử dụng như một máy chủ RADIUS, tin nhắn RADIUS cung cấp xác thực, uỷ quyền, và kế
toán cho các kết nối truy cập mạng theo cách sau:


1. Máy chủ truy cập, chẳng hạn như dial-up máy chủ truy cập mạng, máy chủ VPN, và các điểm truy
cập không dây, nhận được yêu cầu kết nối từ các khách hàng truy cập.

2. Các máy chủ truy cập, cấu hình để sử dụng RADIUS xác thực, ủy quyền, và giao thức kế toán, tạo
ra một thông báo Access-Request và gửi nó đến máy chủ NPS.

3. Các máy chủ NPS đánh giá được thông báo Access-Request.
4. Nếu có yêu cầu, máy chủ NPS gửi một thông báo Access-Challenge đến máy chủ truy cập. Các
máy chủ truy cập xử lý các thách thức và gửi một yêu cầu truy cập được cập nhật cho các máy
chủ NPS.

5. Các thông tin người dùng được kiểm tra và dial-in thuộc tính của tài khoản người dùng được thu
được bằng cách sử dụng một kết nối an toàn với một bộ điều khiển miền.

6. Nỗ lực kết nối được ủy quyền với cả dial-in thuộc tính của tài khoản người dùng và chính sách
mạng.


7. Nếu nỗ lực kết nối được cả hai xác thực và ủy quyền, máy chủ NPS gửi một thông báo AccessAccept đến máy chủ truy cập.
Nếu nỗ lực kết nối hoặc không xác nhận hoặc không được uỷ quyền, máy chủ NPS gửi một thông
báo Access-Reject đến máy chủ truy cập.

8. Các máy chủ truy cập hoàn tất quá trình kết nối với các khách hàng truy cập và gửi một thông
báo Accounting-Request máy chủ NPS, nơi mà tin nhắn được đăng nhập.

9. Các máy chủ NPS sẽ gửi một kế toán đáp ứng đến máy chủ truy cập.

Ghi
Các máy chủ truy cập cũng sẽ gửi tin nhắn Accounting-Request trong thời gian mà kết nối được thiết lập, khi kết nối
truy cập của khách hàng được đóng lại, và khi các máy chủ truy cập được bắt đầu và dừng lại.
Bạn có thể sử dụng NPS như một máy chủ RADIUS khi:
•
Bạn đang sử dụng Windows NT Server 4.0 domain, một miền Active mục, hoặc cơ sở dữ liệu SAM
tài khoản người dùng địa phương như cơ sở dữ liệu tài khoản người dùng của bạn cho khách hàng
truy cập.
•

Bạn đang sử dụng định tuyến và truy cập từ xa trên nhiều dial-up máy chủ, máy chủ VPN, hoặc
các thiết bị định tuyến demand-dial và bạn muốn tập trung cả hai cấu hình các chính sách mạng và
kết nối đăng nhập kế toán.

•

Bạn đang gia công phần mềm dial-up, VPN, hoặc truy cập không dây cho một nhà cung cấp dịch
vụ. Các máy chủ truy cập sử dụng RADIUS để xác thực và ủy quyền cho các kết nối được thực hiện
bởi các thành viên của tổ chức của bạn.



•

Bạn muốn tập trung xác thực, ủy quyền, và kế toán cho một tập hợp không đồng nhất của các
máy chủ truy cập.

Ghi
Trong Internet Authentication Service (IAS) trong Windows Server ® 2003 hệ thống điều hành, chính sách mạng được
gọi là chính sách truy cập từ xa.

Từ xa xác thực Dial-Người dùng dịch vụ (RADIUS) máy chủ được phổ biến trong các mạng doanh
nghiệp để cung cấp tập trung xác thực, uỷ quyền và kế toán (AAA) để kiểm soát truy cập. Tuy nhiên,
các máy chủ RADIUS cũng có thể có ích trong các mạng vừa và nhỏ để cho phép xác thực 802.1X
và bảo mật WPA2 (802.11i) cho mạng lưới Wi-Fi.
Chúng tôi đã thử nghiệm bốn máy chủ RADIUS mà các doanh nghiệp nhỏ hơn có thể xem xét:
Elektron, ClearBox, Microsoft Network Policy Server từ Windows Server 2008 R2, và FreeRADIUS.
Chúng tôi đo dễ dàng chất lượng, lắp đặt và cấu hình của tài liệu hướng dẫn và khả năng tùy chỉnh
cấu hình. Tất cả các nhà cung cấp ghi bàn, với ClearBox trên đầu trang và Elektron cận thứ hai,
FreeRADIUS và Windows Server NPS buộc thứ ba.
Elektron ($ 750) là một entry-level và thân thiện với người sử dụng máy chủ. ClearBox (599 $) là
một lựa chọn tuyệt vời cho các mạng nhỏ, nhưng nó cũng có quy mô mạng lưới lớn hơn.Microsoft
Windows Server 2008 R2 NPS có thể được đưa ra cho các tổ chức đã được chạy một Windows
Server, miễn là họ không cần tất cả các tính năng tiên tiến và hỗ trợ cơ sở dữ liệu. Và FreeRADIUS
( mã nguồn mở ) là một sự lựa chọn vững chắc và kinh tế để quản trị viên Unix / Linux cung cấp các
tuỳ biến và tính linh hoạt.

Dưới đây là những đánh giá cá nhân:
Elektron
Các máy chủ RADIUS Elektron từ Periodik Labs là một Windows giao diện dựa trên máy chủ đó là
mục tiêu hướng tới xác thực không dây cho các mạng vừa và nhỏ, nhưng hỗ trợ các mục đích khác



AAA cũng. Nó được cung cấp như là một 30-ngày dùng thử miễn phí và sau đó chi phí $ 750 cho
một giấy phép máy chủ duy nhất.
Elektron có thể chạy trên Windows XP Pro, Vista, Windows 7 và Windows Server 2003 và
2008. Ngoài ra còn có một phiên bản Mac OS X chạy trên 10,5 hoặc sau này hoặc với bộ vi xử lý
Intel Core Duo hoặc bộ xử lý tốt hơn. Cả hai yêu cầu ít nhất 512MB bộ nhớ và 20MB không gian đĩa
miễn phí.
Elektron hỗ trợ các phương pháp xác thực sau đây: PEAP, TTLS, EAP-FAST, EAP-TLS, LEAP, PAP,
CHAP, MS-CHAP, MS-CHAPv2, EAP-MS-CHAPv2, EAP-MD5, EAP-GTC, và EAP- OTP. Nó cũng hỗ
trợ các cơ sở dữ liệu cho các dữ liệu tài khoản người dùng sau đây: nội bộ cơ sở dữ liệu (cấu hình
thông qua giao diện được gọi là Tài khoản Elektron), các tài khoản Windows, Mac OS X Directory
Services, Active Directory và thư mục LDAP khác, SQL và các nguồn ODBC dữ liệu khác tuân thủ,
từ xa RADIUS máy chủ và Script.
Chúng tôi đã thử nghiệm Elektron Phiên bản 2.2 trong Windows Server 2008 R2 trên một máy ảo
VMware. Việc cài đặt rất đơn giản và chỉ mất khoảng một phút. Nó sử dụng một trình cài đặt
Windows điển hình và không nhắc chúng tôi cho bất kỳ cài đặt liên quan đến máy chủ.
Ngay sau khi cài đặt, chúng tôi tìm thấy một Setup Wizard để cấu hình Elektron để xác thực không
dây. Nó nhắc nhở chúng tôi tạo ra một mật khẩu (chia sẻ bí mật) cho một điểm truy cập không dây
(RADIUS client) và giúp cấu hình / tạo ra một chứng chỉ máy chủ. Thuật sĩ là hữu ích, nhưng có thể
được cải thiện bằng cách cho phép bạn nhập mật khẩu cho các điểm truy cập cá nhân hơn là tạo ra
một nhận tất cả mục nhập cho bất kỳ điểm truy cập, mà là một phương pháp kém an toàn hơn.
Sau khi dùng Setup Wizard, chúng ta bị bỏ lại trong bóng tối như bước tiếp theo của chúng tôi. Vì
chúng ta đang kinh nghiệm với quá trình RADIUS, chúng tôi biết chúng tôi phải cấu hình các nhà
cung cấp xác thực (chúng tôi sử dụng cơ sở dữ liệu nội bộ) và thông tin tài khoản người dùng đầu
vào (chúng tôi tạo ra một người dùng trên trang Tài khoản Elektron).Tuy nhiên, những người không
quen thuộc với RADIUS có thể bị nhầm lẫn bởi vì thuật sĩ này không bao gồm điều này và phần
Getting Started trong tài liệu hướng dẫn bỏ qua nó như là tốt. Tuy nhiên, sau khi cấu hình điểm truy
cập không dây của chúng tôi với WPA2-Enterprise, chúng tôi đã có thể để xác thực thông qua Nghị
định thư Protected Extensible Authentication (PEAP).