wifidog开发--part3

什么是RADIUS和目前在wifidog的支持
RADIUS（Remote Authentication Dial In User Service）是分享用户网络访问控制信息的产业标准。因为WiFiDog起初不是为手动管理用户设计的。用户不得不自我签署，电脑认证，并执行abuse-control政策。大多数拥有核心开发者的机构还不需要它。
然而一些wifidog新用户不仅仅想成为人工认证的用户，还在RADIUS拥有用户数据库。
幸运的是，IDRC(The Canadian government’s International Development Research Centre)付款让Technologie Coeus股份有限公司以做为概念认证为目的编写了RADIUS认证器。这是基于PEAR Auth_RADIUS package。
l 好消息是它支持Auth_RADIUS的所有特性。
l 坏消息是它只支持Auth_RADIUS的特性。
拥有这些局限性，RADIUS认证器应该被这样的组织机构使用：
l RADIUS服务器已存在用户数据库
l 想要手动签署和认证的用户（这只是暂时的，因为wifidog将要在1.0之前有用户管理器）。
换句话说，目前使用RADIUS认证与内置认证器相比有一点优势。
然而技术上Wifidog使用RADIUS的目的有：

1. 针对现有的RADIUS服务器相比，允许认证服务器进行认证。
   这一点已经被支持，但这种支持也是有限的。
   l 只支持身份验证和审计
   l 没有bootstrap代码允许超级管理员成为标准的RADIUS用户。所以你必须与标准认证器保持本地网络连接，或者你必须用标准认证器安装你的网络，然后将认证器改成RADIUS，下一步在数据库手动将合适的RADIUS用户添加到管理列表。
   在wifidog获取RADIUS更多支持的第一步是直接将它直接移到PECL::RADIUS PHP package，而不是Auth_Radius。
2. 允许wifidog网关与标准RADIUS认证服务器直接对话。
   我们意识到一些用户想让我们这样做，但这不太可能发生。但wifidog网关构思是它的强制门户等同于一个非智能终端。它明确地被设计用来摆脱所有加密依赖关系并将登录页面和门户页面的UI移到服务器。
   如果你只想不使用中心服务器来显示免责页面，你应该做到以下几点：
   l 使用为此而设计的NoCatSplash
   l 编写一个可以直接运行于网关的小的splash only认证服务器。这一点非常容易实现，并且非常符合wifidog设计原理。
3. 把RADIUS用作网关认证服务器协议。
   这样做非常有意义，因为RADIUS和它各种各样的标准化扩展允许我们与网关相互沟通许多信息（并且有标准方法来扩展它不具有的支持）。遗憾的是，这会出现几个小问题：
   l 我们不能使用RADIUS来认证用户凭证，所以这会与大多数人对RADIUS的通常概念相冲突,也许会否认使用标准协议的优势。
   l 这也许会让人们认为Wifidog网关与任何RADIUS服务器相匹配，这将是技术支持的恶梦。
   这种情况也许会在我们使用Wifidog网关2.0版本时出现，它将会有新的协议。
4. 使用RADIUS来允许Wifidog认证服务器进行彼此交流。
   许多无线社区想要接受彼此间的用户。这也正是RADIUS设计的初衷，也是产业标准，表面上做任何事情都是无意义的。这基本上是允许Wifidog认证服务器充当RADIUS服务器。遗憾的是认证服务器使用的是PHP，所以很难实现。这意味着两项选择：
   l 支持RADIUS协议的代码完全用的是PHP，较低水平的PHP套接字函数的所有方式。
   l 代码支持C PHP程序包，这意味着人们需要编译他们自己的PHP去使用，这似乎不太可能。
   这些都解决不了将PHP做为长期监听器来运行。
   但是所有问题都只是因为RADIUS监听器无法在PHP网络服务器上运行。RADIUS是一个像http一样无状态，要求有回复的协议。这个问题是可以回避的，我们可以机械的将RADIUS回复打包成XML文件或直接打包成http文件，并用相同的方式发送回复，跳过所有复杂环节，允许支持将来“真正”的RADIUS服务器。
   什么是WISPr
   WISPr(Wireless Internet Service Project Roaming)是原于Wi-Fi Alliance的标准。这确实是一个非常好的编写标准。然而，Wi-Fi alliance却使得我们很难得到它。在他们的网页上搜索“wispr”，没有任何结果，当你可以买到Wi-Fi Alliance其它说明书的时候，你却买不到这个。你仍然可以获得WISPr说明书，但这会受到监管并且是非法再分配。
   WISPr的主焦点是分享必要的信息达到允许在商业WISP之间漫游的目的。
   它基本上提到了三件与WIFIDOG相关的事：
5. RADIUS属性支持(第5章)
   RAIDUS属性被用在WISP分享方案中。然而大多数用户使用WIFIDOG的目的是不同的，他们中的大多数仍然为许多社区组织提供使用。
6. 用PANA重新认证（附录B）
   这个方法（基本上与NoCat相同）已经在WIFIDOG设计阶段被否定，原因如下：
   l 它是用户的恶梦（必须保持java或javascript一直打开并且你的设备必须支持它）
   l Security wise,五分钟足够做一些坏事并陷害另外一个用户
   l 攻击一个网络绰绰有余（如果谁用强制门户技术来确保共用网络的一个无DMZ部分的安全，那他太傻了）
   l 对社区团体来说，人工扩充一个用户对于网络的应用，来恶意的获取钱财并不是个问题
7. 智能客户端访问网关接口协议（附件D）
   对于一个设备来说，这是将合适设备的登录进行进行脚本的基本方法。这应该是被广泛传播的产业支持，是解决支持没有网络浏览器的设备的方法。制造商对此有非常高的需求，但对于WIFIDOG来说却非常容易实现支持。
   对WPA的支持
   最近对于用Wifidog支持WPA的兴趣有所上升。先来回答最基本问题，在WIFIDOG做WPA值得吗？
   是的，用户仍然可以splash门户网站，甚至当用WPA认证的时候。需要记住的是WIFIDOG最初的目标是成为位置感知强制门户，不是认证器。鉴于“在网关端越小越好”的前提，还是遇到了一些问题。最主要的有两个：
8. 编写一个OpenRADIUS认证模块来允许它进行认证，而不是使用WIFIDOG认证服务器。这时认证服务器知道某个客户端已经被RADIUS认证过并跳到登录页面。
   l 优点
   ² 不需要网关进行修改
   ² 使用标准软件，这些软件的最初工作就是支持WPA和RADIUS
   l 缺点
   ² 需要单独的，完全累赘的RADIUS服务器
   ² 需要客户端拥有网络浏览器来触发标准WIFIDOG认证与服务器之间的交换
9. 编写一个简单的RADIUS传送装置做为WIFIDOG网关插件。这个传送器应该听从RADIUS的指挥，并且通过http将信息重新传递到认证服务器。网关可以偷看到RADIUS的回复，来了解客户端是否已经被认证。
   l 优点
   ² 不需要一具单独的RADIUS服务器
   ² 可以与没有网络浏览器的WPA一同运行
   l 缺点
   ² 需要在网关端编写一部分RADIUS传送协议
   这些的意义只在于如果我们想重新使用“RAIDUS over XML or text”代码时，我们也许可以编写允许WIFIDOG认证服务器可以彼此交流。
   热点状态馈送的XML概念描述
   简介
   本文描述了由WIFIDOG认证服务器产生的XML热点状态馈送的设计动机。会在这里彻底的讨论一下所有数据元素和它们的语意。请注意一个包含所有数据元素的XML文件会在本文的附件A中提供。
   主要技术事项
   你需要注意的是整个XML文件都是由UTF-8编码写成，所以当你处理元素值时应该使用兼容多字节字符串处理函数。

本文章由 http://www.wifidog.pro/2015/01/13/wifidog%E5%BC%80%E5%8F%913.html整理编辑，转载请注明出处