RADIUS-Server (RADIUS-Authentifizierung) und Funktionsweise

RADIUS (Remote Authentication Dial-In User Service) ist ein Client-Server-Netzwerkprotokoll, das in der Anwendungsschicht ausgeführt wird. Das RADIUS-Protokoll verwendet einen RADIUS-Server und RADIUS-Clients.

Ein RADIUS-Client (oder Netzwerkzugriffsserver) ist ein Netzwerkgerät (wie ein VPN-Konzentrator, Router, Switch), das zur Authentifizierung von Benutzern verwendet wird.

Ein RADIUS-Server ist ein Hintergrundprozess, der auf einem UNIX- oder Windows-Server ausgeführt wird. Sie können Benutzerprofile in einer zentralen Datenbank verwalten. Wenn Sie also über einen RADIUS-Server verfügen, haben Sie die Kontrolle darüber, wer sich mit Ihrem Netzwerk verbinden kann.

Wenn ein Benutzer versucht, eine Verbindung zu einem RADIUS-Client herzustellen, sendet der Client Anforderungen an den RADIUS-Server. Der Benutzer kann nur dann eine Verbindung zum RADIUS-Client herstellen, wenn der RADIUS-Server den Benutzer authentifiziert und autorisiert.

Die Funktionsweise des RADIUS-Servers hängt von der genauen Art des RADIUS-Ökosystems ab. Alle Server verfügen jedoch über AAA-Funktionen (Authentifizierung, Autorisierung und Buchhaltung). In einigen RADIUS-Ökosystemen kann ein RADIUS-Server auch als Proxy-Client für andere RADIUS-Server fungieren.

RADIUS-Server bieten Unternehmen die Möglichkeit, die Privatsphäre und Sicherheit ihres Systems und ihrer Benutzer zu wahren und so das Sicherheitsmanagement und die Erstellung von Richtlinien für die Serveradministration zu unterstützen.

Wie funktioniert die RADIUS-Serverauthentifizierung und -autorisierung?

Ein RADIUS-Server unterstützt eine Vielzahl von Methoden zur Authentifizierung eines Benutzers. Die Authentifizierung und Autorisierung des RADIUS-Servers gehen Hand in Hand und beginnen normalerweise, wenn ein Benutzer versucht, mit einem Benutzernamen und einem Kennwort eine Verbindung zum RADIUS-Client herzustellen. Ein grundlegender RADIUS-Authentifizierungs- und Autorisierungsprozess umfasst die folgenden Schritte:

1. Der RADIUS-Client versucht, sich mit Benutzeranmeldeinformationen (Benutzername und Kennwort) beim RADIUS-Server zu authentifizieren.
2. Der Client sendet eine Zugriffsanforderungsnachricht an den RADIUS-Server. Die Nachricht enthält ein gemeinsames Geheimnis. Passwörter werden in der Access-Request-Nachricht immer verschlüsselt.
3. Der RADIUS-Server liest das gemeinsame Geheimnis und stellt sicher, dass die Zugriffsanforderungsnachricht von einem autorisierten Client stammt. Wenn die Zugriffsanforderung nicht von einem autorisierten Client stammt, wird die Nachricht verworfen.
4. Wenn der Client autorisiert ist, liest der RADIUS-Server die angeforderte Authentifizierungsmethode.
5. Wenn die verwendete Authentifizierungsmethode zulässig ist, liest der RADIUS-Server die Benutzeranmeldeinformationen aus der Nachricht. Es gleicht die Benutzeranmeldeinformationen mit der Benutzerdatenbank ab. Wenn eine Übereinstimmung vorliegt, extrahiert der RADIUS-Server zusätzliche Benutzerdetails aus der Benutzerdatenbank.
6. Der RADIUS-Server prüft nun, ob eine Zugriffsrichtlinie oder ein Profil vorhanden ist, das mit den Benutzeranmeldeinformationen übereinstimmt.
7. Wenn keine übereinstimmende Richtlinie vorhanden ist, sendet der Server eine Access-Reject-Nachricht. Die RADIUS-Transaktion wird beendet und dem Benutzer wird der Zugriff auf das System verweigert.
8. Wenn eine übereinstimmende Richtlinie vorhanden ist, sendet der RADIUS-Server eine Access-Accept-Nachricht an das Gerät.
9. Die Access-Accept-Nachricht besteht aus einem Shared Secret und einem Filter-ID-Attribut. Wenn das gemeinsame Geheimnis nicht übereinstimmt, lehnt der RADIUS-Client die Nachricht ab.
10. Wenn das gemeinsame Geheimnis übereinstimmt, liest der Client den Wert des Filter-ID-Attributs. Die Filter-ID ist eine Textzeichenfolge. Der RADIUS-Client verbindet den Benutzer mithilfe dieser Filter-ID mit einer bestimmten RADIUS-Gruppe. Eine RADIUS-Gruppe ist eine Gruppe von Benutzern mit demselben FilterID-Wert. In der Praxis erleichtert eine RADIUS-Gruppe die Kategorisierung von Benutzern in Funktionsgruppen (z. B. Vertrieb, Netzwerk, System, HR, IT usw.).).
11. Der Benutzer ist schließlich authentifiziert und autorisiert und erhält Zugriff auf den RADIUS-Client.

Wie funktioniert die Buchhaltung für RADIUS-Server / RADIUS-Authentifizierung?

RADIUS-Server werden auch für Abrechnungszwecke verwendet. RADIUS Accounting erfasst Daten zu Netzwerküberwachungs-, Abrechnungs- oder statistischen Zwecken. Der Abrechnungsprozess beginnt normalerweise, wenn dem Benutzer Zugriff auf den RADIUS-Server gewährt wird. RADIUS Accounting kann jedoch auch unabhängig von der RADIUS-Authentifizierung und -Autorisierung verwendet werden.

Ein grundlegender RADIUS-Abrechnungsprozess umfasst die folgenden Schritte:

1. Der Prozess beginnt, wenn dem Benutzer Zugriff auf den RADIUS-Server gewährt wird.
2. Der RADIUS-Client sendet ein RADIUS Accounting-Request-Paket, bekannt als Accounting Start, an den RADIUS-Server. Das Anforderungspaket umfasst die Benutzer-ID, die Netzwerkadresse, die Sitzungskennung und den Zugriffspunkt.
3. Während der Sitzung kann der Client zusätzliche Accounting-Request-Pakete, bekannt als Interim Update, an den RADIUS-Server senden. Diese Pakete enthalten Details wie die aktuelle Sitzungsdauer und die Datennutzung. Dieses Paket dient dazu, die Informationen über die Sitzung des Benutzers an den RADIUS-Server zu aktualisieren.
4. Sobald der Zugriff des Benutzers auf den RADIUS-Server beendet ist, sendet der RADIUS-Client ein weiteres Accounting-Request-Paket, das als Accounting Stop bezeichnet wird, an den RADIUS-Server. Das Paket enthält Informationen wie Gesamtzeit, Daten und übertragene Pakete, den Grund für die Trennung und andere Informationen, die für die Sitzung des Benutzers relevant sind.

Ein RADIUS-Server verhindert, dass die privaten Informationen Ihrer Organisation an ausspionierende Außenstehende weitergegeben werden. Es ermöglicht auch einfache Abschreibungsfunktionen und ermöglicht es einzelnen Benutzern, eindeutige Netzwerkberechtigungen zuzuweisen. Es kann ohne wesentliche Änderungen in Ihr bestehendes System integriert werden.

Die Anwendungen und Vorteile von RADIUS-Servern sind weitreichend. Wenn Sie also ein RADIUS-Ökosystem problemlos in Ihr aktuelles System integrieren möchten, wenden Sie sich noch heute an Foxpass.

Wi-Fi ist eine Marke der Wi-Fi Alliance®