跳至主要內容
繁體中文

什麼是 Cloud RADIUS?RADIUS as a Service 完整指南

本完整指南深入探討 Cloud RADIUS (RADIUS as a Service),詳細介紹其架構、EAP 方法與部署策略。本指南為 IT 主管提供實用見解,協助其將地端伺服器移轉至具備擴充性、安全且符合法規的雲端驗證模型。

📖 5 分鐘閱讀📝 1,077 字數🔧 2 範例3 練習題📚 8 關鍵定義

收聽此指南

查看播客逐字稿
什麼是 Cloud RADIUS?RADIUS 軟體即服務 (SaaS) 的全方位指南。 歡迎收聽 Purple WiFi 智慧播客(Intelligence Podcast)。我是您的主持人。今天我們將深入探討 Cloud RADIUS:包括它的定義、後台運作機制,以及最關鍵的:如何評估它是否為您的組織本季的正確決策。無論您是管理飯店集團、零售店面、體育場還是公共部門網路,這集內容都非常適合您。 讓我們拉開序幕。 前言與背景。 如果您曾向董事會解釋為什麼網路驗證伺服器在凌晨 2 點當機,且為何花了三個小時才恢復運作,那麼您就已經了解 Cloud RADIUS 所解決的核心痛點了。傳統的自建(on-premises)RADIUS 基礎架構功能強大,但帶來了龐大的維運成本:需要採購硬體、管理修補程式生命週期、手動規劃備援架構,而且您的機房中還存在著單一故障點。 Cloud RADIUS(或稱為 RADIUS as a Service,RADIUS 軟體即服務)將驗證層移至受託管、高可用性的雲端環境中。通訊協定本身(遠端用戶撥入驗證服務)並未改變。它仍是 IEEE 802.1X 網路存取控制的骨幹,依然是您的無線基地台(Access Point)用來驗證誰能存取網路的機制。但運行該架構的基礎設施現在改由服務商負責維運。這在企業 IT 領域中是一項重大轉變。 接著,讓我們進入技術細節。 技術深度剖析。 RADIUS 最初定義於 2000 年發布的 RFC 2865,且至今仍出奇地耐用。該通訊協定採用主從式架構(Client-Server model)運作。您的網路存取設備(不論是 Wi-Fi 無線基地台、VPN 集中器還是有線交換器)皆扮演 RADIUS 用戶端(也稱為網路存取伺服器,簡稱 NAS)的角色。當使用者嘗試連線時,NAS 會將「存取請求」(Access-Request)封包轉發給 RADIUS 伺服器,伺服器會比對使用者目錄(通常是 Active Directory、LDAP 或雲端身分識別提供者)來驗證憑證,並回傳「存取核准」(Access-Accept)或「存取拒絕」(Access-Reject)。 這就是核心的互動機制。但真正的複雜度在於其周邊流程:EAP 方法、VLAN 分配、策略執行、帳務記錄以及憑證管理。 在傳統的自建部署中,您需要在專用硬體上執行 FreeRADIUS 或 Microsoft NPS、自行管理憑證、設定容錯轉移,並維護自己的使用者資料庫同步。對於擁有優秀 IT 團隊的單一據點部署而言,這還算應付得來。但對於在多個國家擁有 50 個據點的零售業或飯店集團來說,這將會成為極為沉重的營運負擔。Cloud RADIUS 將這一切抽象化。驗證邏輯、憑證基礎架構、備援機制以及策略引擎,全部都以託管服務的形式提供。您的存取點會指向雲端託管的 RADIUS 端點(通常是主要和次要 IP 位址),而該服務會處理背後的一切。 現在,讓我們來談談驗證方法,因為這正是技術決策真正至關重要的關鍵。 企業 WiFi 中最常見的 EAP 方法是 PEAP(受保護的 EAP),它在 TLS 工作階段內建立 MSCHAPv2 通道。它受到廣泛支援、原生支援 Active Directory,並且是大多數 Windows 和 Android 裝置的預設設定。然而,PEAP 存在已知的安全性漏洞,特別是圍繞在憑證驗證方面。如果您的用戶端裝置未設定為驗證伺服器憑證,您就會暴露於透過惡意存取點進行憑證竊取的攻擊風險中。 EAP-TLS 是黃金標準。它使用雙向憑證驗證(伺服器和用戶端皆出示憑證),從而完全消除了密碼攻擊面。其代價是用戶端憑證的部署,這需要 PKI 基礎架構和 MDM 整合。對於託管的裝置群,這絕對是正確的選擇。而對於 BYOD 環境,情況則較為複雜。 EAP-TTLS 和 EAP-FAST 也值得了解。TTLS 在需要支援各種用戶端裝置(包括 Linux 系統)的環境中特別常見。EAP-FAST 是由 Cisco 開發的,作為 PEAP 的替代方案,它使用「受保護的存取憑證」(Protected Access Credentials)來避免對憑證驗證的依賴。 架構完善的 Cloud RADIUS 服務支援所有這些方法,並允許您設定個別 SSID 策略 — 因此您的企業 SSID 使用帶有憑證驗證的 EAP-TLS,您的員工 SSID 使用帶有 Active Directory 的 PEAP,而您的訪客網路則使用與 RADIUS 堆疊完全獨立的 Captive Portal 或社群登入流程。 說到這裡 — RADIUS 和訪客 WiFi 經常被混為一談,但它們的用途不同。RADIUS 是您針對已知使用者和裝置的驗證與授權層。訪客 WiFi 通常使用 Captive Portal 流程,這完全是另一種不同的機制。例如,Purple 的平台透過獨立的身分識別層處理訪客驗證,收集第一方數據並實現行銷自動化,而 RADIUS 則處理企業和員工的網路存取控制。這些是互補而非競爭的系統。 現在,讓我們來談談「雲端代管」在實務上的真正含意。一個架構完善的 Cloud RADIUS 服務會在多個可用區(Availability Zones)中運作,並具備自動容錯移轉功能。驗證請求會在多個節點之間進行負載平衡,且即使在尖峰負載下,該服務仍能保持低於 100 毫秒的響應時間。對於在活動期間需要處理 40,000 個並行連線的體育館來說,這種低延遲與高吞吐量表現至關重要。單一地端伺服器根本無法提供如此彈性。 從合規性的角度來看,在英國和歐盟營運的 Cloud RADIUS 供應商,在處理驗證記錄和使用者資料時必須符合 GDPR 規範。對於同時處理付款卡資料的零售和餐飲旅宿環境,有關網路分段和存取控制的 PCI DSS 要求具有直接相關性 —— RADIUS 是您控制環境的一部分,而您的合格安全性評估人員(QSA)會希望看到妥善設定與稽核記錄的證據。 WPA3 也值得探討。從 WPA2 到 WPA3 的過渡,為個人網路引進了等效同時驗證(SAE),並為企業環境引進了 WPA3-Enterprise。WPA3-Enterprise 強制要求最高安全等級的 192 位元安全模式,這需要特定的 EAP 方法與加密套件。Cloud RADIUS 服務需要支援這些設定,才能與時俱進。 實作建議與常見陷阱。 好,讓我們切入實際層面。如果您正在評估本季部署 Cloud RADIUS,以下是我建議關注的重點。 第一,與您的身分驗證提供者整合。您的 Cloud RADIUS 服務需要與您使用者實際存在的平台進行同步 —— 無論是 Microsoft Entra ID(前身為 Azure AD)、Google Workspace、Okta,或是透過 LDAP 代理整合的地端 Active Directory。此整合的品質決定了您的營運開銷。原生 SAML 或 SCIM 佈建遠比手動匯入 CSV 來得理想。 第二,憑證管理。如果您正在部署 EAP-TLS,您需要明確掌握用戶端憑證是如何發行、更新和撤銷的。最優秀的 Cloud RADIUS 服務會包含整合式 PKI,或能與您現有的憑證授權單位(CA)無縫整合。憑證過期是企業 WiFi 中最常導致驗證失敗的原因之一 —— 這透過適當的自動化是完全可以避免的。 第三,網路設備相容性。您的無線基地台(AP)必須支援 RADIUS 驗證 —— 幾乎所有企業級 AP 都支援 —— 但您需要根據 AP 廠商的實作情況,驗證您所選服務支援的特定 EAP 方法和 RADIUS 屬性。Cisco、Aruba、Juniper Mist 和 Ruckus 在處理 RADIUS 屬性和 CoA(授權變更)訊息時,都各有其細微差異。第四,備援設定。請務必同時設定主要與次要的 RADIUS 伺服器 IP。您 NAS 裝置上的容錯移轉逾時設定至關重要 — 如果設定得太長,當主要伺服器無法連線時,使用者將會面臨 30 秒的驗證延遲。對於大多數環境而言,3 到 5 秒的逾時並立即進行容錯移轉才是正確的設定。 第五 — 也是最容易被忽略的一點 — 計費機制(Accounting)。RADIUS 計費記錄是您的稽核軌跡。它們會告訴您是誰從哪台裝置、在什麼時間連線,以及連線了多長時間。出於合規性目的(特別是在醫療保健和公共部門環境中),這些記錄需要予以保留並可供存取。請確保您的 Cloud RADIUS 供應商為您提供計費數據的存取權限,而不僅僅是驗證記錄。 常見陷阱:共享密鑰(Shared Secret)的複雜度。您的 RADIUS 共享密鑰 — 即 NAS 與 RADIUS 伺服器之間的預先共用金鑰 — 必須既長且隨機。簡短或易遭猜測的共享密鑰是實際存在的攻擊媒介。請使用至少 32 個字元的隨機產生字串,並定期進行輪替。 另外也要注意 IP 白名單。許多 Cloud RADIUS 服務要求您將 NAS 裝置的來源 IP 列入白名單。在您的 AP 管理平台可能使用 NAT 的動態雲端環境中,這可能會導致非預期的驗證失敗。在部署之前,請先確認您網路的 NAT 行為。 快速問答。 讓我快速解答幾個我經常被問到的問題。 Cloud RADIUS 是否支援多租戶環境?是的 — 大多數企業級 Cloud RADIUS 服務都支援租戶隔離,因此託管服務供應商(MSP)可以從單一平台為多個客戶執行獨立的 RADIUS 策略。 Cloud RADIUS 驗證的典型延遲是多少?對於架構良好的服務,延遲低於 100 毫秒。802.1X 握手本身會增加一些額外開銷,但對於大多數 EAP 方法,端到端的總驗證時間應在 500 毫秒以內。 Cloud RADIUS 是否適用於 OpenRoaming?是的。OpenRoaming(無線寬頻聯盟的漫遊架構)的核心採用了 RADIUS 聯盟(RADIUS Federation)。支援 Hotspot 2.0 和 OpenRoaming 的 Cloud RADIUS 服務可讓您的使用者在全球參與該網絡的各個網路中自動進行驗證。Purple 在其 Connect 授權下支援 OpenRoaming,在該聯盟中扮演身分識別提供者的角色。 Cloud RADIUS 是否適用於高安全性環境?對於大多數企業環境而言,是的。對於含有機密數據或特定政府安全等級的環境,您可能需要評估託管雲端服務是否符合您特定的認證要求。 總結與後續步驟。 總結來說:Cloud RADIUS 是一種成熟、可直接投入生產環境的網路存取控制方法。它在不妥協安全性和功能的前提下,免除了維護地端 RADIUS 基礎架構的營運負擔。對於擁有多個據點的企業而言,其投資報酬率相當直觀 —— 您可以免去硬體資本支出、降低 IT 負擔、獲得內建的備援機制,並擁有一項能隨企業規模同步擴展的服務。 關鍵的決策在於:哪種 EAP 方法最適合您的裝置群、如何與您現有的身分驗證提供者進行整合,以及您所選擇的服務是否具備企業所需的合規與稽核功能。 如果您正在營運飯店集團、零售連鎖店,或管理公共部門網路,我建議先從單一據點的概念驗證 (PoC) 開始 —— 調整好您的 RADIUS 設定,驗證與身分驗證提供者的整合,並在全系統部署前測試驗證延遲。 如欲深入瞭解 WiFi 分析、訪客網路管理,以及 Purple 的平台如何與基於 RADIUS 的驗證進行整合,請造訪 purple.ai。感謝您的聆聽。

header_image.png

执行摘要

对于现代企业网络,传统本地部署的 RADIUS (Remote Authentication Dial-In User Service) 架构构成了一个重大的运维瓶颈。管理物理服务器、打操作系统补丁、处理证书颁发机构以及设计多站点冗余会消耗宝贵的 IT 资源。Cloud RADIUS(或称 RADIUS 即服务)通过将 IEEE 802.1X 认证层迁移到托管的、高可用的云基础设施来解决这一问题。本指南为评估部署策略的 IT 经理、网络架构师和 CTO 提供了 Cloud RADIUS 的全面技术概述。通过从资本支出高、手动维护的系统转变为弹性的、全球分布式的模型, 零售酒店交通 行业的组织可以执行强大的访问策略,实现合规性(如 PCI DSS 和 GDPR),并与 Microsoft Entra ID 和 Google Workspace 等现代身份提供商无缝集成。

技术深度解析

RADIUS 架构的演变

RADIUS 最初在 RFC 2865 中定义,它基于客户端-服务器模型运行,其中网络接入服务器 (NAS) —— 例如 WiFi 接入点或 VPN 集中器 —— 将认证请求转发到中央服务器。在过去,这意味着在专用硬件上部署 FreeRADIUS 或 Microsoft 网络策略服务器 (NPS)。虽然这对于单站点部署是可行的,但在分布式环境中扩展此架构会带来显着的延迟和冗余挑战。

Cloud RADIUS 抽象了底层基础设施。认证请求被路由到全球分布的云端点,即使在峰值负载下也能确保低于 100 毫秒的响应时间。这种弹性对于体育场馆或会议中心等高密度环境至关重要。

architecture_overview.png

EAP 方法与安全态势

可扩展身份验证协议 (EAP) 方法的选择从根本上决定了您的安全态势:

  • PEAP (Protected EAP): 在 TLS 会话中建立 MSCHAPv2 隧道。虽然 PEAP 得到广泛支持且易于与 Active Directory 集成,但如果客户端设备未严格配置为验证服务器证书,则 PEAP 容易受到通过流氓接入点进行凭据窃取的影响。
  • EAP-TLS 企业级黄金标准。它要求进行双向证书身份验证——服务器和客户端都必须出示有效的证书。这完全消除了基于密码的攻击,但需要强大的公钥基础设施(PKI)和移动设备管理(MDM)集成来进行证书部署。
  • EAP-TTLS 和 EAP-FAST: 提供替代方案,适用于需要广泛的客户端兼容性(包括遗留系统或 Linux 系统)或者需要使用受保护的访问凭据(PAC)来绕过证书验证依赖项的场景。

WPA3 和 OpenRoaming 集成

现代部署必须考虑 WPA3-Enterprise,它强制要求 192 位安全模式以达到最高安全级别,这需要特定的密码套件。此外,Cloud RADIUS 还有助于参与 OpenRoaming 等联盟框架。例如,Purple 在其 Connect 许可下作为 OpenRoaming 的免费身份提供商,允许在全球参与的各网络之间进行无缝、安全的身份验证。

实施指南

部署 Cloud RADIUS 需要采用系统化的方法,以确保过渡期间的零停机时间。

第 1 步:身份提供商(IdP)集成

您的 Cloud RADIUS 实例必须与您的权威用户目录同步。与 Microsoft Entra ID、Google Workspace 或 Okta 进行原生 SAML 或 SCIM 配置,比手动 LDAP 代理或 CSV 导入更值得推荐。这可以确保当员工在 HR 系统中办理离职时,其网络访问权限会立即被撤销。

第 2 步:证书管理策略

如果部署 EAP-TLS,请定义您的证书生命周期。选择一个包含集成 PKI 或与您现有的证书颁发机构(CA)无缝集成的 Cloud RADIUS 提供商。通过您的 MDM 平台(例如 Intune 或 Jamf)自动进行证书的颁发和撤销,以防止因证书过期而导致身份验证失败。

第 3 步:网络设备配置

配置您的 NAS 设备(接入点、交换机)以指向主和备 Cloud RADIUS IP 地址。确保共享密钥在密码学上足够复杂(最少 32 个随机字符)。调整故障转移超时设置;3 到 5 秒的超时是最理想的,可以防止在主节点无法访问时出现长时间的身份验证延迟。

第 4 步:策略定义

建立基于每个 SSID 的策略。例如,企业网络强制执行 EAP-TLS,遗留物联网设备执行 PEAP,并隔离访客访问。请注意,RADIUS 处理已知用户;对于访客,请部署专用的 Guest WiFi 解决方案和 Captive Portal 以收集一手数据,并与 WiFi Analytics 平台进行集成。有关访客互动的更多信息,请参考 如何提高访客满意度:终极指南

comparison_chart.png

最佳实践

  • 实施严格的服务器证书验证: 对于 PEAP 部署,推送组策略或 MDM 配置文件,强制客户端验证 RADIUS 服务器证书,并将信任限制在特定的根 CA。
  • 细分计费与认证流量: 确保对 RADIUS 计费数据进行主动监控和保留。此审计跟踪对于合规性报告(例如 PCI DSS、HIPAA)至关重要。
  • 监控认证延迟: 高延迟通常表明路由欠佳或 IdP 同步存在问题。使用监控工具追踪从 Access-Request 到 Access-Accept 数据包所需的时间。
  • 优化信号与信道规划: 可靠的认证依赖于稳定的物理层。审阅诸如 Understanding RSSI and Signal Strength for Optimal Channel Planning 的指南,以确保您的射频环境支持无缝的 802.1X 漫游。

故障排除与风险缓解

即使使用托管服务,配置错误也可能导致访问失败。常见的失败模式包括:

  • 证书过期: EAP-TLS 失败的首要原因。缓解措施: 在 CA 或服务器证书过期前 30 天实施自动告警。
  • 共享密钥不匹配: 通常发生在添加新接入点时。缓解措施: 在您的网络管理系统中标准化配置模板。
  • NAT 和 IP 白名单问题: Cloud RADIUS 提供商通常需要 NAS IP 白名单。如果您的分支机构使用动态 IP 或复杂的 NAT 配置,认证请求可能会被丢弃。缓解措施: 如有必要,使用静态出口 IP 或部署本地 RADIUS 代理。
  • IdP 同步失败: 如果云目录未能与本地 AD 同步,新用户将无法进行认证。缓解措施: 主动监控 SCIM/LDAP 连接器状态。

ROI 与业务影响

过渡到 Cloud RADIUS 可提供可衡量的业务价值:

  1. 减少基础设施资本支出 (Capex): 无需在每个主要站点购买、上架和为物理 RADIUS 服务器供电。
  2. 降低运营开销: IT 团队无需再花费数小时来修补操作系统漏洞或手动管理服务器故障转移。供应商管理的更新可确保持续合规。
  3. 增强安全态势: 通过云 PKI 过渡到 EAP-TLS 可降低凭据被盗的风险,直接降低潜在的数据泄露成本。
  4. 敏捷性与可扩展性: 在开设新的零售分支机构或酒店时,网络认证可以在几分钟内完成配置,而不是几周。有关实用的推广策略,请参阅 Setting Up WiFi for Business: A 2026 Playbook

通过集中式访问控制,企业不仅能够保障其边界安全,还能释放资深工程人才的精力,使其专注于战略性主导项目,而无需维护过时的传统基础设施。

關鍵定義

Cloud RADIUS

一種託管服務,在具備高可用性的雲端環境中託管「遠端用戶撥號驗證服務」協定,從而消除對內部部署驗證伺服器的需求。

由 IT 團隊進行評估,旨在減少硬體資本支出和營運開銷,同時維持安全的 802.1X 網路存取。

EAP-TLS (Extensible Authentication Protocol-Transport Layer Security)

一種高度安全的驗證方法,要求用戶端和伺服器雙方都必須出示數位憑證以證明其身分。

企業網路推薦使用的標準,用於防止基於密碼的攻擊,部署時需要 PKI 和 MDM。

NAS (Network Access Server)

作為 RADIUS 用戶端的裝置(例如 WiFi 存取點、交換器或 VPN 集中器),負責將使用者憑證轉發至 RADIUS 伺服器。

網路工程師必須為 NAS 設定正確的 RADIUS 伺服器 IP 和共用密鑰,才能啟用 802.1X 驗證。

Shared Secret

僅有 NAS 和 RADIUS 伺服器知曉的密碼編譯文字字串,用於加密 RADIUS 封包並驗證傳送者的真實性。

強度不足的共用密鑰是重大的安全漏洞;企業部署應使用隨機產生的長字串。

SCIM (System for Cross-domain Identity Management)

一種開放式標準,可在 IT 系統或雲端應用程式之間自動交換使用者身分識別資訊。

當主要 HR 或 IT 身分識別系統發生變更時,用於在 Cloud RADIUS 目錄中自動佈建和取消佈建使用者。

OpenRoaming

由無線寬頻聯盟 (Wireless Broadband Alliance) 開發的聯盟架構,允許使用者在全球範圍內自動且安全地連線至參與該計劃的 WiFi 網路。

支援 OpenRoaming 的 Cloud RADIUS 供應商(例如 Purple)允許場所向訪客提供無縫、安全的連線,而無需 Captive Portal。

Accounting Logs

由 RADIUS 伺服器產生的記錄,詳細說明使用者連線事件,包括開始時間、結束時間、傳輸的資料以及分配的 IP 位址。

對於安全性稽核、疑難排解以及證明符合 PCI DSS 和 GDPR 等規範架構至關重要。

Change of Authorization (CoA)

一項 RADIUS 功能,允許伺服器動態修改使用者作用中的工作階段,例如變更其 VLAN 或中斷其連線,而無需重新連線。

網路管理員使用此功能可立即隔離遭入侵的裝置,或在工作階段進行中套用新的原則限制。

範例

一間擁有 200 間客房的飯店目前使用地端 Microsoft NPS,透過 PEAP 進行員工 WiFi 驗證。他們在入住高峰時段常遇到驗證逾時的問題,並希望移轉至 Cloud RADIUS 搭配 EAP-TLS,以獲得更好的安全性與可靠性。IT 總監該如何規劃此移轉架構?

  1. 部署 Cloud RADIUS 租戶,並透過 SCIM 與飯店的 Microsoft Entra ID 整合,實現自動化使用者生命週期管理。2. 設定 Cloud RADIUS 整合式 PKI 以核發用戶端憑證。3. 使用現有的 MDM(例如 Intune)將根 CA、用戶端憑證以及設定為 EAP-TLS 的新 WiFi 設定檔推送到所有員工裝置。4. 設定飯店的存取點(AP)指向主要與次要的 Cloud RADIUS IP,並使用全新、複雜的 32 字元共用金鑰。5. 在不同的 SSID 上同時執行舊的 NPS 與新的 Cloud RADIUS 進行為期兩週的過渡期,確認無誤後再將地端伺服器除役。
考官評語: 此方法透過在過渡期間執行平行 SSID,將風險降至最低。轉用 EAP-TLS 消除了與 PEAP 相關的認證憑證遭竊取風險,且利用 MDM 進行憑證部署可確保終端使用者體驗毫無阻礙。SCIM 整合則確保在員工離職時,其存取權限會立即被撤銷。

一家擁有 500 個據點的連線零售商需要確保其透過 WiFi 連線的銷售點(POS)終端機符合 PCI DSS 合規性。他們正準備移轉至 Cloud RADIUS。需要進行哪些特定設定才能滿足合規要求?

  1. 實施嚴格的網路分割:POS 終端機必須驗證至專用、隱藏且對應到隔離 VLAN 的 SSID。2. 對所有 POS 裝置強制執行 EAP-TLS 驗證,以確保雙向驗證,並防止未授權的裝置加入 POS 網路。3. 設定 Cloud RADIUS 服務,將所有帳務記錄(Access-Accept、Access-Reject、連線時間)保留至少一年,以符合 PCI DSS 的規定。4. 確保分支機構 AP 與 Cloud RADIUS 服務之間的 RADIUS 共用金鑰每 90 天使用自動化指令碼輪替一次。
考官評語: 此解決方案直接解決了 PCI DSS 對於邏輯分割、強效存取控制和可審計性的要求。僅依賴 MAC 位址篩選不足以達到合規;EAP-TLS 提供了裝置識別所需的加密證明。將帳務記錄保留在雲端可簡化 QSA 的稽核程序。

練習題

Q1. 您的組織正在從本地 Active Directory 遷移到 Google Workspace。您目前使用 PEAP-MSCHAPv2 進行 WiFi 身份驗證。為什麼這會是一個問題?推薦的解決方案是什麼?

提示:思考 PEAP 如何向目錄協定驗證認證資訊。

查看標準答案

PEAP-MSCHAPv2 依賴使用者密碼的 NT 雜湊值(NT hash),而 Google Workspace 原生並不儲存或公開此雜湊值。推薦的解決方案是使用具備整合式 PKI 的 Cloud RADIUS 提供商遷移至 EAP-TLS。Cloud RADIUS 服務可以透過 SAML/SCIM 從 Google Workspace 同步使用者身分,並使用用戶端憑證而非密碼來驗證裝置。

Q2. 分公司回報使用者在連線到 WiFi 網路時遇到 30 秒的延遲,隨後才成功連線。該區域的主要 Cloud RADIUS IP 目前正在進行維護。是什麼設定錯誤導致了這種延遲?

提示:查看 NAS 與 RADIUS 伺服器之間的通訊。

查看標準答案

NAS(無線基地台或交換器)設定的 RADIUS 伺服器逾時時間過長(例如 30 秒)。它在容錯移轉到備用伺服器之前,一直在等待主要伺服器的回應。應將逾時時間縮短至 3-5 秒,以確保快速進行容錯移轉,而不影響使用者體驗。

Q3. 您正在為一家醫院部署 Cloud RADIUS。安全小組規定,即使員工知道有效的使用者名稱和密碼,也只有公司擁有的裝置才能連線到內部網路。您該如何執行此規定?

提示:哪種 EAP 方法可以驗證裝置的身分,而不僅僅是使用者的已知資訊?

查看標準答案

部署 EAP-TLS。設定醫院的 MDM 解決方案,僅向已註冊的公司專屬裝置派發唯一的用戶端憑證。設定 Cloud RADIUS 原則以拒絕任何未提供由信任的內部 PKI 簽署之有效憑證的驗證請求,無論是否知道密碼,皆能有效阻擋 BYOD 或未知裝置。

繼續閱讀本系列

RADIUS as a Service 針對混合工作模式員工的安全優勢

本技術參考指南說明 RADIUS as a Service 如何為分散於各個場域的混合工作模式員工提供安全的網路存取。內容涵蓋以雲端託管驗證服務取代地端 RADIUS 基礎架構的架構、安全優勢以及部署步驟。本指南為飯店、連鎖零售、體育場館和公共部門組織的 IT 經理與網路架構師,提供了評估並在本季度執行雲端 RADIUS 移轉所需的實證數據。

閱讀指南 →

將 RADIUS as a Service 與雲端目錄(Azure AD 和 Google Workspace)整合

本技術參考指南詳細介紹了如何將 RADIUS as a Service 與雲端目錄(Microsoft Entra ID 和 Google Workspace)整合,以進行企業級 WiFi 驗證。內容涵蓋從地端 NPS 到雲端原生 RADIUS 的架構轉變、基於憑證的 EAP-TLS 驗證部署,以及在旅宿業、零售業和公共部門環境中保障無線存取安全的營運最佳實踐。對於已投入雲端身分識別的 IT 經理和網路架構師,本指南彌合了目錄管理與實體網路安全之間的鴻溝。

閱讀指南 →

如何使用 Cloud RADIUS 實作 802.1X 驗證

本技術參考指南提供了一個全面的架構,用於在分散式企業資產中實作 802.1X 驗證與 Cloud RADIUS。它詳細介紹了安全存取網路所需的架構、EAP 方法選擇、部署順序和風險緩釋策略,同時消除了本地基礎架構的營運開銷。

閱讀指南 →