RADIUS (Remote Authentication in Dial-In User Service) - протокол AAA (authentication, authorization і accounting), розроблений для передачі відомостей між програмами-сервісами (NAS, Network Access Server) і системою білінгу. Для аутентифікації і авторизації користувачів або організації їх обліку можна порекомендувати використовувати RADIUS. Тим більше, коли мова йде про великі мережах, доступ до яких дозволений чималого числа людей.

Що слід в даному випадку розуміти під термінами «авторизація«, «аутентифікація» і «аккаунтинга«?

• Аутентифікація - процес визначення тотожності користувача, в найбільш загальному вигляді - за допомогою імені ( «логіна») і пароля.
• Авторизація - визначення мережевих сервісів, доступних конкретного користувача, і сервісів, до яких доступ заборонений.
• аккаунтинга - журнал роботи використання мережевих ресурсів і сервісів.

у загальному випадку алгоритм прив'язки RADIUS-сервера до бездротової мережі може бути такий:

Як бачимо, процедура досить сувора, але в той же час логічно вірна - хоча і має місце лише до управління доступом.

Основні складові частини служби ідентифікації віддалених користувачів (Remote Authentication Dial-In User Service, RADIUS) описуються двома RFC від IETF: RFC 2865 під назвою Remote Authentication Dial-In User Service (RADIUS) у формі проекту стандарту і RFC 2866 під назвою RADIUSAccounting у вигляді «інформаційного RFC». Спочатку концепція RADIUS полягала в забезпеченні віддаленого доступу через комутоване телефонне з'єднання. Згодом викристалізувалися і інші області застосування цієї технології.До них відносяться сервери віртуальних приватних мереж (Virtual Private Network, VPN) - вони в більшості своїй підтримують Rаdius, - а також точки доступу бездротових локальних мереж (WirelessLAN, WLAN), і це далеко не все.

Концепція служби ідентифікації віддалених користувачів на увазі, що клієнт RADIUS - зазвичай сервер доступу, сервер VPN або точка доступу бездротової локальної мережі - відсилає сервера RADIUS параметри доступу користувача (в англомовній документації вони часто називаються Credentials, т.е. мандат, куди, наприклад, входять його налаштування безпеки і права доступу), а також параметри відповідного з'єднання. Для цього клієнт використовує спеціальний формат, так званий RADIUS-Message (повідомлення RADIUS). У відповідь сервер починає перевірку, в ході якої він аутентифікує і авторизує запит клієнта RADIUS, а потім пересилає йому відповідь - RADIUS-Message-response. Після цього клієнт передає на сервер RADIUS облікову інформацію.

Ще одна особливість - підтримка агентів RADIUS.Ці системи призначені виключно для забезпечення обміну повідомленнями RADIUS між клієнтами, серверами і іншими агентами. Звідси можна зробити висновок, що повідомлення ніколи не передаються безпосередньо від клієнта до сервера.

Самі по собі повідомлення RADIUS передаються в формі пакетів UDP. Причому інформація про аутентифікації направляється на порт UDP з номером 1812. Деякі сервери доступу використовують, однак, порти 1645 (для повідомлень про аутентифікації) або, відповідно, 1646 (для обліку) - вибір повинен визначати своїм рішенням адміністратор.В поле даних пакета UDP (так звана корисне навантаження) завжди поміщається тільки одне повідомлення RADIUS. Відповідно до RFC 2865 і RFC 2866 визначені наступні типи повідомлень.

Типи повідомлень RADIUS

• Access-Request - «запит доступу». Запит клієнта RADIUS, з якого починається власне аутентифікація і авторизація спроби доступу в мережу;
• Access-Accept - «доступ дозволений». За допомогою цієї відповіді на запит доступу клієнту RADIUS повідомляється, що спроба з'єднання була успішно аутентифицироваться і авторизована;
• Access-Reject - «доступ не дозволено».Ця відповідь сервера RADIUS означає, що спроба доступу до мережі не вдалася. Таке можливо в тому випадку, якщо для користувача даних недостатньо для успішної аутентифікації або доступ для користувача не авторизований;
• Access-Challenge - «виклик запиту». Сервер RADIUS передає його у відповідь на запит доступу;
• Accounting-Request - «запит обліку», який клієнт RADIUS відсилає для введення облікової інформації після отримання дозволу на доступ;
• Accounting-Response - «відповідь обліку».Таким чином, сервер RADIUS реагує на запит обліку і підтверджує факт обробки запиту обліку.

Повідомлення RADIUS завжди складається з заголовка і атрибутів, кожен з яких містить ту чи іншу інформацію про спробу доступу: наприклад, ім'я та пароль користувача, запитувані послуги і IP-адреса сервера доступу. Таким чином, головним завданням атрибутів RADIUS є транспортування інформації між клієнтами, серверами і іншими агентами RADIUS.Атрибути RADIUS визначені в декількох RFC, а саме: RFC 2865, RFC 2866, RFC 2867, RFC 2868, RFC 2869 і RFC 3162.

RADIUS може спільно працювати з різними протоколами аутентифікації. Найбільш часто використовуються протокол аутентифікації пароля (Password Authentication Protocol, РАР), протокол аутентифікації з попереднім узгодженням (Challenge Handshake Authentication Protocol, CHAP), а також MS-CHAP (CHAP від ​​Microsoft в першій версії або MS-CHAPv2 - у другій). Крім того, можливе застосування RADIUS разом з PPP, протоколом передачі «точка-точка» (Point-to-PointProtocol).Результати сеансу аутентифікації між сервером доступу і чинним клієнтом передаються на сервер RADIUS, який їх потім засвідчує.

Для захисту повідомлень клієнт і сервер RADIUS володіють «загальним секретом» або, простіше кажучи, ключем. При цьому мова, як правило, йде про ланцюжок символів, наявної як на серверах, так і на клієнті RADIUS.