Remote Authentication Dial In User Service (RADIUS) ist ein Netzwerkanschlussprotokoll, das zentralisierte Beglaubigung, Genehmigung und Buchhaltung (AAA) Management für Computer zur Verfügung stellt, um einen Netzdienst zu verbinden und zu verwenden. RADIUS wurde von Livingston Enterprises, Inc. 1991 als ein Zugriffsserver-Beglaubigungs- und Buchhaltungsprotokoll entwickelt und später in die Standards von Internet Engineering Task Force (IETF) gebracht.

Wegen der breiten Unterstützung und der allgegenwärtigen Natur des RADIUS-Protokolls wird es häufig durch ISPs und Unternehmen verwendet, um Zugang zum Internet oder den inneren Netzen, den Radionetzen und den integrierten E-Mail-Dienstleistungen zu führen. Diese Netze können Modems, DSL, Zugriffspunkte, VPNs, Netzhäfen, Webserver usw. vereinigen.

RADIUS ist ein Protokoll des Kunden/Servers, das in der Anwendungsschicht mit UDP als Transport läuft. Der Entfernte Zugriffsserver, der Virtuelle Private Netzserver, der Netzschalter mit der Hafen-basierten Beglaubigung, und Network Access Server (NAS), ist alle Tore, die Zugang zum Netz kontrollieren, und alle einen RADIUS-Kundenbestandteil haben, der mit dem RADIUS-Server kommuniziert. Der RADIUS-Server ist gewöhnlich ein Hintergrundprozess, der auf einem UNIX oder Windows-Server von Microsoft läuft. RADIUS dient drei Funktionen:

1. Benutzer oder Geräte vor dem Bewilligen von ihnen Zugang zu einem Netz, zu beglaubigen
2. jene Benutzer oder Geräte für bestimmte Netzdienste und zu autorisieren

1. Gebrauch jener Dienstleistungen verantwortlich zu sein.

AAA

RADIUS-Server verwenden das AAA Konzept, um Netzzugang im folgenden Zweipunktprozess, auch bekannt als eine AAA "Transaktion" zu führen. AAA tritt "für Beglaubigung, Genehmigung und Buchhaltung" ein. Beglaubigung und Genehmigungseigenschaften im RADIUS werden in RFC 2865 beschrieben, während Buchhaltung durch RFC 2866 beschrieben wird.

Beglaubigung und Genehmigung

Der Benutzer oder die Maschine senden eine Bitte an Remote Access Server (RAS), um Zugang zu einer besonderen Netzquelle mit dem Zugriffsausweis zu gewinnen. Der Ausweis wird zum RAS Gerät über das Verbindungsschicht-Protokoll - zum Beispiel, Point-to-Point Protocol (PPP) im Fall von vielen Verbindungsaufbau oder DSL Versorger passiert oder in einem HTTPS sichere Webform angeschlagen.

Der Reihe nach sendet der RAS eine RADIUS-Zugriffsbitte-Nachricht an den RADIUS-Server, um Genehmigung bittend, Zugang über das RADIUS-Protokoll zu gewähren.

Diese Bitte schließt Zugriffsausweis, normalerweise in der Form des Benutzernamens und Kennwortes oder vom Benutzer zur Verfügung gestellten Sicherheitszertifikats ein. Zusätzlich kann die Bitte andere Information enthalten, die der RAS über den Benutzer, wie seine Netzadresse oder Telefonnummer und Information bezüglich des physischen Punkts des Benutzers der Verhaftung zum RAS weiß.

Der RADIUS-Server überprüft, dass die Information richtige Verwenden-Beglaubigungsschemas wie BREI, JUNGE oder EAP ist. Der Beweis des Benutzers der Identifizierung, wird zusammen mit, fakultativ, andere Information nachgeprüft, die mit der Bitte, wie die Netzadresse oder Telefonnummer des Benutzers, Kontostatus und spezifische Netzdienstzugriffsvorzüge verbunden ist. Historisch haben RADIUS-Server die Information des Benutzers gegen eine lokal versorgte flache Dateidatenbank überprüft. Moderne RADIUS-Server können das tun, oder können zu Außenquellen - allgemein SQL, Kerberos, LDAP, oder Aktiven Verzeichnisservern verweisen - den Ausweis des Benutzers nachzuprüfen.

Der RADIUS-Server gibt dann eine von drei Antworten auf den NAS zurück: 1) Weist Zugang, 2) Zugriffsherausforderung Zurück, oder 3) Akzeptiert Zugang.

• Zugang weist Zurück - Dem Benutzer wird Zugang zu allen gebetenen Netzmitteln unbedingt bestritten. Gründe können Misserfolg einschließen, Beweis der Identifizierung oder einer unbekannten oder untätigen Benutzerrechnung zur Verfügung zu stellen.
• Zugriffsherausforderung - Bitte-Zusatzinformation vom Benutzer wie ein sekundäres Kennwort, persönliche Geheimzahl, Jeton oder Karte. Zugriffsherausforderung wird auch in komplizierteren Beglaubigungsdialogen verwendet, wo ein sicherer Tunnel zwischen der Benutzermaschine und dem Radius-Server in einer Weise gegründet wird, wie der Zugriffsausweis vor dem RAS verborgen werden.
• Zugang Akzeptiert - Dem Benutzer wird Zugang gewährt. Sobald der Benutzer beglaubigt wird, wird der RADIUS-Server häufig überprüfen, dass der Benutzer bevollmächtigt wird, den gebetenen Netzdienst zu verwenden. Einem gegebenen Benutzer kann erlaubt werden, ein Radionetz einer Gesellschaft, aber nicht seinen VPN Dienst zum Beispiel zu verwenden. Wieder kann diese Information lokal auf dem RADIUS-Server versorgt werden, oder kann in einer Außenquelle wie LDAP oder Aktives Verzeichnis nachgeschlagen werden.

Jede dieser drei RADIUS-Antworten kann ein Attribut der Antwort-Nachricht einschließen, das einen Grund für die Verwerfung, das schnelle für die Herausforderung oder eine erwünschte Nachricht für das Akzeptieren geben kann. Der Text im Attribut kann dem Benutzer in einer Rückwebseite verzichtet werden.

Genehmigungsattribute werden zum RAS befördert, der Begriffe des zu gewährenden Zugangs festsetzt.

Zum Beispiel: Die folgenden Genehmigungsattribute können in einen Zugang eingeschlossen werden - Akzeptieren.

• Die spezifische IP-Adresse, die dem Benutzer zuzuteilen

• Die Adresslache, aus der der IP des Benutzers gewählt werden sollte
• Die maximale Länge, dass der Benutzer verbundener bleiben kann
• Eine Zugriffsliste, Vorzugswarteschlange oder andere Beschränkungen eines Zugangs eines Benutzers
• L2TP Rahmen
• VLAN Rahmen
• Rahmen von Quality of Service (QoS)

Buchhaltung

Buchhaltung wird in RFC 2866 beschrieben.

Wenn Netzzugang dem Benutzer durch den NAS gewährt wird, wird ein Buchhaltungsanfang (ein RADIUS-Buchhaltungsbitte-Paket, das ein Acct-Status-Type-Attribut mit dem Wert "Anfang" enthält), durch den NAS an den RADIUS-Server gesandt, um dem Anfang des Netzzugangs des Benutzers Zeichen zu geben. "Fangen Sie an" Aufzeichnungen enthalten normalerweise die Identifizierung des Benutzers, Netzadresse, Punkt der Verhaftung und eines einzigartigen Sitzungsbezeichners.

Regelmäßig können Zwischenaktualisierungsaufzeichnungen (ein RADIUS-Buchhaltungsbitte-Paket, das ein Acct-Status-Type-Attribut mit dem Wert "Zwischenaktualisierung" enthält), durch den NAS an den RADIUS-Server gesandt werden, um es auf dem Status einer aktiven Sitzung zu aktualisieren. "Zwischen"-Aufzeichnungen befördern normalerweise die aktuelle Sitzungsdauer und Information über den aktuellen Datengebrauch.

Schließlich, wenn der Netzzugang des Benutzers geschlossen wird, gibt der NAS eine Endbuchhaltungshalt-Aufzeichnung (ein RADIUS-Buchhaltungsbitte-Paket aus, das ein Acct-Status-Type-Attribut mit dem Wert "Halt" enthält) zum RADIUS-Server, Auskunft über den Endgebrauch in Bezug auf die Zeit, übertragene Pakete gebend, Daten haben übergewechselt, Grund dafür trennen und andere mit dem Netzzugang des Benutzers verbundene Information.

Gewöhnlich sendet der Kunde Buchhaltungsbitte-Pakete, bis es eine Buchhaltungsantwort-Anerkennung mit einem Wiederholungszwischenraum erhält.

Der primäre Zweck davon, das Daten sind, dass der Benutzer entsprechend in Rechnung gestellt werden kann; die Daten werden auch zu statistischen Zwecken und zur allgemeinen Netzüberwachung allgemein verwendet.

Das Wandern

RADIUS wird allgemein verwendet, um das Wandern zwischen ISPs zum Beispiel zu erleichtern:

• durch Gesellschaften, die einen einzelnen globalen Satz des Ausweises zur Verfügung stellen, die in vielen öffentlichen Netzen verwendbar sind;
• durch den unabhängigen, aber das Zusammenarbeiten, Einrichtungen, ihren eigenen Ausweis ihren eigenen Benutzern ausgebend, die einem Besucher von einem bis einen anderen erlauben, von ihrer Hauseinrichtung, solcher als in Eduroam beglaubigt zu werden.

RADIUS erleichtert das durch den Gebrauch von Bereichen, die sich identifizieren, wo der RADIUS-Server die AAA-Bitten um die Verarbeitung nachschicken sollte.

Bereiche

Ein Bereich wird an einem Benutzernamen eines Benutzers allgemein angehangen und mit Zeichen abgegrenzt, einem E-Mail-Adresse-Domainnamen ähnelnd. Das ist als Notation der postüblen Lage für den Bereich bekannt. Ein anderer allgemeiner Gebrauch ist Präfix-Notation, die prepending der Bereich zum Benutzernamen einschließt und '\' als ein Begrenzungszeichen verwendend.

Moderne RADIUS-Server erlauben jedem Charakter, als ein Bereich-Begrenzungszeichen verwendet zu werden, obwohl in der Praxis und '\' gewöhnlich verwendet werden.

Bereiche können auch mit sowohl dem Präfix als auch der Notation der postüblen Lage zusammengesetzt werden, um komplizierte wandernde Drehbücher zu berücksichtigen; zum Beispiel somedomain.com konnte \username@anotherdomain.com ein gültiger Benutzername mit zwei Bereichen sein.

Obwohl Bereiche häufig Gebieten ähneln, ist es wichtig zu bemerken, dass Bereiche tatsächlich willkürlicher Text sind und echte Domainnamen nicht zu enthalten brauchen.

Proxyoperationen

Wenn ein RADIUS-Server eine AAA-Bitte um einen Benutzernamen erhält, der einen Bereich enthält, wird der Server in einem Tisch von konfigurierten Bereichen Verweise anbringen. Wenn der Bereich bekannt ist, wird der Server dann Vertretung die Bitte zum konfigurierten Hausserver für dieses Gebiet. Das Verhalten des proxying Servers bezüglich der Eliminierung des Bereichs von der Bitte ("das Abstreifen") ist von den meisten Servern von der Konfiguration abhängig. Außerdem kann der proxying Server konfiguriert werden, um AAA-Bitten hinzuzufügen, zu entfernen oder umzuschreiben, wenn sie proxied sind.

Sicherheit

Das Wandern mit dem RADIUS stellt die Benutzer zu verschiedenen Sicherheits- und Gemütlichkeitssorgen aus. Mehr allgemein setzen einige wandernde Partner einen sicheren Tunnel zwischen den RADIUS-Servern ein, um sicherzustellen, dass der Ausweis von Benutzern nicht abgefangen werden kann, proxied über das Internet seiend. Das ist eine Sorge, weil das MD5 in den RADIUS eingebaute Kuddelmuddel unsicher betrachtet wird.

Paket-Struktur

Das RADIUS-Paket-Datenformat wird nach rechts gezeigt. Die Felder werden vom linken bis Recht übersandt, mit dem Code, dem Bezeichner, der Länge, dem authenticator und den Attributen anfangend.

RADIUS-Codes (Dezimalzahl) werden wie folgt zugeteilt:

Das Bestimmungskennzeichnen hilft im Zusammenbringen von Bitten und Antworten.

Das Länge-Feld zeigt die Länge des kompletten RADIUS-Pakets einschließlich des Codes, des Bezeichners, der Länge, Authenticator und der fakultativen Attribut-Felder an.

Der Authenticator wird verwendet, um die Antwort vom RADIUS-Server zu beglaubigen, und wird in encrypting Kennwörtern verwendet; seine Länge ist 16 Bytes.

Attribut-Wertpaare

Der RADIUS Attribute Value Pairs (AVP) trägt Daten sowohl in der Bitte als auch in der Antwort für die Beglaubigung, Genehmigung und Buchhaltungstransaktionen. Die Länge des Radius-Pakets wird verwendet, um das Ende des AVPs zu bestimmen.

Mit dem Verkäufer spezifische Attribute

RADIUS ist ausziehbar; viele Verkäufer der RADIUS-Hardware und Software führen ihre eigenen Varianten mit mit dem Verkäufer spezifischen Attributen (VSAs) durch. Microsoft hat einige ihrer VSAs veröffentlicht. VSA Definitionen von vielen anderen Gesellschaften bleiben Eigentums- und/oder ad hoc.

UDP Hafen-Zahlen

RADIUS ist UDP Häfen 1812 für die RADIUS-Beglaubigung und 1813 für die RADIUS-Buchhaltung von Internet Assigned Numbers Authority (IANA) offiziell zugeteilt worden. Jedoch, vor der IANA Zuteilung von Häfen 1812 und 1813, Häfen wurden 1645 und 1646 (Beglaubigung und Buchhaltung, beziehungsweise) inoffiziell verwendet und sind die Verzug-Häfen geworden, die von vielen RADIUS Client-Server-Durchführungen der Zeit zugeteilt sind. Die Tradition, 1645 und 1646 für umgekehrt die Vereinbarkeit zu verwenden, geht bis jetzt weiter. Aus diesem Grund kontrollieren viele RADIUS-Server-Durchführungen beide Sätze von UDP Häfen für RADIUS-Bitten. Server-Verzug von Microsoft RADIUS bis 1812 und 1813. Cisco RADIUS-Server hören auf RADIUS-Häfen UDP 1645 und UDP 1812 für die Beglaubigung; auf Häfen 1646 und 1813 für die Buchhaltung und kann mit Sonderhäfen konfiguriert werden. Wacholder-Netz-RADIUS-Server hören sowohl auf inoffiziellen als auch auf offiziellen Häfen 1645, 1812, 1646 und 1813 standardmäßig, aber können mit willkürlichen Häfen konfiguriert werden. SBR

Sicherheit

Das RADIUS-Protokoll übersendet Kennwörter im Klartext zwischen dem NAS und RADIUS-Server (nicht sogar mit dem BREI-Protokoll) nicht. Eher wird ein geteiltes Geheimnis zusammen mit dem MD5 hashing Algorithmus verwendet, um Kennwörter zu verfinstern. Weil, wie man betrachtet, diese besondere Durchführung kein sehr starker Schutz des Ausweises des Benutzers ist, sollte zusätzlicher Schutz - wie IPsec-Tunnels oder physisch gesicherte Datenzentrum-Netze - verwendet werden, um weiter den RADIUS-Verkehr zwischen dem NAS Gerät und dem RADIUS-Server zu schützen. Zusätzlich, der Sicherheitsausweis des Benutzers sind der einzige Teil, der durch den RADIUS selbst geschützt ist, noch haben andere benutzerspezifische Attribute wie Personalausweise der Tunnel-Gruppe oder vlan Mitgliedschaften RADIUS übertragen kann empfindlich (nützlich einem Angreifer) oder privat (genügend betrachtet werden, um den individuellen Kunden zu erkennen), Information ebenso. Das Protokoll von RadSec behauptet, oben erwähnte Sicherheitsprobleme zu lösen.

RADIUS-Geschichte

RADIUS wurde in einem RFI durch das Verdienst-Netz 1991 ursprünglich angegeben, um Zifferblatt - im Zugang zu NSFnet zu kontrollieren. Unternehmen von Livingston haben auf den RFI mit einer Beschreibung eines RADIUS-Servers geantwortet. Verdienst-Netz hat den Vertrag Unternehmen von Livingston zuerkannt, die ihre Reihe von PortMaster von Netzzugriffsservern und dem anfänglichen RADIUS-Server geliefert haben, um Zu verdienen. RADIUS war später (1997) veröffentlicht als RFC 2058, und RFC 2059 (sind jetzige Versionen RFC 2865 und RFC 2866).

Jetzt bestehen mehrere kommerziell und RADIUS-Server der offenen Quelle. Eigenschaften können sich ändern, aber die meisten können die Benutzer in Textdateien, LDAP Servern, verschiedenen Datenbanken nachschlagen, usw. können Buchhaltungsaufzeichnungen Textdateien, verschiedenen Datenbanken geschrieben werden, die zu Außenservern usw. nachgeschickt sind. SNMP wird häufig für die entfernte Überwachung verwendet, und behalten Sie - lebendige Überprüfung eines RADIUS-Servers. RADIUS-Proxyserver werden für die zentralisierte Regierung verwendet und können RADIUS-Pakete im Fluge (für Sicherheitsgründe umschreiben, oder sich zwischen Verkäufer-Dialekten umzuwandeln).

Das Diameter-Protokoll ist der geplante Ersatz für den RADIUS. Diameter verwendet SCTP oder TCP, während RADIUS UDP als die Transportschicht verwendet.

RFCs

Das RADIUS-Protokoll wird zurzeit im folgenden IETF RFCs definiert: Veraltete RFCs werden mit dem strikethrough Text angezeigt.

Siehe auch

• 802.1X
• Diameter (Protokoll)
• Kerberos (Protokoll)
• Sicherheitsbehauptungspreiserhöhungssprache
• TACACS
• TACACS+

Bibliografie

Links

• Eine Analyse des RADIUS-Beglaubigungsprotokolls
• Die Entzifferung einer Sniffer-Spur der RADIUS-Transaktion
• das Verwenden von Wireshark, um bei RADIUS die Fehler zu beseitigen
• offener Quellcode einer reinen PHP Radius-Kundenklassendurchführung