RADIUS-Server (RADIUS Authentication) en hoe het werkt
Remote Authentication Dial-In User Service (RADIUS) is een client-server netwerkprotocol dat wordt uitgevoerd in de toepassingslaag. Het RADIUS-protocol maakt gebruik van een RADIUS-Server en RADIUS-Clients.
een RADIUS-Client (of netwerktoegangsserver) is een netwerkapparaat (zoals een VPN-concentrator, router, switch) dat wordt gebruikt om gebruikers te authenticeren.
een RADIUS-Server is een achtergrondproces dat draait op een UNIX-of Windows-server. Hiermee kunt u gebruikersprofielen in een centrale database onderhouden. Als u dus een RADIUS-Server hebt, hebt u de controle over wie verbinding kan maken met uw netwerk.
wanneer een gebruiker verbinding probeert te maken met een RADIUS-Client, verzendt de Client aanvragen naar de RADIUS-Server. De gebruiker kan alleen verbinding maken met de RADIUS-Client als de RADIUS-Server de gebruiker verifieert en autoriseert.
de werking van de RADIUS-Server hangt af van de exacte aard van het radius-ecosysteem. Alle servers hebben echter AAA-mogelijkheden (authenticatie, autorisatie en Accounting). In sommige radius-ecosystemen kan een RADIUS-Server ook fungeren als proxyclient voor andere RADIUS-Servers.
RADIUS-Servers bieden bedrijven de mogelijkheid om de privacy en veiligheid van hun systeem en hun gebruikers te behouden, en helpen zo bij het beveiligingsbeheer en het creëren van beleid voor Serverbeheer.
Hoe werken authenticatie en autorisatie van RADIUS-servers?
een RADIUS-Server ondersteunt verschillende methoden om een gebruiker te authenticeren. RADIUS-serververificatie en-autorisatie gaan hand in hand en beginnen meestal wanneer een gebruiker verbinding probeert te maken met de RADIUS-Client met behulp van een gebruikersnaam en wachtwoord. Een standaard RADIUS-verificatie – en autorisatieproces omvat de volgende stappen:
- de RADIUS-Client probeert zich bij de RADIUS-Server te authenticeren met behulp van gebruikersreferenties (gebruikersnaam en wachtwoord).
- de Client verzendt een Access-Request-bericht naar de RADIUS-Server. De boodschap bevat een gedeeld geheim. Wachtwoorden worden altijd versleuteld in het Access-Request bericht.
- de RADIUS-Server leest het gedeelde geheim en zorgt ervoor dat het Access-Request-bericht van een geautoriseerde Client komt. Als de Access-Request niet van een geautoriseerde Client komt, wordt het bericht verworpen.
- als de Client is geautoriseerd, leest de RADIUS-Server de gevraagde verificatiemethode.
- als de gebruikte verificatiemethode is toegestaan, leest de RADIUS-Server de gebruikersreferenties uit het bericht. Het komt overeen met de gebruikersreferenties tegen de gebruikersdatabase. Als er een overeenkomst is, haalt de RADIUS-Server extra gebruikersgegevens uit de gebruikersdatabase.
- de RADIUS-server controleert nu of er een toegangsbeleid of een profiel is dat overeenkomt met de gebruikersreferenties.
- als er geen overeenkomende tactiek is, stuurt de server een Access-Reject-bericht. De RADIUS-transactie eindigt en de gebruiker krijgt geen toegang tot het systeem.
- als er een overeenkomend beleid is, stuurt de RADIUS-Server een Access-Accept-bericht naar het apparaat.
- het Access-Accept-bericht bestaat uit een gedeeld geheim en een filter-id-attribuut. Als het gedeelde geheim niet overeenkomt, weigert de RADIUS-Client het bericht.
- als het gedeelde geheim overeenkomt, leest de Client de waarde van het filter-id-attribuut. Het filter-ID is een tekststring. De RADIUS-Client verbindt de gebruiker met een bepaalde RADIUS-groep met behulp van deze Filter-ID. Een RADIUS-Groep is een groep gebruikers met dezelfde FilterID-waarde. In de praktijk maakt een RADIUS-groep het makkelijker om gebruikers te categoriseren in functionele groepen (zoals Sales, Networking, System, HR, IT, enz.).
- de gebruiker wordt eindelijk geauthenticeerd en geautoriseerd en krijgt toegang tot de RADIUS-Client.
Hoe werkt accounting voor RADIUS-Server / RADIUS-authenticatie?
RADIUS-Servers worden ook gebruikt voor boekhoudkundige doeleinden. RADIUS accounting verzamelt gegevens voor netwerkbewaking, facturering of statistische doeleinden. Het accountingproces wordt meestal gestart wanneer de gebruiker toegang krijgt tot de RADIUS-Server. RADIUS-accounting kan echter ook onafhankelijk van RADIUS-verificatie en-autorisatie worden gebruikt.
een basisradius-boekhoudproces omvat de volgende stappen:
- het proces wordt gestart wanneer de gebruiker toegang krijgt tot de RADIUS-Server.
- de RADIUS-Client verzendt een pakket RADIUS-Accounting-Request, bekend als Accounting Start, naar de RADIUS-Server. Het aanvraagpakket bestaat uit de gebruikers-ID, het netwerkadres, de sessieidentifier en het toegangspunt.
- tijdens de sessie kan de Client aanvullende Accounting-Request-pakketten, bekend als tussentijdse Update, naar de RADIUS-Server sturen. Deze pakketten bevatten details zoals de huidige duur van de sessie en het gebruik van gegevens. Dit pakket dient om de informatie over de sessie van de gebruiker bij te werken naar de RADIUS-Server.
- zodra de toegang van de gebruiker tot de RADIUS-Server is beëindigd, verzendt de RADIUS-Client een ander pakket Accounting-Request, bekend als Accounting Stop, naar de RADIUS-Server. Het pakket bevat informatie zoals de totale tijd, gegevens en pakketten die de reden voor het verbreken van de verbinding hebben overgedragen, en andere informatie die relevant is voor de sessie van de gebruiker.
conclusie
een RADIUS-Server voorkomt dat de privé-informatie van uw organisatie wordt gelekt naar snooping outsiders. Het maakt ook eenvoudige afschrijving mogelijkheden en stelt individuele gebruikers in staat om te worden toegewezen met unieke netwerkmachtigingen. Het kan integreren in uw bestaande systeem zonder significante veranderingen.
het gebruik en de voordelen van RADIUS-Servers zijn verstrekkend. Dus als u op zoek bent om een radius-ecosysteem te integreren in uw huidige systeem met gemak, contact opnemen met Foxpass vandaag.
Wi-Fi is een handelsmerk van Wi-Fi Alliance®
Leave a Reply