在任何合规工作中，IT 管理员都需要向审计员证明企业网络的安全性。为此，不少管理员都采用 RADIUS （远程身份验证拨入用户服务）协议，要求所有用户在网络认证中使用唯一的身份凭证。

虽然 RADIUS 认证能有效保护网络安全，但仍需要跟踪认证日志以便进行网络审计。而为了充分证明企业网络的安全合规，管理员需要一个可以和 RADIUS 认证关联的日志记录方案。

1. RADIUS 认证助力企业网络合规

不同的行业机构对于合规性要求也不同，但通常都会关注对机密数据的访问授权问题。除了这类主要的安全功能外，大多数法规还会要求企业记录、监控 IT 资源的访问事件作为合规依据。

在这些需要监控的资源中，网络是核心部分之一。毕竟，用户获得网络的访问权限后就能访问授权使用的各种工具和数据。为了实现合规性，管理员需要证明企业的网络是安全受控的，并且每个访问者的准入情况都会被跟踪记录。

这就是 RADIUS 认证发挥作用的地方。RADIUS 认证服务器可以同步企业的本地目录服务或身份源（IdP）数据，要求每个用户在访问网络时提供唯一的标识。管理员还可以使用 RADIUS 认证来控制对虚拟专用网络 (VPN) 的访问，自动将流量分段到不同的虚拟局域网 (VLAN)。 采用 RADIUS认证后，用户只有通过认证成为已知实体才能访问核心网络及相关资源。从合规性的角度来看，RADIUS 满足了多个关键要求，加上 RADIUS 的日志记录工具后更是事半功倍。

2. RADIUS 日志记录工具

RADIUS 的日志记录有多种方法，具体采用哪种取决于 RADIUS 协议的实现方式。

1）FreeRADIUS

FreeRADIUS 是一种开源 RADIUS 服务，为已经部署服务器硬件的用户提供免费的 RADIUS 认证功能，但对于技术配置有一定要求。在配置过程中，管理员会专门创建文件夹用来存储服务器日志，需要查看日志事件时查询文件夹即可。

出于合规目的，这些原始的日志数据导出后还需要一定处理才能交付给审计人员，用于后续的分析或可视化。此外，由于故障转移需要多台服务器，每台服务器都需要单独提取数据，合规性待办事项一多，这项单调的任务就会增加管理员的工作负担。此外，日志数据还需要加工成日志会话，方便完整跟踪每个用户。

2）Windows 网络策略服务器 (NPS)

Windows Server 自带的 RADIUS 代理服务器可集成到微软 Active Directory 这一本地身份源，不同的管理员可以使用同一个工具进行网络准入控制，管理环境中的大部分资源。其中Windows 网络策略服务器（NPS） 相当于 Windows 系统的保护伞，支持管理员通过 Windows 事件查看器访问相关日志。

但也有一些企业由于 Windows Server 版本过旧或业务上云的需求，需要实施新的 RADIUS 认证服务。对于这类企业有哪些可用的选择呢？

3）云 RADIUS 认证+云身份目录服务

RADIUS 认证云服务既具备 RADIUS 认证服务器的安全优势，又无需对物理服务器进行运维。此外，结合 RADIUS 即服务（SaaS 化的 RADIUS）与云身份目录服务 NingDS 后还能通过目录服务中的日志模块记录 RADIUS 服务器及其他终端的事件日志（登录日志、操作日志）。 日志模块是 NingDS 云身份目录提供的一项高级服务，清晰记录网络准入事件的数据，包括：

• 用户接入登录日志
• 管理员操作日志
• RADIUS、LDAP、SAML 终端
• Windows、Mac 和 Linux 系统
• NingDS 中用户身份、组和访问权限的更改

企业可以直接在 NingDS 平台中查看相应日志，可以导出为 Excel 或 CSV 文件用于审计跟踪，也可通过 API 将数据导出到分析工具。借助 NingDS 不仅可以利用云 RADIUS 认证能力，还支持在线日志查看，既满足企业合规要求，又方便管理人员，一举两得。

（本文来源于宁盾，仅供学习和参考，未经授权禁止转载和复制。如欲了解RADIUS认证更多内容，可前往宁盾官网博客解锁更多干货）