RADIUS ( Remote Authentication Dial-In User Service ) on asiakas-palvelinprotokolla , jota käytetään todennustietojen keskittämiseen . RADIUS-protokollan keksi ja kehitti vuonna 1991 Livingston-yritys (osti Lucent Technologies), joka valmisti verkkopalvelimia vain sarjaliittimillä varustettuihin laitteistoihin. sen jälkeen IETF standardoi sen.
IETF standardoi RADIUS-protokollan uusimman version kahdessa RFC : ssä : RFC 2865 (RADIUS-todennus) ja RFC 2866 (RADIUS-kirjanpito).Kesäkuu 2000. RADIUS-protokollan seuraaja voisi olla halkaisijaprotokolla (puntaa kaksinkertaisella säteellä). Protokollaa kutsutaan usein AAA: ksi ( Authentication Authorization Accounting ), jolloin valtuutusvaihe (käyttöoikeuksien määrittely) suoritetaan tunnistusvastauksen aikana (määritteiden lisääminen "Authentication Response" -pakettiin ). Toinen esimerkki AAA-protokollan voi olla tacacs on Cisco , mutta se omistaa; ja sen jälkeen kun julkaistiin 802.1X-standardi, jonka liitteessä D on ainoa esimerkki Radius-protokollan toteuttamisesta, jälkimmäisestä on tullut AAA: n tosiasiallinen standardi.
RADIUS-ohjelman alkuperäinen tarkoitus oli antaa Internet-palveluntarjoajien todentaa etäkäyttäjät käyttämällä PSTN- modeemiyhteyksiä useilta palvelimilta, mutta yhdeltä käyttäjäkannalta. Aikaisemmassa tilanteessa käyttäjänimet ja salasanat oli kopioitava jokaisessa laitteessa, joka tarvitaan käyttäjien tunnistamiseen. Samoin POP (sähköposti) -todennus oli käsiteltävä tällä tavalla. Verkkosivustojen tunnistamista nimen ja salasanan avulla hallitaan myös RADIUS-palvelussa, Apache-palvelin on yksi yleisimpiä Radius-asiakkaita. Tämä on edelleen RADIUS-protokollan yleisin käyttö: Internet-yhteyden nimi ja salasana, mutta yhä useampi langaton ja langallinen verkko käyttää sitä myös käyttäjien tunnistamiseen.
RADIUS-protokollan avulla on mahdollista saada yhteys tunnistus- tarpeisiin ja käyttäjän emäksen varmistamalla kuljetuksen autentikointi tiedot on standardoitu tavalla. Autentikointi toiminta aloitetaan, jonka asiakas on RADIUS-palvelun, joka voi olla etäkäyttö laatikko (NAS: Network Access Server), langattoman verkon liityntäpisteen, palomuuri, kytkin, toinen palvelin. Palvelin käsittelee sen pääsemällä tarvittaessa ulkoiseen tietokantaan: SQL- tietokanta , LDAP- hakemisto , koneen tai toimialueen käyttäjätilit; Radius-palvelimella on tietty määrä rajapintoja tai menetelmiä tätä varten.
Käyttäjäasema ( RFC: n anoja ) lähettää pääsypyynnön RADIUS-asiakkaalle verkkoon pääsemiseksi. Tämä asiakas on vastuussa käyttäjän tunnistamiseen tarvittavien tietojen pyytämisestä: esimerkiksi käyttäjänimestä (kirjautumistunnuksesta) ja salasanasta .
RADIUS-asiakas luo protokollan mukaisesti pääsypyynnön, joka sisältää todennustiedot . RADIUS-palvelin voi käsitellä tämän pyynnön itse tai lähettää sen toiselle RADIUS-palvelimelle välityspalvelimen säteellä. Lopullisesta tunnistuksesta vastaava Radius-palvelin (nimeltään Home Radius) voi käsitellä pyynnön, jos sillä on riittävästi elementtejä Access-pyynnössä, tai pyytää lisätietoja lähettämällä "Access Challenge" -paketin uudelleen, johon asiakas vastaa uudella "Access" -paketilla. -Pyyntö ", ja niin edelleen. Välityspalvelinten ketju välittää välityspalvelimet Radius yhteen suuntaan ja toiseen.
Kun Radius-palvelimella on tarpeeksi elementtejä (jopa tusina vaihtoa monimutkaisille protokollille, kuten EAP ), RADIUS-palvelin vahvistaa tai hylkää tunnistuksen palauttamalla paketin tyyppi: Access-Accept tai Access-Reject .
RADIUS tietää luonnollisesti kaksi salasanaprotokollaa: PAP (selkeä nimen ja salasanan vaihto) ja CHAP (vaihto perustuu molempien osapuolten hashiin vain " haasteen " vaihdolla ). Protokolla tarjoaa kaksi erillistä määritettä: User-Password ja CHAP-Password.
Siitä lähtien on lisätty Microsoft-muunnelmia: MS-CHAP ja MS-CHAP-V2; niiden samankaltaisuuteen CHAP niitä voidaan kuljettaa RADIUS samalla tavalla, aloitteesta palvelimen ja jollei mahdollisuus päästä-päähän liikennevälineillä anoja Radius asiakasta, asiakkaalta Radius-palvelin ja lopuksi Radius-palvelimelta tunnistetietokantaan.
Juuri tässä viimeisessä vaiheessa kenkä puristuu usein: esimerkiksi LDAP: ssä ei ole suunniteltu kuljettamaan haastetta eikä MS-CHAP: n tai MS-CHAP-V2: n erityisiä vaiheita, jotka yhtäkkiä päättyvät yksinomaan paikallisiin Microsoftin tunnistustietokantoihin. Sädepalvelin.
RADIUS-tunnistetta voidaan rikastaa valtuutuksella, esimerkiksi pääsyn tarjoajan asiakkaalle sen IP-osoite, enimmäisyhteysaika, passiivisuusaika. Kaikki nämä parametrit määritetään RFC: n paketin attribuuteilla, tässä tapauksessa tämän esimerkin attribuutilla 8, joka tunnetaan paremmin sen "ystävällisellä" nimellä Framed-IP-Address, vaikka protokolla itse asiassa tietää vain numerot, ja istunto -Timeout- ja Idle-Timeout-määritteet. Vakiomääritteet määritetään RFC: ssä, toimittajan tai VSA: n (Vendor Specific Attributes) määritteet multipleksoidaan attribuuttiin 26: kullekin toimittajalle annetaan yksilöllinen numero, jonka avulla se voidaan tunnistaa, tämän attribuutin yksi tavu määrittelee VSA-numeron , jonka avulla kukin toimittaja voi määrittää laitteilleen enintään 255 erityismääritettä. Radius-palvelin sopeutuu näihin "murteisiin" attribuuttisanastojen avulla ...
Radius-palvelimen toinen toiminto on kirjanpito, joka varmistaa sekä pääsyn kirjaamisen että laskutuksen. Eri RFC: t määrittelevät, hallitaan eri UDP- porteilla (yleisimpiä 1646 tai 1813, kun taas tunnistaminen tapahtuu porteilla 1645 tai 1812), tämän toiminnon tarjoaa usein toinen ohjelma tai jopa toinen palvelin.
Kirjanpito perustuu kahteen päätyyppiin: Accounting Start ja Accounting Stop, istunto määritellään aikaväliksi Startin ja Stopin välillä. Radius-asiakkaan lähettämä Accounting Start -paketti, kun käyttäjä on todella kirjautunut sisään onnistuneen tunnistusvaiheen jälkeen, sisältää perustiedot: käyttäjänimi (mutta ei tässä oleva turha salasana), määritetty IP-osoite, yhteyden päivämäärä ja kellonaika, yhteyden tyyppi, palvelun tyyppi jne.
Kun käyttäjä katkaisee yhteyden palveluun tai Radius-asiakas katkaisee yhteyden toimettomuuden, yhteyden aikakatkaisun tai muun vuoksi, tämä Radius-asiakas lähettää Accounting Stop -paketin samalla istuntotunnuksella , Radius-palvelin voi sitten sulkea istunnon ja kirjata yhteyden, usein Stop-paketissa on suuri määrä parametreja: yhteysaika, käyttötapa, erilaisten protokollien mukaisesti vaihdettujen pakettien ja tavujen lukumäärä ja mahdollisesti luottamuksellisempia tietoja vierailuista sivustoista tai kaupoista.
On olemassa muun tyyppisiä kirjanpitopaketteja: Keskitaso (asiakas lähettää säännöllisin väliajoin Käynnistyksen ja Lopetuksen välillä, hyödyllinen siinä tapauksessa, että Stop menetetään), Päällä (Radius-asiakas on käynnistynyt) ja Pois (Radius-asiakas pysähtyy), jälkimmäinen on ennätys, on harvinaista, että laite varoittaa ennen rikkoutumista tai kaatumista.
Tunnistusvaiheen ja kirjanpitovaiheen välisen yhteystyön helpottamiseksi (säteen palvelin on voinut vastaanottaa satoja muita pyyntöjä välissä), Class-attribuutti lähetetään asiakkaalle Access-Accept-paketin kanssa; Radius-asiakasta kehotetaan palauttamaan se kuten Accounting Start -paketissa. Radius-palvelin voi siis sisällyttää tähän määritteeseen kaikki tiedot, jotka ovat hyödyllisiä yhteyden muodostamiseksi onnistuneen tunnistuksen, johon liittyy usein resurssien varaus - esimerkiksi kanava-, PVC- tai IP-osoite - ja näiden resurssien todellisen käytön välillä.
Jos operaatio keskeytetään (onnistuneen tunnistamisen jälkeen ei ole vastaavaa Accounting Start -pakettia), mekanismin on palautettava varatut resurssit; useimmat toteutukset käyttävät tähän phantom-kirjanpitoa . Accounting Startin käyttämät tunnuksen varaamat resurssit vapautetaan yleensä Accounting Stop -paketista, mikä tarkoittaa esimerkiksi sitä, että Radius-palvelin voi määrittää IP-osoitteita vain, jos se myös hallinnoi kirjanpitotoimintoa.
Kirjanpidolla on myös laillinen tehtävä: Internet-yhteys on tunnistettava, ja kaikkien käyttäjien on oltava jäljitettävissä ainakin tilin tai pankkikortin numeroon, minkä vuoksi kirjanpitotoiminto on aina aktivoitu. Internet-palveluntarjoajien ja säilytettyjen tietojen kanssa: tuomarin mukaan Internet-palveluntarjoaja voi antaa minkä tahansa IP-osoitteen tunnuksen tietyllä hetkellä.