对于Wi-Fi安全低成本的RADIUS服务器

远程身份验证拨入用户服务（RADIUS）服务器是在企业网络中常见的报价集中认证，授权和计费（AAA）进行访问控制。但是，RADIUS服务器，也可以在中小型网络的有用启用的Wi-Fi网802.1X身份验证和WPA2（802.11i标准）的安全性。

我们测试了四个小型企业可能会考虑的RADIUS服务器：Elektron、ClearBox、微软的网络策略服务器从视窗服务器2008 R2和FreeRADIUS。

我们测量易于安装和配置，文档的质量和能力来定制配置。所有供应商的得分也不错，与ClearBox顶部和ELEKTRON紧随其后，和FreeRADIUS的和Windows Server NPS绑第三。

Elektron（$750）是一个不错的入门级和用户友好的服务器。ClearBox（$599）对于小型网络来说是个不错的选择，但它也可以扩展到更大的网络。微软WindowsServer2008R2 NPS很可能是已经运行Windows服务器的组织的既定目标，只要他们不需要所有的高级功能和数据库支持。和自由半径(开源）是用于Unix固体和经济的选择/Linux的管理员有提供最定制和灵活性。

以下是个别评论:

电子管

从Periodik实验室的ELEKTRON RADIUS服务器是已定位向基于Windows GUI服务器无线认证为中小型网络，但支持其他AAA的目的也是如此。它提供了一个30天的免费试用，然后花费$ 750一台服务器许可证。

Elektron可以在Windows XP Pro、Vista、Windows 7和Windows Server 2003和2008上运行。还有一个Mac OS X版本，运行在10.5或更高版本上，或者使用Intel Core Duo或更好的处理器。至少需要512MB的磁盘空间和2MB的可用空间。

ELEKTRON支持以下认证方法：PEAP，TTLS，EAP-FAST，EAP-TLS，LEAP，PAP，CHAP，MS-CHAP，MS-CHAPv2时，EAP-MS-CHAPv2时，EAP-MD5，EAP-GTC和EAP-OTP。它还支持用户帐户数据的以下数据库：内部数据库，Windows帐户，Mac OS X的目录服务，Active Directory和其他LDAP目录，SQL等ODBC兼容的数据源，远程RADIUS（通过一个叫做ELEKTRON账户的GUI配置）服务器和脚本。

我们在一个VMware虚拟机上测试了windowsserver2008r2中的Elektron版本2.2。安装非常简单，只花了一分钟。它使用典型的Windows安装程序，没有提示我们输入任何与服务器相关的设置。

安装完成后，我们立即找到了一个安装向导来帮助配置Elektron进行无线身份验证。它提示我们为无线接入点（RADIUS客户端）创建一个密码（共享秘密），并帮助配置/创建服务器证书。该向导很有帮助，但是可以通过允许您为单个访问点输入密码而不是为任何访问点创建一个“一网打尽”的条目来改进，这是一种不太安全的方法。

使用向导，我们留在黑暗中的设置为我们的下一个步骤之后。由于我们与RADIUS过程中经历，我们知道我们必须配置认证供应商（我们使用的是内部数据库），并输入用户帐户信息（我们创建了ELEKTRON帐户页面上的用户）。但那些不熟悉RADIUS可能会搞不清楚，因为向导不包括本和文档中的入门章节跳过它。然而，我们的配置与WPA2企业无线接入点后，我们能够通过受保护的可扩展身份验证协议（PEAP）进行身份验证。

在回顾身份验证设置，我们发现，我们可以根据自己的域或接入点组中添加多个身份验证提供与动态分配用户给他们，以支持从输入用户名剥离域。我们还发现了MAC地址认证，它们虽然不是最安全的方法，可用于不支持802.1X安全或ELEKTRON支持其他协议的认证设备支持。另一个显着特点是阻止多次失败的尝试输入密码后登录的能力。

Elektron中的身份验证设置

在授权设置，我们可以创建自定义策略。我们可以拒绝连接，将用户分配到虚拟局域网，并附上自定义RADIUS属性响应或执行基于各种触发脚本：登录时间，用户名，用户组，接入点组，媒体访问控制地址组或脚本的结果。这些提供的授权功能SMB网络通常需要，但不提供完整的定制能力大于或服务供应商网络可能需要。

在财务部分，我们发现基本的访问和错误日​​志，只有在GUI可见和不能够被发送到数据库。我们与事件处理功能，可以让您轻松实现像登录，登录失败，密码锁定和错误事件的通知留下了深刻印象。

在主服务器设置中，Elektron支持远程管理，因此您可以从其他PC机管理服务器，并在需要设置备份服务器时进行服务器复制。

总体而言，ELEKTRON是一个坚实的，有吸引力和用户友好的服务器。尽管文档中的入门部分有待改进，通常它是信息和有用的，应该是那些与RADIUS经验不足的理解。ELEKTRON是为中小型网络的理想选择。

ClearBox企业RADIUS服务器

从XPerience技术ClearBox企业RADIUS服务器是一个基于Windows的RADIUS服务器，可满足小型企业的需求，AAA，甚至大型网络与数百万用户，据该公司。像ELEKTRON RADIUS服务器，ClearBox是一个基于GUI的程序。该公司提供30天的免费试用，然后收取$ 599一个服务器许可证。

ClearBox可以达到Windows 7和Windows Server 2008 R2上从Windows 2000中的任何Windows平台上运行。它只需要一个Pentium II或更高的处理器，256MB以上的内存，以及至少16.6MB可用磁盘空间的完全安装。

ClearBox支持以下认证方法：PEAP，EAP-TLS，PAP，CHAP，MS-CHAP，MS-CHAPv2时，EAP-MS-CHAPv2时，EAP-MD5，SIP和ARAP。ClearBox允许使用的并发数据源和支持：内部数据库（通过GUI称为用户管理配置），Windows帐户，Active Directory和其他LDAP目录，SQL等ODBC和OLE DB兼容的数据源和远程RADIUS服务器。

我们测试使用ClearBox 5.7版，在3月发布的Windows Server 2008 R2的VMware虚拟机上。安装简单，只用了不到两分钟。它采用了典型的Windows安装程序，并只提示您输入三台服务器的相关设置：模式（正常或调试），控制中心密码，你是否要启用无线身份验证。

安装完成后，ClearBox手册默认设置为自动显示。我们发现文档非常详尽，但很快发现了一些细微的不一致。例如，提到的一些按钮名称与GUI上的不同，安装后测试服务器的说明不完整。尽管如此，我们还是能够为PEAP无线身份验证快速配置ClearBox，包括通过证书向导创建服务器证书。

我们还尝试了配置向导，帮助那些在RADIUS方面经验不足的人理解和设置基本设置：添加RADIUS客户端和选择用户数据库。这是一个信息丰富、易于使用的向导。

配置我们的无线接入点与WPA2-Enterprise和通过PEAP验证成功后，我们周围戳先进ClearBox设置。我们发现它支持多个领域，因此传入的请求可以通过一组不同的认证，授权和基于用户名帐户设置客户端IP，RADIUS属性，Windows组成员或自定义SQL结果的处理。此外，它支持用户名重写的情况下，你需要处理而不域名的请求。

授权设置总是可以使用任何RADIUS属性和值在黑色、检查、响应和拒绝响应列表中手动创建。但是，如果您使用的是ClearBox内部用户数据库，授权设置也可以通过用户管理器进行配置，其中包括强制登录小时数、设置时间信用、设置每个用户并发会话限制以及限制使用其MAC地址登录特定客户机的设置。

在记帐设置中，我们可以将记帐详细信息记录到内部数据库、外部数据库或文件中。有趣的是，它还包括在数据库不可用时缓存会计数据的能力。尽管在GUI中没有指明，ClearBox还支持第三方计费系统，包括DTH计费和客户管理、高级ISP计费和Platypus计费系统。

其他记录功能还包括一个服务器统计信息页面，查看发送和接收，在线记录页面，查看服务器的错误和RADIUS报文的实时活动和文本文件记录数据包类型的破败。

在主服务器设置，ClearBox支持远程管理，如果你想建立一个备份服务器服务器复制，先进的RADIUS设置和高级日志记录设置。而另一个显着特点是，使监测和报警，可以自动重新启动服务器，如果ClearBox停止响应，发送电子邮件警报的能力。

总体ClearBox是功能丰富且易于使用。其完整的文档和帮助（虽然需要一些更新）和内部用户数据库，使其方便用户进行小型机构可能缺乏经验RADIUS。而它的定制和广泛的数据库支持允许大型企业或服务供应商以及使用。域和RADIUS客户端可以即使使用SQL查询，和数据用户帐户，授权，记账和记录可以存储在外部数据库以及动态地选择的。

Microsoft Windows Server 2008 R2 NPS

微软的Windows服务器平台提供了一个RADIUS服务器，对于那些已经在运行一个经济的选择（或计划运行）在Windows Server。与Windows Server 2008开始，微软提供的网络策略服务器（NPS）角色的RADIUS服务，而以前这是由Internet验证服务（IAS）角色提供。像大多数其他Windows Server角色，NPS配置是基于GUI。

NPS根据Windows Server 2008或2008 R2的版本提供不同的功能。Web服务器版本是唯一不包含NPS角色/特性的版本。标准版支持最多50个RADIUS客户端(访问点)和最多两个remote RADIUS服务器组。可以使用完全限定的域名或IP地址来定义RADIUS客户机，但不能通过指定IP地址范围来定义RADIUS客户机组。企业和数据中心版本允许无限数量的RADIUS客户端和远程RADIUS服务器组，并允许通过IP地址范围定义RADIUS客户端，除了域名或单个IP。

NPS支持基本的共同的认证协议：PEAP，EAP-TLS，PAP，SPAP，CHAP，MD5，MS-CHAP，MS-CHAPv2的和EAP-MD5。此外，微软允许对NPS其他供应商的EAP方法插件。RSA的一次性口令（OTP）方法是这样的一个例子。

对于身份验证NPS仅允许该用户帐户数据库的使用Active Directory中，除了能够代理请求进行处理其他RADIUS服务器。RADIUS计费，你可以写在Microsoft SQL Server数据库的文本文件和/或存储。

我们评估了NPS在Windows Server 2008 R2的VMware虚拟机上。使NPS之前，我们进行的Windows Server的初始配置和设置Active Directory域。然后，我们使用了帮助和支持文档Wi​​ndows中关于如何配置NPS为802.1X，我们发现了完整的，彻底的，有针对性的对管理员的信息。接下来，我们花了大约启用证书服务角色，创造一个证书颁发机构（CA）10分钟。接下来，我们启用了NPS作用，并与Active Directory，这是在不到五分钟内完成注册它。

然后我们选择了802.1X配置方案并运行了配置向导，该向导帮助我们添加RADIUS客户端（访问点）、选择身份验证协议（PEAP）并选择要应用于NPS服务器的用户组。该向导还允许我们配置流量控制，流量控制是RADIUS属性（如VLAN分配），您可以将其配置为发送到RADIUS客户端并应用于经过身份验证和授权的用户。

配置无线接入点后，我们可以通过PEAP身份验证进行身份验证。然后，我们寻找NPS支持的高级设置和功能。与其他服务器一样，NPS支持多种策略配置。您可以创建具有特定请求条件(用户组、NAS端口类型和许多其他条件)的策略，并为匹配这些条件的请求提供一组身份验证和授权设置。您可以定义设置，如确切的身份验证协议、日期和时间限制以及自定义回复半径属性(如VLAN分配)。