RADIUS Server (RADIUS Authentication) ja miten se toimii
Remote Authentication Dial-in User Service (RADIUS) on asiakas-palvelin-verkostoitumisprotokolla, joka toimii sovelluskerroksessa. RADIUS-protokolla käyttää RADIUS-palvelinta ja RADIUS-asiakkaita.
RADIUS Client (tai Network Access Server) on verkkolaite (kuten VPN-keskitin, reititin, kytkin), jota käytetään käyttäjien todentamiseen.
RADIUS-palvelin on taustaprosessi, joka toimii UNIX-tai Windows-palvelimella. Sen avulla voit ylläpitää käyttäjäprofiileja keskustietokannassa. Näin ollen, jos sinulla on RADIUS-palvelin, voit hallita kuka voi muodostaa yhteyden verkkoon.
kun käyttäjä yrittää muodostaa yhteyden RADIUS-asiakkaaseen, asiakas lähettää pyynnöt RADIUS-palvelimelle. Käyttäjä voi muodostaa yhteyden RADIUS-asiakasohjelmaan vain, jos RADIUS-palvelin todentaa ja valtuuttaa käyttäjän.
RADIUS-palvelimen toiminta riippuu RADIUS-ekosysteemin tarkasta luonteesta. Kaikilla palvelimilla on kuitenkin AAA-ominaisuudet (Authentication, Authorization, and Accounting). Joissakin säde-ekosysteemeissä RADIUS-palvelin voi toimia välityspalvelimena myös muille RADIUS-palvelimille.
RADIUS-palvelimet tarjoavat yrityksille mahdollisuuden säilyttää järjestelmänsä ja käyttäjiensä Yksityisyys ja turvallisuus, mikä auttaa tietoturvan hallinnassa ja palvelinhallinnan käytäntöjen luomisessa.
miten RADIUS-palvelimen todennus ja valtuutus toimivat?
RADIUS-palvelin tukee erilaisia menetelmiä käyttäjän todentamiseksi. RADIUS-palvelimen todennus ja valtuutus kulkevat käsi kädessä ja alkavat yleensä, kun käyttäjä yrittää muodostaa yhteyden RADIUS-asiakkaaseen käyttäjätunnuksen ja salasanan avulla. Radius-todennus ja valtuutusprosessi sisältää seuraavat vaiheet:
- RADIUS-asiakas yrittää todentaa RADIUS-palvelimelle käyttäjätunnuksilla (käyttäjätunnus ja salasana).
- asiakas lähettää RADIUS-palvelimelle Access-Request-viestin. Viesti sisältää yhteisen salaisuuden. Salasanat salataan aina Käyttöoikeuspyyntöviestissä.
- RADIUS-palvelin lukee jaetun salaisuuden ja varmistaa, että Käyttöoikeuspyyntöviesti on valtuutetulta asiakkaalta. Jos käyttöoikeuspyyntö ei ole valtuutetulta asiakkaalta, viesti hylätään.
- jos asiakas on valtuutettu, RADIUS-palvelin lukee pyydetyn todennusmenetelmän.
- jos käytetty todennusmenetelmä on sallittu, RADIUS-palvelin lukee käyttäjän tunnistetiedot viestistä. Se täsmää käyttäjätunnukset käyttäjän tietokantaan. Jos löytyy vastaavuus, RADIUS-palvelin poimii lisää käyttäjän tietoja käyttäjätietokannasta.
- RADIUS-palvelin tarkistaa nyt, onko käytössä käyttöoikeuskäytäntö tai profiili, joka vastaa käyttäjän tunnistetietoja.
- jos vastaavuuskäytäntöä ei ole, palvelin lähettää Access-Reject-viestin. RADIUS-tapahtuma päättyy, ja käyttäjältä evätään pääsy järjestelmään.
- jos on olemassa täsmäyskäytäntö, RADIUS-palvelin lähettää laitteelle Access-Accept-viestin.
- Access-Accept-Sanoma koostuu jaetusta salaisuudesta ja Filter ID-attribuutista. Jos jaettu salaisuus ei täsmää, RADIUS-asiakas hylkää viestin.
- jos jaettu salaisuus täsmää, asiakas lukee Filter ID-attribuutin arvon. Suodatintunnus on merkkijono tekstiä. RADIUS-asiakas yhdistää käyttäjän tiettyyn RADIUS-ryhmään tämän Suodatintunnuksen avulla. RADIUS-ryhmä on ryhmä käyttäjiä, joilla on sama FilterID-arvo. Käytännössä RADIUS-ryhmä helpottaa käyttäjien luokittelua toiminnallisiin ryhmiin (kuten myynti, verkostoituminen, järjestelmä, HR, IT jne.).
- käyttäjä on lopullisesti autentikoitu ja valtuutettu ja pääsee RADIUS-asiakasohjelmaan.
miten RADIUS Server / RADIUS-todennuksen kirjanpito toimii?
RADIUS-palvelimia käytetään myös kirjanpitotarkoituksiin. RADIUS accounting kerää tietoja verkon seurantaa, laskutusta tai tilastointia varten. Kirjanpitoprosessi alkaa tyypillisesti silloin, kun käyttäjä saa käyttöoikeuden RADIUS-palvelimeen. RADIUS-kirjanpitoa voidaan kuitenkin käyttää myös RADIUS-todennuksesta ja valtuutuksesta riippumatta.
säde-peruskirjanpito sisältää seuraavat vaiheet:
- prosessi alkaa, kun käyttäjälle myönnetään pääsy RADIUS-palvelimeen.
- RADIUS-asiakas lähettää radius Accounting-pyynnön paketin, joka tunnetaan nimellä Accounting Start, RADIUS-palvelimelle. Pyyntöpaketti koostuu käyttäjätunnuksesta, verkko-osoitteesta, istuntotunnisteesta ja pääsypisteestä.
- istunnon aikana asiakas voi lähettää RADIUS-palvelimelle ylimääräisiä Tilipyyntöpaketteja, joita kutsutaan Väliaikapäivityksiksi. Nämä paketit sisältävät tietoja, kuten istunnon kesto ja tietojen käyttö. Tämän paketin tarkoituksena on päivittää käyttäjän istuntoa koskevat tiedot RADIUS-palvelimelle.
- kun käyttäjän pääsy RADIUS-palvelimelle päättyy, RADIUS-asiakas lähettää RADIUS-palvelimelle toisen Tilipyyntöpaketin, joka tunnetaan nimellä Accounting Stop. Paketti sisältää tietoja, kuten kokonaisaika, tiedot ja paketit, jotka siirtävät yhteyden katkeamisen syyn, sekä muita käyttäjän istuntoon liittyviä tietoja.
johtopäätös
RADIUS-palvelin estää organisaatiosi yksityistietojen vuotamisen nuuskiville ulkopuolisille. Se mahdollistaa myös helpot poistot ja mahdollistaa yksittäisten käyttäjien määrittämisen ainutlaatuisilla verkko-oikeuksilla. Se voidaan integroida olemassa olevaan järjestelmään ilman merkittäviä muutoksia.
RADIUS-palvelinten käyttötarkoitukset ja hyödyt ovat laajakantoisia. Jos siis haluat integroida säde-ekosysteemin nykyiseen järjestelmääsi helposti, ota yhteyttä Foxpassiin jo tänään.
Wi-Fi on Wi-Fi Alliancen®tavaramerkki
Leave a Reply