目前由於寬頻接入的快速發展,廣泛的中小商用企業部署IPSec VPN網路,構建遠程客戶端對公司中心資源訪問的套用已極為普通。在部署此類遠程訪問的IPSec VPN套用時,通常是要設定多個客戶端連線到VPN中心網路,網管人員的通常做法是為每一個用戶設定不同VPN策略和預置密碼用以區分每一個用戶,此工作量是巨大的,管理也不方便。因此現在市場上主流的IPSec VPN網關設備提供另外一種解決方案,就是在VPN網關中只要配置一條VPN的策略,就可允許多個如高達1000個遠程客戶端的同時接入,然後只要對遠程客戶分發一個相同的策略配置就可以了。這樣一來,由於所有遠程客戶端的VPN配置策略是相同的,對每個遠程客戶不再進行單獨地區別,因此在提高了方便性的同時卻又降低了整個網路的安全性。
基本介紹
這樣就促使用戶需要這樣一種技術,就是在VPN網關設備中只需要配置一條策略,但要求每個遠程客戶在接入時需要
下圖是個典型的遠程客戶到中心VPN網關的套用XAUTH的說明:
圖1:XAUTH和RADIUS使用範例
圖1中當遠程客戶端開始一個VPN連線的請求的時候,VPN網關通過XAUTH(擴展驗證)強行中斷VPN協商的過程,並要求客戶端必須輸入合法的用戶名的密碼進行驗證,網關在接收到來自客戶端提供的用戶名和密碼之後首先在本地資料庫校驗信息是否合法,如果在本地資料庫找不到相對應的用戶名,則將信息轉發到RADIUS伺服器進行校驗,如果判斷為合法,則繼續VPN的協商過程並且在連結成功後為遠程客戶端分配IP位址,如果用戶不合法,則中斷VPN連線。
由於XAUTH結合RADIUS給依賴於大量使用VPN技術的商業用戶帶來了前所未有的安全性和方便的管理特性,因而國際很多知名的VPN設備開發商,比如象Cisco,Checkpoint, Netgear公司等,在他們的產品中都開始支持XAUTH。
其實XAUTH就是oauth的簡化版,只是支持桌面和移動設備,web認證還是需要oauth的。