部署针对AD进行身份验证的校园WiFi网络

Question

我们希望在校园内部署大约15-20个思科1131ag接入点。我一直在阅读不同的身份验证方法，但我不知道怎样才是最佳的长期解决方案，从而在简单的管理和未来的扩展之间取得平衡。

我考虑过的第一个选择是在Windows中使用Cisco，因为我们已经有了服务器，这样可以节省一些钱。

此外，一些人建议设置一个radius服务器，比如Linux上的空闲radius，并将其绑定到现有的LDAP中进行最终用户身份验证，这也是一个省钱的方法，因为操作系统和空闲radius是免费使用的。

在Windows环境下，我个人感觉更舒服，但当我过去被要求使用Linux时，我对Linux并不陌生。我只想思考一下什么是管理的最佳解决方案。或者如果有一个更好的解决方案，我也想知道这一点。

Answer 1

大多数场所使用radius与后端身份验证系统相结合。

Freeradius可以完成这项工作，并与Active Directory集成：http://wiki.freeradius.org/FreeRADIUS_活动的_目录_集成_何图

思科ACS可以做的工作，也与AD集成，虽然在我的经验，这可以排除。它支持策略，当然也可以用于为cisco设备提供TACACS服务。

微软一直在推动NPS与他们的网络访问保护http://msdn.microsoft.com/en-us/library/bb892033(v=vs.85).aspx，它有着整体的“呼唤微软”的好处和负面。它支持类似ACS的策略，您可以派人接受培训，并完成RADIUS的工作。

真的，如果你在EDU的空间里，你可以获得比一堆纸更便宜的微软许可证，我建议你这样做。思科( Cisco )和微软( Microsoft )基本上都给了你同样的“一口咽喉”，即使它们并不完美，它们确实让你很容易获得供应商的支持。

同样，我想说，如果你在私人空间，坚持与ACS，并节省你的钱。只要您有一个强大的ACS基础设施，这是一个管理它的单一地方，而且您已经获得了许可证。