记住一个账号和密码 　　

　　大连理工大学在每个楼宇内的提供接入的交换机都是可管理的智能交换机，支持VLAN技术，每个交换机的24号端口上给无线网划分一个单独的虚网(VLAN)，使所有的无线网络运行在一个单独的VLAN中，从而实现和有线网络所访问的区域区别。将各个区域的AP全部放置在一个独立的VLAN中，这样校园网内的AP就都在同一个VLAN当中。

　　在每个系统中，都要记住自己的账号密码实在是一个头疼的问题。目前大连理工大学在推广校园信息化建设的过程中，已经实现了网上教学系统，基于目录服务器(LDAP)的邮件系统等。每位师生都有一个有效的电子邮件，电子邮件系统的认证是基于LDAP服务的。在LDAP服务器中保存了师生的基本信息，在此技术上大连理工大学把基于LDAP服务的认证扩展到各种服务上，试图建立基于LDAP服务的统一认证信息平台。本次无线网系统也是统一信息服务平台的一部分，其认证系统使用了LDAP服务。 　　

　　大连理工大学LDAP服务器最初是为了邮件系统认证设计的，设计使用LDAP服务器的目的就是为了实现可扩展性，与被设计成每分钟需要处理成千上万条变化数据的数据库不同，LDAP主要是优化数据的读取性能。所以LDAP服务器很适合于存放读取量大但不经常变动的数据，如校园网用户的自然信息等。由于信息化进程的推进，特别是面向所有师生的免费邮件的注册的门户网站的发布，一方面使LDAP服务器包含更加全面的校园网用户信息，另一方面也使针对师生的所有服务都围绕LDAP服务统一起来。
　　
　　无线网的登录使用大连理工大学LDAP服务器和Radius Server进行登录的认证。Radius协议最初的目的是为了路由器在认证时可以不使用本地的用户信息，而是使用Radius Server。现有的条件不可能使无线接入直接连接到LDAP服务器上，但是这个不影响LDAP在无线登录中的使用，解决的方案是建立一个Radius Server，而AP在这里充当了Radius Client，用Radius Server来调用LDAP服务器上的数据。通过从LDAP服务器上得到的数据来进行请求是否合法的判断。

　　安全认证您的合法性 　　

　　目前校园无线网络使用的是802.1x的方式来登录，这个需要无线接入点AP支持802.1x认证，目前大连理工大学校园内的AP支持802.1x和Radius登录，在AP上设置认证指向Radius Server。在这里AP充当了Radius Client的角色。使用用户提供的账号和密码登录Radius Server，登录后，Radius Server读取用户登录所提供的信息，检索LDAP服务器，得到有关此帐户的基本信息，再将得到的信息与Client发来的信息进行比较，如果是相同的，则说明此条信息合法，即认证成功。另一方面，在目录服务器只有电子邮件是唯一的，本系统的用户账号就是每位师生都有的免费校园网邮件地址，但对于认证程序，就需要先把邮件地址解析成对应的LDAP基准DN(Base Distinguished Name)，因为只有基准DN才能对LDAP进行查询。 　　

　　比如对于电子邮件suhe@dlut.edu.cn，就需要dc=suhe,ou=teacher,dc=dlut,dc=edu,dc=cn作为账号来查询LDAP服务器。本系统只是研究了DN和passwd属性用于认证，如果向Radius Server添加其他的属性，server也可以通过这些属性实现其他的功能。由于所使用的AP是支持802.1x的radius登录，所以不需要更改其他的设置，只需要将AP的认证服务器指向Radius就可以实现我们所需要的功能。 　　

　　无线网络使用校园网的Radius服务器进行统一认证，这样只要记住自己邮件的账号和密码就可以在无线网中登录，Radius服务器通过用户提供的账号作为DN，去查找LDAP中有关该用户的信息，将所得到的信息传达给Radius Server，由Radius Server来判断授权登录。如果没有此项记录，就由Radius Server分配一个guest权限，可以访问部分的校内站点，得到认证的用户，可以访问所授权的站点和资源。通过DHCP获得不同的IP段来实现此功能。
　　(作者单位为大连理工大学网络中心)