我刚刚上过关于 VPN 和 RADIUS 的讲座,并且有一个关于身份验证的问题。我知道 EAP 和 PEAP 等协议,并且想知道这些协议如何与 RADIUS 一起工作,如果有的话。
最终,正如问题标题所暗示的那样,如果用户想使用 SSL VPN 连接到内部网络上的网络设备,他们将如何进行身份验证?
我最初的想法是 VPN 服务器定义了一个身份验证协议,例如 EAP,然后用户根据协议提供正确的凭据,作为 RADIUS 客户端的 VPN 服务器使用 RADIUS 协议将数据转发到 RADIUS 服务器。RADIUS 服务器查找给定的凭据,如果正确则发出接受消息。然后对用户进行身份验证,VPN 服务器可以允许访问网络资源。
如果有人能给我一些指导,我将不胜感激。我认为我最初的想法可能完全不正确。
谢谢。
在架构上,EAP 基础架构包括以下内容:
- EAP 对等 尝试访问网络的计算机,也称为访问客户端。EAP 身份验证器 在授予网络访问权限之前需要 EAP 身份验证的接入点或网络访问服务器 (NAS)。
- 身份验证服务器 与 EAP 对等方协商特定 EAP 方法的使用、验证 EAP 对等方的凭据并授权访问网络的服务器计算机。
- 通常,身份验证服务器是远程身份验证拨入用户服务 (RADIUS) 服务器。
EAP 可通过 EAP 方法进行扩展,该方法在 EAP 对等端和连接的身份验证服务器端都插入。要添加对新 EAP 方法的支持,请在 EAP 对等方和身份验证服务器上安装 EAP 方法库文件。这种扩展 EAP 的能力为供应商提供了创建新身份验证方案的机会。EAP 提供了最高的灵活性以允许更安全的身份验证方法。
EAP 对等体和 EAP 验证器使用请求者(使用 EAP 验证网络访问的软件组件)和数据链路层传输协议(如 PPP 或 IEEE 802.1X)发送 EAP 消息。EAP 身份验证器和身份验证服务器使用 RADIUS 发送 EAP 消息。最终结果是 EAP 对等体上的 EAP 组件和身份验证服务器之间交换 EAP 消息。下图显示了 EAP 基础架构和信息流。
