RADIUS是一種C/S結(jié)構(gòu)的協(xié)議，它的客戶端最初就是NAS(Net Access Server)服務(wù)器，現(xiàn)在任何運行RADIUS客戶端軟件的計算機都可以成為RADIUS的客戶端。

RADIUS協(xié)議認(rèn)證機制靈活，可以采用PAP、 CHAP或者Unix登錄認(rèn)證等多種方式。RADIUS是一種可擴展的協(xié)議，它進(jìn)行的全部工作都是基于Attribute-Length-Value的向量進(jìn)行的。RADIUS也支持廠商擴充廠家專有屬性。

一、一般情況下，我們運行的是Windows Server 2003或更高版本的Active Directory，通?？梢酝ㄟ^組策略將網(wǎng)絡(luò)設(shè)置(包括802.1X和任何數(shù)字證書)分發(fā)到windows XP以及隨后加入這個域的機器。

但是對于不在域中的機器，例如用戶自備的筆記本電腦、智能手機和平板電腦，除了手動用戶配置外，還有其他解決方案可供你選擇，這里要注意的是RADIUS服務(wù)器使用的證書頒發(fā)機構(gòu)的根證書，如果使用EAP-TLS的話的用戶證書，以及網(wǎng)絡(luò)和802.1X設(shè)置。

二、我們可以使用免費的SU1X 802.1X配置部署工具用于Windows XP(SP3)、Vista和Windows 7。你需要進(jìn)入設(shè)置和偏好，從已經(jīng)設(shè)置好網(wǎng)絡(luò)的PC中捕捉網(wǎng)絡(luò)信息，然后這個工具將會創(chuàng)建一個向?qū)В脩艨梢栽谄溆嬎銠C上運行這個向?qū)б宰詣优渲镁W(wǎng)絡(luò)和其他設(shè)置。該工具支持根證書以及網(wǎng)絡(luò)和802.1X設(shè)置的分發(fā)。

此外，你可以配置它來添加/刪除其他網(wǎng)絡(luò)配置，修改網(wǎng)絡(luò)優(yōu)先事項，以及開啟NAP/SoH。該工具甚至還可以為IE和Firefox配置自動或手動代理服務(wù)器設(shè)置，以及添加/刪除網(wǎng)絡(luò)打印機。

三、用于802.1X配置部署的商業(yè)產(chǎn)品包括XpressConnect、ClearPass QuickConnect以及ClearPass Onboard，XpressConnect支持根證書、其他用戶證書以及網(wǎng)絡(luò)和Windows、Mac OS X、Linux、Android和iOS設(shè)備上的802.1X(PEAP、TLS和TTLS(通道傳輸層安全))設(shè)置的分布。

對于TTLS，它還支持SecureW2 TTLS客戶端的安裝。XpressConnect是一個基于云計算的解決方案，你可以在web控制臺定義你的網(wǎng)絡(luò)設(shè)置，然后它會創(chuàng)建一個向?qū)?，你可以將其分發(fā)給用戶。

四、ClearPass QuickConnect和ClearPass Onboard都支持根證書和網(wǎng)絡(luò)以及Windows、Mac OS X、Linux、Android和iOS設(shè)備上的802.1X(PEAP、TLS和TTLS)的分發(fā)。ClearPass QuickConnect 是基于云計算的服務(wù)，不支持分發(fā)任何用戶證書。

ClearPass Onboard是針對ClearPass Policy Manager平臺的軟件模塊，支持用戶證書分發(fā)，對于一些移動操作系統(tǒng)，也有專門的解決方案可供你用于分發(fā)802.1X和其他網(wǎng)絡(luò)設(shè)置。

五、保護(hù)802.1X客戶端設(shè)置，802.1X很容易受到中間人攻擊，例如，攻擊者可以通過修改后的RADIUS服務(wù)器來設(shè)置一個重復(fù)的Wi-Fi信號，然后讓用戶連接，以捕捉和跟蹤用戶的登錄信息。然而，你可以通過安全地配置客戶端計算機和設(shè)備來阻止這種類型的攻擊：

1、驗證服務(wù)器證書：該設(shè)置應(yīng)該啟用。應(yīng)該從列表框中選擇你的RADIUS服務(wù)器使用的證書頒發(fā)機構(gòu)，者能夠確保用戶連接到的網(wǎng)絡(luò)使用的RADIUS服務(wù)器擁有由證書頒發(fā)機構(gòu)頒發(fā)的服務(wù)器證書。

2、連接到這些服務(wù)器：該設(shè)置應(yīng)該啟用。應(yīng)該輸入你的RADIUS服務(wù)器的證書上列出的域，者能夠確保客戶端只能與具有服務(wù)器證書的RADIUS服務(wù)器通信。

3、不要提示用戶授權(quán)新服務(wù)器或者可信證書頒發(fā)機構(gòu)：應(yīng)該啟用以自動拒絕位置RADIUS服務(wù)器，而不是提示用戶他們具有接受和連接的能力。

六、在Windows Visat和更高版本中，前兩個設(shè)置應(yīng)該在用戶第一次登陸時，自動啟用和配置。然而，最后一個設(shè)置應(yīng)該手動啟用，或者通過組策略或者其他分發(fā)方法來啟用。在Windows XP中，用戶必須手動配置所有設(shè)置，或者你也可以使用組策略或者其他分發(fā)方法。

七、保護(hù)RADIUS服務(wù)器，不要忘了RADIUS服務(wù)器的安全性問題，畢竟它是處理驗證的主要服務(wù)器。

考慮專門使用一個單獨的服務(wù)器來作為RADIUS服務(wù)器，確保其防火墻被鎖定，并對位于另一臺服務(wù)器上的RADIUS服務(wù)器用的任何數(shù)據(jù)庫連接使用加密鏈接，當(dāng)生成共享秘密時，你需要輸入到NAS(網(wǎng)絡(luò)接入服務(wù)器)客戶端列表或者RADIUS服務(wù)器數(shù)據(jù)庫，使用強大的秘密。

由于用戶不必知道或者記住它們，可以使用非常長且復(fù)雜的秘密。請記住，大多數(shù)RADIUS服務(wù)器和NAS設(shè)備最多支持32個字符。

由于802.1X很容易受到中間人攻擊，尤其是用戶密碼，所以請確保用戶密碼的安全性。如果你有一個類似Active Directory的目錄服務(wù)，你可以執(zhí)行密碼政策以確保密碼足夠復(fù)雜和定期更換。