RADIUS
RADIUS (Remote Authentication Dial In User Service) is een AAA (authenticatie, autorisatie en accounting) systeem. Het systeem wordt gebruikt om de identiteit van een gebruiker die toegang wenst tot een netwerk, te kunnen vaststellen. RADIUS is in 1991 ontwikkeld door Livingston Enterprises voor hun eigen PortMaster Network Access Server, maar is in 1997 als open standaard gepubliceerd, zie onder meer RFC-2058 en RFC-2059. Nieuwe RFC's zijn de nummers 2865 tot en met 2869.
Inhoud |
[bewerk] Authenticatie
Er bestaan verschillende methoden waarmee de authenticatie kan plaatsvinden. Standaard meldt een gebruiker zich op een netwerk aan door het opgeven van een gebruikersnaam en een wachtwoord. Van oudsher gebeurt dat door in te bellen op een inbelserver, een RAS-server, die bij de verbinding de gebruiker vraagt zich aan te melden. Via een speciaal netwerkprotocol worden deze authenticatiegegevens ter fiattering aangeboden aan de RADIUS server. Deze server controleert de identificatie en meldt het aanvragende inbelsysteem of de authenticatie is geslaagd. Deze methodiek van aanmelden wordt niet alleen bij de RAS-servers gebruikt, maar ook door de Internet Service Providers. Die maken dan ook gebruik van een belangrijke faciliteit van RADIUS, namelijk de schaalbaarheid. RADIUS servers kunnen elkaar vertrouwen, waardoor de authenticatie van een gebruiker door een andere RADIUS kan worden afgehandeld. Dat gebeurt in de regel doordat een gebruiker zich aanmeldt als lid van een Realm, een RADIUS domein. Dat gebeurt bijvoorbeeld doordat de gebruiker zich aanmeldt als lid @ realm.extensie.
[bewerk] Gebruikerbeheer
- Systeem database gebruikers hebben een eigen account in Unix stijl (in het bestand /etc/passwd)
- Interne database; er wordt gebruikgemaakt van een interne RADIUS database, waarin de gegevens versleuteld zijn opgenomen
- Gebruikers worden in een externe SQL-database opgevoerd
- Er wordt gebruikgemaakt van PAM-modules (Pluggable Authentication System)
- De RADIUS server raadpleegt de gegevens in een externe LDAP database
[bewerk] Sessie
RADIUS beheert ook de sessiegegevens. Als de sessie wordt afgebroken wordt dat meegedeeld aan de RADIUS server, die daarmee de administratie kan voeren, waarmee eventueel doorbelasting van de communicatiekosten kan gebeuren.
[bewerk] Protocollen
Voor de authenticatie kunnen verschillende protocollen worden gebruikt. Belangrijkste protocollen zijn:
[bewerk] Communicatie
- PPP (Point-to-point protocol) voor de feitelijke communicatie tussen aanvrager en server
[bewerk] Authenticatie
- PAP (Password Authentication Protocol, gegevens worden onversleuteld verwerkt)
- CHAP (Challenge-handshake authentication protocol, er wordt gebruikgemaakt van versleuteling en van een sterkere vorm van authenticatie tussen de betrokken systemen, de Three Way Handshake)
- EAP (Extensible Authentication Protocol, ook LEAP, PEAP)
[bewerk] Poorten
Voor RADIUS wordt UDP poort 1812 gebruikt (oude implementaties gebruikten nog UDP poort 1645, maar die conflicteerde met de 'datametrics' dienst). Voor de accounting dienst wordt poort 1813 gebruikt (dat was UDP 1646, maar die conflicteerde met 'sa-msg-port').
[bewerk] Zie ook
- 802.1X Implementatie van versterkte authenticatie voor hardware voor onder meer draadloze netwerken, op basis van RADIUS
- Tacacs Concurrerend unix authenticatiesysteem