Serwer RADIUS (uwierzytelnianie RADIUS) i jak to działa

Usługa zdalnego uwierzytelniania Dial-In User Service (RADIUS) to protokół sieciowy klient-serwer działający w warstwie aplikacji. Protokół RADIUS wykorzystuje serwer RADIUS i klientów RADIUS.

klient RADIUS (lub serwer dostępu sieciowego) to urządzenie sieciowe (takie jak koncentrator VPN, router, przełącznik), które służy do uwierzytelniania użytkowników.

serwer RADIUS to proces działający w tle na serwerze UNIX lub Windows. Pozwala na utrzymywanie profili użytkowników w centralnej bazie danych. W związku z tym, jeśli masz serwer RADIUS, masz kontrolę nad tym, kto może połączyć się z Twoją siecią.

gdy użytkownik próbuje połączyć się z Klientem RADIUS, klient wysyła żądania do serwera RADIUS. Użytkownik może połączyć się z Klientem RADIUS tylko wtedy, gdy serwer RADIUS uwierzytelni i autoryzuje użytkownika.

działanie serwera RADIUS zależy od dokładnej natury ekosystemu RADIUS. Jednak wszystkie serwery mają funkcje AAA (uwierzytelnianie, Autoryzacja i Księgowość). W niektórych ekosystemach usługi RADIUS serwer usługi RADIUS może również działać jako klient proxy dla innych serwerów usługi RADIUS.

Serwery RADIUS oferują firmom możliwość zachowania prywatności i bezpieczeństwa swojego systemu i użytkowników, pomagając w ten sposób w zarządzaniu bezpieczeństwem i tworzeniu zasad administracji serwerami.

jak działa uwierzytelnianie i autoryzacja serwera RADIUS?

serwer RADIUS obsługuje różne metody uwierzytelniania użytkownika. Uwierzytelnianie i autoryzacja serwera RADIUS idą w parze i zwykle zaczynają się, gdy użytkownik próbuje połączyć się z klientem RADIUS za pomocą nazwy użytkownika i hasła. Podstawowy proces uwierzytelniania i autoryzacji RADIUS obejmuje następujące kroki:

1. klient RADIUS próbuje uwierzytelnić się na serwerze RADIUS przy użyciu poświadczeń użytkownika (nazwa użytkownika i hasło).
2. klient wysyła wiadomość żądania dostępu do serwera RADIUS. Wiadomość zawiera wspólną tajemnicę. Hasła są zawsze szyfrowane w wiadomości żądania dostępu.
3. serwer RADIUS odczytuje udostępniony sekret i zapewnia, że wiadomość żądania dostępu pochodzi od autoryzowanego klienta. Jeśli żądanie dostępu nie pochodzi od autoryzowanego klienta, wiadomość jest odrzucana.
4. jeśli Klient jest autoryzowany, serwer RADIUS odczytuje żądaną metodę uwierzytelniania.
5. jeśli metoda uwierzytelniania jest dozwolona, wtedy serwer RADIUS odczytuje dane uwierzytelniające użytkownika z wiadomości. Dopasowuje poświadczenia użytkownika do bazy danych użytkownika. Jeśli istnieje dopasowanie, serwer RADIUS wyodrębnia dodatkowe dane użytkownika z bazy danych użytkowników.
6. serwer RADIUS sprawdza teraz, czy istnieje zasada dostępu lub profil pasujący do poświadczeń użytkownika.
7. jeśli nie ma pasujących zasad, serwer wysyła komunikat Odrzuć dostęp. Transakcja RADIUS kończy się, a użytkownikowi odmawia się dostępu do systemu.
8. jeśli istnieje pasująca zasada, serwer RADIUS wysyła do urządzenia wiadomość Accept-Accept.
9. wiadomość Accept-Accept składa się ze wspólnej tajemnicy i atrybutu Filter ID. Jeśli udostępniony sekret nie pasuje, klient RADIUS odrzuca wiadomość.
10. jeśli współdzielony sekret pasuje, Klient odczytuje wartość atrybutu Filter ID. Identyfikator filtra jest ciągiem tekstowym. Klient RADIUS łączy użytkownika z określoną grupą RADIUS za pomocą tego identyfikatora filtra. Grupa RADIUS to grupa użytkowników, którzy mają tę samą wartość FilterID. Praktycznie Grupa RADIUS ułatwia kategoryzację użytkowników w grupach funkcjonalnych (takich jak sprzedaż, Networking, System, HR, IT itp.).
11. użytkownik zostaje ostatecznie uwierzytelniony i autoryzowany i uzyska dostęp do klienta RADIUS.

jak działa rozliczanie uwierzytelniania serwera RADIUS / RADIUS?

Serwery RADIUS są również używane do celów księgowych. Usługa RADIUS accounting gromadzi dane do celów monitorowania sieci, rozliczeń lub statystyk. Proces księgowania rozpoczyna się zazwyczaj, gdy użytkownik uzyskuje dostęp do serwera RADIUS. Jednak księgowanie RADIUS może być również używane niezależnie od uwierzytelniania i autoryzacji RADIUS.

podstawowy proces księgowania RADIUS obejmuje następujące kroki:

1. proces rozpoczyna się, gdy użytkownik uzyska dostęp do serwera RADIUS.
2. klient RADIUS wysyła do serwera RADIUS Pakiet żądań księgowych RADIUS znany jako Accounting Start. Pakiet żądania zawiera identyfikator użytkownika, adres sieciowy, identyfikator sesji i punkt dostępu.
3. podczas sesji klient może wysłać dodatkowe pakiety Accounting-Request znane jako Interim Update do serwera RADIUS. Pakiety te zawierają szczegóły, takie jak bieżący czas trwania sesji i wykorzystanie danych. Pakiet ten służy do aktualizacji informacji o sesji użytkownika do serwera RADIUS.
4. po zakończeniu dostępu użytkownika do serwera RADIUS klient RADIUS wysyła do serwera RADIUS kolejny pakiet żądania księgowego znany jako zatrzymanie księgowości. Pakiet zawiera informacje, takie jak całkowity czas, Dane i pakiety przesłane powód rozłączenia oraz inne informacje istotne dla sesji użytkownika.

podsumowanie

serwer RADIUS zapobiega wyciekowi prywatnych informacji Twojej organizacji do osób szpiegujących. Pozwala również na łatwą amortyzację i umożliwia przydzielanie indywidualnych użytkowników z unikalnymi uprawnieniami sieciowymi. Może zintegrować się z istniejącym systemem bez żadnych istotnych zmian.

zastosowania i zalety serwerów RADIUS są szeroko zakrojone. Dlatego jeśli chcesz z łatwością zintegrować ekosystem RADIUS z obecnym systemem, skontaktuj się z Foxpass już dziś.

Wi-Fi jest znakiem towarowym Wi-Fi Alliance®