RADIUS Server (RADIUS Authentication) e come funziona

Remote Authentication Dial-In User Service (RADIUS) è un protocollo di rete client-server che viene eseguito nel livello dell’applicazione. Il protocollo RADIUS utilizza un server RADIUS e client RADIUS.

Un client RADIUS (o Server di accesso alla rete) è un dispositivo di rete (come un concentratore VPN, un router, uno switch) utilizzato per autenticare gli utenti.

Un server RADIUS è un processo in background che viene eseguito su un server UNIX o Windows. Consente di mantenere i profili utente in un database centrale. Quindi, se si dispone di un server RADIUS, si ha il controllo su chi può connettersi con la rete.

Quando un utente tenta di connettersi a un client RADIUS, il Client invia richieste al Server RADIUS. L’utente può connettersi al client RADIUS solo se il server RADIUS autentica e autorizza l’utente.

Il funzionamento del Server RADIUS dipende dalla natura esatta dell’ecosistema RADIUS. Tuttavia, tutti i server hanno funzionalità AAA (autenticazione, autorizzazione e contabilità). In alcuni ecosistemi RADIUS, un server RADIUS può anche fungere da client proxy per altri server RADIUS.

I server RADIUS offrono alle aziende la possibilità di preservare la privacy e la sicurezza del proprio sistema e dei propri utenti, aiutando così nella gestione della sicurezza e nella creazione di policy per l’amministrazione dei server.

Come funziona l’autenticazione e l’autorizzazione del server RADIUS?

Un server RADIUS supporta una varietà di metodi per autenticare un utente. L’autenticazione e l’autorizzazione del server RADIUS vanno di pari passo e di solito iniziano quando un utente tenta di connettersi al client RADIUS utilizzando un nome utente e una password. Un processo di autenticazione e autorizzazione RADIUS di base include i seguenti passaggi:

1. Il client RADIUS tenta di autenticarsi sul server RADIUS utilizzando le credenziali utente (nome utente e password).
2. Il Client invia un messaggio di richiesta di accesso al Server RADIUS. Il messaggio comprende un segreto condiviso. Le password sono sempre crittografate nel messaggio di richiesta di accesso.
3. Il server RADIUS legge il segreto condiviso e garantisce che il messaggio di richiesta di accesso provenga da un client autorizzato. Se la richiesta di accesso non proviene da un client autorizzato, il messaggio viene scartato.
4. Se il Client è autorizzato, il Server RADIUS legge il metodo di autenticazione richiesto.
5. Se il metodo di autenticazione utilizzato è consentito, il server RADIUS legge le credenziali utente dal messaggio. Corrisponde alle credenziali utente rispetto al database utente. Se esiste una corrispondenza, il Server RADIUS estrae ulteriori dettagli utente dal database utente.
6. Il server RADIUS ora controlla se esiste un criterio di accesso o un profilo che corrisponde alle credenziali dell’utente.
7. Se non ci sono criteri corrispondenti, il server invia un messaggio di rifiuto di accesso. La transazione RADIUS termina e all’utente viene negato l’accesso al sistema.
8. Se esiste un criterio corrispondente, il server RADIUS invia un messaggio di accettazione di accesso al dispositivo.
9. Il messaggio Access-Accept è costituito da un segreto condiviso e da un attributo ID filtro. Se il segreto condiviso non corrisponde, il client RADIUS rifiuta il messaggio.
10. Se il segreto condiviso corrisponde, il Client legge il valore dell’attributo Filter ID. L’ID filtro è una stringa di testo. Il client RADIUS connette l’utente a un particolare gruppo RADIUS utilizzando questo ID filtro. Un gruppo RADIUS è un gruppo di utenti con lo stesso valore FilterID. In pratica, un gruppo RADIUS semplifica la categorizzazione degli utenti in gruppi funzionali (come vendite, rete, sistema, risorse umane, IT, ecc.).
11. L’utente è finalmente autenticato e autorizzato e otterrà l’accesso al Client RADIUS.

Come funziona la contabilizzazione del server RADIUS / RADIUS Authentication?

I server RADIUS vengono utilizzati anche a fini contabili. RADIUS accounting raccoglie dati per il monitoraggio della rete, la fatturazione o scopi statistici. Il processo di contabilità inizia in genere quando all’utente viene concesso l’accesso al server RADIUS. Tuttavia, la contabilità RADIUS può anche essere utilizzata indipendentemente dall’autenticazione e dall’autorizzazione RADIUS.

Un processo di contabilità RADIUS di base include i seguenti passaggi:

1. Il processo inizia quando all’utente viene concesso l’accesso al server RADIUS.
2. Il Client RADIUS invia un pacchetto di richiesta di contabilità RADIUS noto come Accounting Start al server RADIUS. Il pacchetto di richiesta comprende l’ID utente, l’indirizzo di rete, l’identificatore di sessione e il punto di accesso.
3. Durante la sessione, il Client può inviare ulteriori pacchetti di richiesta di contabilità noti come aggiornamento intermedio al Server RADIUS. Questi pacchetti includono dettagli come la durata della sessione corrente e l’utilizzo dei dati. Questo pacchetto ha lo scopo di aggiornare le informazioni sulla sessione dell’utente al server RADIUS.
4. Una volta terminato l’accesso dell’utente al Server RADIUS, il Client RADIUS invia un altro pacchetto di richiesta contabile noto come Accounting Stop al server RADIUS. Il pacchetto include informazioni come il tempo totale, i dati e i pacchetti trasferiti il motivo della disconnessione e altre informazioni rilevanti per la sessione dell’utente.

Conclusione

Un server RADIUS impedisce che le informazioni private della tua organizzazione vengano divulgate agli estranei. Consente inoltre funzionalità di ammortamento semplici e consente ai singoli utenti di assegnare autorizzazioni di rete univoche. Può integrarsi nel sistema esistente senza modifiche significative.

Gli usi e i vantaggi dei server RADIUS sono di ampia portata. Quindi, se stai cercando di integrare facilmente un ecosistema RADIUS nel tuo sistema attuale, contatta Foxpass oggi stesso.

Wi-Fi è un marchio di Wi-Fi Alliance®