RADIUSサーバー(RADIUS認証)とその仕組み
Remote Authentication Dial-In User Service(RADIUS)は、アプリケーション層で実行されるクライアントサーバーネットワークプロトコルです。 RADIUSプロトコルは、RADIUSサーバーとRADIUSクライアントを使用します。
RADIUSクライアント(またはネットワークアクセスサーバー)は、ユーザーの認証に使用されるネットワークデバイス(VPNコンセントレータ、ルーター、スイッチなど)です。
RADIUSサーバーは、UNIXまたはWindowsサーバー上で実行されるバックグラウンドプロセスです。 これにより、中央データベース内のユーザープロファイルを維持できます。 したがって、RADIUSサーバーがある場合は、ネットワークに接続できるユーザーを制御できます。
ユーザがRADIUSクライアントに接続しようとすると、クライアントはRADIUSサーバーに要求を送信します。 ユーザは、RADIUSサーバがユーザを認証および承認した場合にのみ、RADIUSクライアントに接続できます。
RADIUSサーバーの動作は、RADIUSエコシステムの正確な性質に依存します。 ただし、すべてのサーバにAAA機能(認証、認可、およびアカウンティング)があります。 一部のRADIUSエコシステムでは、RADIUSサーバーは他のRADIUSサーバーへのプロキシクライアントとして機能することもできます。
RADIUSサーバーは、企業にシステムとユーザーのプライバシーとセキュリティを維持する機能を提供するため、セキュリティ管理やサーバー管理のポリシーの作成に役立
RADIUSサーバーの認証および許可はどのように機能しますか。
RADIUSサーバは、ユーザを認証するためのさまざまな方法をサポートします。 RADIUSサーバ認証および認可は手に手をとって行き、通常ユーザがユーザ名およびパスワードを使用してRADIUSクライアントに接続することを試みるとき開始しま 基本的なRADIUS認証および認可プロセスには、次の手順が含まれます。
- RADIUSクライアントは、ユーザ資格情報ユーザー名とパスワー
- クライアントはRADIUSサーバにAccess-Requestメッセージを送信します。 このメッセージは共有秘密で構成されます。 パスワードは常にAccess-Requestメッセージで暗号化されます。
- RADIUSサーバーは共有秘密を読み取り、Access-Requestメッセージが承認されたクライアントからのものであることを確認します。 アクセス要求が承認されたクライアントからのものでない場合、メッセージは破棄されます。
- クライアントが許可されている場合、RADIUSサーバーは要求された認証方式を読み取ります。
- 使用される認証方式が許可されている場合、RADIUSサーバはメッセージからユーザ資格情報を読み取ります。 これは、ユーザーの資格情報をユーザーデータベースと照合します。 一致するものがある場合、RADIUSサーバはユーザデータベースから追加のユーザ詳細を抽出します。
- RADIUSサーバーは、ユーザー資格情報に一致するアクセスポリシーまたはプロファイルがあるかどうかを確認します。
- 一致するポリシーがない場合、サーバはAccess-Rejectメッセージを送信します。 RADIUSトランザクションが終了し、ユーザーはシステムへのアクセスを拒否されます。一致するポリシーがある場合、RADIUSサーバはAccess-Acceptメッセージをデバイスに送信します。
- Access-Acceptメッセージは、共有秘密とフィルタID属性で構成されます。 共有秘密が一致しない場合、RADIUSクライアントはメッセージを拒否します。
- 共有シークレットが一致する場合、クライアントはFilter ID属性の値を読み取ります。 フィルタIDはテキストの文字列です。 RADIUSクライアントは、このフィルタIDを使用してユーザーを特定のRADIUSグループに接続します。 RADIUSグループは、同じFilterID値を持つユーザーのグループです。 実際には、RADIUSグループを使用すると、ユーザーを機能グループ(Sales、Networking、System、HR、ITなど)に簡単に分類できます。).
- ユーザは最終的に認証され、許可され、RADIUSクライアントへのアクセスを取得します。
RADIUSサーバー/RADIUS認証のアカウンティングはどのように機能しますか。
RADIUSサーバーは、アカウンティングの目的でも使用されます。 RADIUS accountingは、ネットワークの監視、請求、または統計の目的でデータを収集します。 アカウンティングプロセスは、通常、ユーザにRADIUSサーバへのアクセス権が付与されたときに開始されます。 ただし、RADIUSアカウンティングは、RADIUS認証および認可とは無関係に使用することもできます。
基本的なRADIUSアカウンティングプロセスには、次の手順が含まれます:
- このプロセスは、ユーザにRADIUSサーバへのアクセス権が付与されたときに開始されます。
- RADIUSクライアントは、Accounting Startと呼ばれるRADIUS Accounting-RequestパケットをRADIUSサーバーに送信します。 要求パケットは、ユーザID、ネットワークアドレス、セッション識別子、およびアクセスポイントを含む。
- セッション中、クライアントは中間更新と呼ばれる追加のアカウンティング要求パケットをRADIUSサーバーに送信することがあります。 これらのパケットには、現在のセッション期間やデータ使用量などの詳細が含まれます。 このパケットは、ユーザのセッションに関する情報をRADIUSサーバに更新する目的で使用されます。
- RADIUSサーバーへのユーザーのアクセスが終了すると、RADIUSクライアントはAccounting Stopと呼ばれる別のAccounting-RequestパケットをRADIUSサーバーに送信します。 パケットには、切断の理由を転送した合計時間、データ、およびパケットなどの情報、およびユーザのセッションに関連する他の情報が含まれる。
結論
RADIUSサーバーは、組織の個人情報が外部の詮索者に漏洩するのを防ぎます。 また、簡単な減価償却機能を可能にし、個々のユーザーに固有のネットワーク権限を割り当てることができます。 それは重要な変更なしであなたの既存のシステムに統合できる。
RADIUSサーバの用途と利点は多岐にわたります。 したがって、RADIUSエコシステムを現在のシステムに簡単に統合しようとしている場合は、今日Foxpassにお問い合わせください。
Wi-FiはWi-Fi Alliance®の商標です
Leave a Reply