用于Wi-Fi安全的低成本RADIUS服务器

远程认证拨入用户服务（RADIUS）服务器在企业网络中是常见的，以便为访问控制提供集中式身份验证，授权和会计（AAA）。但是RADIUS服务器也可以用于小型和中型网络，以使Wi-Fi网的802.1x认证和WPA2（802.11i）安全性。

我们测试了较小的企业可能考虑的四个半径服务器：Elektron，Clearbox，Microsoft的网络策略服务器从视窗Server 2008 R2和FreeRadius。

我们测量了易于安装和配置，文档质量和自定义配置的能力。所有供应商都在井顶部和Elektron上的Clearbox收到近亲，而FreeRadius和Windows Server NPS绑定第三个。

Elektron（$ 750）是一个良好的入门级和用户友好的服务器。Clearbox（599美元）是小型网络的伟大选择，但它也缩放到更大的网络。Microsoft Windows Server 2008 R2 NPS可能是一个已经运行Windows Server的组织给定的，只要它们不需要所有高级功能和数据库支持。和freeradius（开源）是UNIX的坚实和经济的选择/Linux.管理员提供最多定制和灵活性。

以下是个人评论：

Elektron.

来自Perioik Labs的Elektron Radius服务器是一个基于Windows GUI的服务器，其目标是无线的用于小型和中型网络的身份验证，但也支持其他AAA目的。它提供为30天免费试用，然后为单个服务器许可证的价格为750美元。

Elektron可以在Windows XP Pro，Vista，Windows 7和Windows Server 2003和2008上运行。还有一个Mac OS X版本，可在10.5或更高版本或与英特尔核心二重奏或更好的处理器运行。两者都需要至少512MB的内存和20MB的可用磁盘空间。

Elektron支持以下身份验证方法：PEAP，TTL，EAP-FAST，EAP-TLS，LEAP，PAP，CHAP，MS-CHAP，MS-CHAPv2，EAP-MS-CHAPv2，EAP-MD5，EAP-GTC和EAP-OTP。它还支持用户帐户数据的以下数据库：内部数据库（可通过GUI可配置，称为Elektron帐户），Windows帐户，Mac OS X目录服务，Active Directory和其他LDAP目录，SQL和其他ODBC兼容数据源，远程RADIUS服务器和脚本。

我们在VMware虚拟机上测试了在Windows Server 2008 R2中的Elektron 2.2版。安装非常简单，只花了大约一分钟。它使用典型的Windows Installer，并没有提示我们使用与服务器相关的设置。

安装后立即找到一个设置向导，帮助为无线身份验证配置Elektron。它提示我们为无线接入点（RADIUS客户端）创建密码（共享密钥），并帮助配置/创建服务器证书。向导有用，但可以通过允许您输入各个接入点的密码而不是创建任何接入点的捕获条目来改进，这是一种不太安全的方法。

使用Setup Wizard后，我们将在黑暗中留下我们的下一步。由于我们经历了RADIUS进程，我们知道我们必须配置身份验证提供程序（我们使用内部数据库）并输入用户帐户信息（我们在Elektron帐户页面上创建了一个用户）。但是，那些不熟悉RADIUS的人可能会混淆，因为向导没有覆盖这个，并且文档中的入门部分也会跳过它。尽管如此，在使用WPA2-Enterprise配置我们的无线接入点之后，我们都能够通过受保护的可扩展身份验证协议（PEAP）进行身份验证。

在查看我们发现的身份验证设置的同时，我们可以添加多个身份验证提供程序，并根据其域或访问点组动态分配给用户，并支持从传入用户名中剥离域。我们还发现支持MAC地址认证，虽然不是最安全的方法，但可用于验证不支持Elektron支持的802.1x安全性或其他协议的设备。另一个值得注意的功能是在多次失败的密码尝试后阻止登录的功能。

Elektron中的身份验证设置

在授权设置中，我们可以创建自定义策略。我们可以拒绝连接，将用户分配给虚拟LAN，附加自定义RADIUS响应属性或基于各种触发执行脚本：登录时间，用户名，用户组，接入点组，媒体访问控制地址组或脚本的结果。这些提供了授权功能SMB网络通常需要，但不提供完整的自定义能力，更大或服务提供商网络可能需要。

在会计部分中，我们发现基本访问和错误日​​志，仅在GUI中可查看，无法发送到数据库。我们对事件处理程序的功能留下了深刻的印象，允许您轻松启用登录，失败登录，密码锁定和错误等事件的通知。

在主服务器设置中，Elektron支持远程管理，因此您可以在要设置备份服务器的情况下，从其他PC和服务器复制管理服务器。

总体而言，Elektron是一个坚实，有吸引力和用户友好的服务器。虽然可以改善文档中的入门部分，但通常它是信息性的，有用的，并且应该可以通过与半径不太经历的人来说。Elektron是小型和中型网络的一个很好的选择。

Clearbox Enterprise Radius服务器

根据公司的说法，来自Xperience技术的Clearbox Enterprise RADIUS服务器是基于Windows的RADIUS服务器，可提供数百万用户的小企业甚至大型网络的AAA需求。与Elektron Radius服务器一样，Clearbox是基于GUI的程序。该公司提供30天免费试用，然后收取单个服务器许可证的599美元。

ClearBox可以从Windows 2000到Windows 7和Windows Server 2008 R2的任何Windows平台上运行。它只需要Pentium II或更高的处理器，256MB或更多的内存，以及完整安装的至少16.6MB的可用磁盘空间。

Clearbox支持以下身份验证方法：PEAP，EAP-TLS，PAP，CHAP，MS-CHAP，MS-CHAPv2，EAP-MS-CHAPv2，EAP-MD5，SIP和ARAP。ClearBox允许使用并发数据源和支持：内部数据库（通过GUI可配置），Windows帐户，Active Directory和其他LDAP目录，SQL和其他ODBC和OLE DB兼容数据源，远程RADIUS服务器。

我们在VMware虚拟机上的Windows Server 2008 R2中使用Clearbox版本5.7进行了测试。安装简单，花了不到两分钟。它使用典型的Windows Installer，只有提示您有三个与服务器相关的设置：模式（正常或调试），控制中心密码以及是否要启用无线身份验证。

完成安装后，Clearbox手册默认设置为自动出现。我们发现文档是彻底的，但很快就注意到了一些轻微的不一致。例如，提到的某些按钮名称与GUI上的内容不同，并且在设置后测试服务器的说明是不完整的。尽管如此，我们能够快速为PEAP无线身份验证配置ClearBox，包括通过证书向导创建服务器证书。

我们还尝试了配置向导，帮助RADIUS中的那些越来越多的经验者理解并设置基本设置：添加RADIUS客户端并选择用户数据库。我们发现这个向导的信息和易于使用。

在使用WPA2-Enterprise配置我们的无线接入点并通过PEAP成功验证后，我们会在高级清除箱设置周围戳戳。我们发现它支持多个领域，因此可以通过基于用户名，客户端IP，RADIUS属性，Windows组成员身份或自定义SQL结果进行不同的身份验证，授权和计费设置来处理传入请求。此外，它支持用户名重写，以防您需要在没有域名的情况下处理请求。

始终可以使用任何RADIUS属性和值在黑色，检查，响应和拒绝响应列表中手动创建授权设置。但是，授权设置也可以通过用户管理器配置，如果您使用的Clearbox内部用户数据库，其中包括要强制执行登录小时，设置时间才能，设置每用户并发会话限制并将登录设置为特定客户端MAC地址。

在会计设置中，我们可以将会计详细信息记录到内部数据库，外部数据库或文件。有趣的是，如果数据库不可用，它还包括缓存计费数据的能力。虽然GUI未指出，但清晰的盒也支持第三方计费系统，包括DTH结算和客户管理，高级ISP结算和鸭嘴蛋白酶结算系统。

其他日志记录功能包括服务器统计页面，以查看发送和接收的数据包类型的运行，在线日志记录页面查看服务器错误和RADIUS数据包的实时活动和文本文件日志记录。

在主服务器设置中，ClearBox支持远程管理，如果要设置备份服务器，高级RADIUS设置和高级日志记录设置。另一个值得注意的功能是能够启用监控和警报，可以自动重新启动服务器并如果Clearbox停止响应，则发送电子邮件提醒。

整体清除箱是功能丰富，易于使用的功能。其全面的文档和帮助（虽然需要一些更新）和内部用户数据库对可能缺乏半径体验的较小组织来说是用户友好的。其自定义和宽数据库支持也允许更多的组织或服务提供商使用。领域和RADIUS客户端甚至可以使用SQL查询动态选择，以及用户帐户，授权，计费和日志记录的数据也可以存储在外部数据库中。

Microsoft Windows Server 2008 R2 NPS

Microsoft的Windows Server平台提供了RADIUS服务器，对于已运行（或计划运行）Windows Server的那些经济选择。从Windows Server 2008开始，Microsoft通过其网络策略服务器（NPS）角色提供RADIUS服务，而以前则由Internet身份验证服务（IAS）角色提供。与大多数其他Windows服务器角色一样，NPS配置是基于GUI的。

NPS根据Windows Server 2008和2008 R2版本的不同提供不同的功能。Web服务器版本是唯一一个不包含NPS角色/特性的版本。标准版最多支持50个RADIUS客户端(接入点)和两个远端RADIUS服务器组。RADIUS客户端可以通过完全限定的域名或IP地址来定义，但不能通过指定IP地址范围来定义RADIUS客户端组。Enterprise和Datacenter版本允许无限数量的RADIUS客户端和远程RADIUS服务器组，并允许通过IP地址范围(除了域名或单个IP)定义RADIUS客户端。

NPS支持基本的常见认证协议：PEAP，EAP-TLS，PAP，SPAP，CHAP，MD5，MS-CHAP，MS-CHAPv2和EAP-MD5。此外，Microsoft允许在NPS上允许其他供应商的EAP方法的插件。RSA的一次性密码（OTP）方法是其中的一个示例。

对于身份验证，NPS仅允许使用用于用户帐户数据库的Active Directory，除了能够对其他RADIUS服务器进行处理的代理请求之外。对于RADIUS计费，您可以在Microsoft SQL Server数据库中写入文本文件和/或存储。

在VMware虚拟机上，我们在Windows Server 2008 R2中评估了NPS。在启用NPS之前，我们执行了Windows Server的初始配置并设置了Active Directory域。然后，我们使用Windows内的帮助和支持文档了解有关如何为802.1x配置NPS的信息，我们发现完整和彻底，针对管理员。接下来我们花了大约10分钟，使证书服务角色并创建证书颁发机构（CA）。接下来，我们启用了NPS角色并将其注册到Active Directory，在不到五分钟内完成。

然后我们选择了802.1x配置方案并运行配置向导，帮助我们添加RADIUS客户端（接入点），选择身份验证协议（PEAP），然后选择要应用于NPS服务器的用户组。该向导还允许我们配置流量控件，它是RADIUS属性（例如VLAN分配），您可以配置为发送到RADIUS客户端并应用于经过身份验证和授权的用户。

配置无线接入点后，我们可以通过PEAP身份验证进行身份验证。然后我们寻找NPS支持的高级设置和功能。与其他服务器一样，NPS支持多个策略配置。您可以创建具有请求的特定条件（用户组，NAS类型和许多其他条件）的策略，以及匹配的策略以及符合这些的请求是一组身份验证和授权设置。您可以定义像确切的身份验证协议，日期和时间限制以及自定义回复RADIUS属性（例如VLAN分配）等设置。