目录:
- 本地认证
- <! Active Directory(AD)
- 大多数VPN系统提供了一种通过RADIUS协议与这些OTP系统接口的标准方式。远程身份验证拨入用户服务(RADIUS)提供身份验证,授权和记帐服务;目前市场上的大多数OTP系统都支持RADIUS。
- X。 509证书认证
- CRL(证书吊销列表)验证证书:
视频: VPN推荐 2024
在允许从任何移动设备访问公司网络之前,应先识别用户。一种类型的用户身份验证是认证。用户身份验证是确认用户真正是谁,她说她是。换句话说,用户身份验证证明,尝试以SueB身份登录到VPN的人确实是Sue Berks,而不是Joe Hacker。与许多安全技术一样,通过这些不同的解决方案提供了一系列的安全优势。对安全非常敏感的组织通常使用强认证解决方案,如一次性密码系统或X.509数字证书。强认证的使用近年来变得非常流行,这是所有组织的最佳做法。安全意识不强的组织坚持使用静态用户名和密码系统进行远程用户身份验证。
<! --1 - >
本地认证本地认证
是用户认证的板载数据库。整个用户帐户管理和记录存储在VPN设备上完成。大多数VPN供应商提供这种类型的身份验证,尽管它主要用于管理员身份验证或小型组织。 轻量级目录访问协议(LDAP)
LDAP(轻型目录访问协议)是查询目录数据库和更新数据库记录的标准协议。作为VPN部署中比较常用的接口之一,LDAP作为查询多种数据库(包括Active Directory)的首选协议。
<! Active Directory(AD)
Active Directory是主要的目录服务器之一,大多数组织都在一定程度上部署它。许多VPN服务器提供本地Active Directory身份验证服务器接口,但AD部署还可以利用LDAP / LDAPS(基于SSL的LDAP)进行查询和更新。
RADIUS认证和一次性密码系统大多数VPN系统提供了一种通过RADIUS协议与这些OTP系统接口的标准方式。远程身份验证拨入用户服务(RADIUS)提供身份验证,授权和记帐服务;目前市场上的大多数OTP系统都支持RADIUS。
X。 509证书认证
近年来,X.509数字证书作为一种认证方式变得越来越流行。它们由几个可信任的证书颁发机构(CA)颁发给组织和最终用户。美国政府的部署已经成为通过X. 509证书的巨大推动力。因此,近年来,支持得到了显着改善,部署和持续管理变得更为简单。
当VPN设备支持X.509数字证书时,该设备必须执行证书验证,以确保证书尚未被吊销。 VPN使用CRL(证书吊销列表)验证证书:
CRL基本上是由证书颁发者分发的吊销证书列表。
OCSP(在线证书状态协议):
-
OCSP是一种绕过CRL检查限制的方法(例如列表大小),它指定了一种实时验证证书状态的方法。 除了证书状态验证之外,VPN还可能从证书中检索用户属性,以便VPN访问控制系统可以与目录中的属性进行比较。
-
安全声明标记语言 安全声明标记语言(SAML)是跨不同系统验证和授权用户的标准。实质上,它是一种单点登录(SSO)技术。一些SSL VPN设备提供对SAML的支持,允许已经登录到其他系统的用户根据需要无缝登录到SSL VPN系统。 SAML身份验证解决方案通常不与IPsec VPN相关联。
