Examine how the RADIUS Works (Onderzoeken hoe RADIUS werkt)

Downloadopties

  • PDF     (254.4 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (96.9 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (127.1 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:26 januari 2024
Document-id:12433

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    In dit document wordt beschreven wat een RADIUS-server is en hoe deze werkt.

    Voorwaarden

    Vereisten

    Er zijn geen specifieke voorwaarden van toepassing op dit document.

    Gebruikte componenten

    Dit document is niet beperkt tot specifieke software- en hardware-versies.

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Conventies

    Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

    Achtergrondinformatie

    Het RADIUS-protocol (Remote Authentication Dial-In User Service) is door Livingston Enterprises, Inc. ontwikkeld als een protocol voor verificatie en accounting van de toegangsserver.

    De communicatie tussen een netwerktoegangsserver (NAS) en een RADIUS-server is gebaseerd op het User Datagram Protocol (UDP). Over het algemeen wordt het RADIUS-protocol beschouwd als een service zonder verbindingen.

    Problemen in verband met de beschikbaarheid van de server, hertransmissies en time-outs worden afgehandeld door de RADIUS-apparaten en niet door het transmissieprotocol.

    RADIUS is een client/server-protocol

    De RADIUS-client is meestal een NAS en de RADIUS-server is meestal een daemon-proces dat wordt uitgevoerd op een UNIX- of Windows NT-machine.

    De client geeft gebruikersinformatie door aan aangewezen RADIUS-servers en handelt naar aanleiding van de geretourneerde respons.

    RADIUS-servers ontvangen verzoeken voor gebruikersverbindingen, verifiëren de gebruiker en bieden vervolgens de configuratie-informatie die nodig is voor de client om de service aan de gebruiker te leveren.

    Een RADIUS-server kan als een proxyclient fungeren voor andere RADIUS-servers of andere soorten verificatieservers.

    Deze figuur toont de interactie tussen een inbelgebruiker, de RADIUS-client en de server.

    Interaction between Dial-in User and the RADIUS Client and ServerInteractie tussen inbelgebruiker en de RADIUS-client en -server

    1. De gebruiker initieert PPP-verificatie op de NAS.

    2. De NAS vraagt om een gebruikersnaam en wachtwoord (bij Password Authentication Protocol [PAP]) of om een challenge (bij Challenge Handshake Authentication Protocol [CHAP]).

    3. De gebruiker reageert.

    4. De RADIUS-client stuurt de gebruikersnaam en het versleutelde wachtwoord naar de RADIUS-server.

    5. De RADIUS-server reageert met Accept, Reject of Challenge.

    6. De RADIUS-client handelt op basis van de services en serviceparameters die met Accept of Reject zijn gebundeld.

    Verificatie en autorisatie

    De RADIUS-server ondersteunt een diverse methoden om een gebruiker te verifiëren. Wanneer de gebruikersnaam en het oorspronkelijke wachtwoord door de gebruiker worden verstrekt, kan deze ondersteuning bieden voor PPP, PAP of CHAP, UNIX-aanmelding en andere verificatiemechanismen.

    Een gebruikersaanmelding bestaat doorgaans uit een query (Access-Request) van de NAS naar de RADIUS-server en een corresponderend antwoord (Access-Accept of Access-Reject) van de server.

    Het Access-Request-pakket bevat de gebruikersnaam, het versleutelde wachtwoord en het IP-adres en de poort van de NAS. De vroege inzet van RADIUS werd gedaan met UDP-poortnummer 1645, wat in strijd is met de "data metrics" -service.

    Vanwege dit conflict heeft RFC 2865 poortnummer 1812 officieel toegewezen aan RADIUS. De meeste apparaten en toepassingen van Cisco bieden ondersteuning voor beide poortnummers.

    De indeling van het verzoek geeft ook informatie over het soort sessie dat de gebruiker wil initiëren.

    Als de query bijvoorbeeld in tekenmodus wordt weergegeven, is de gevolgtrekking Servicetype = Exec-gebruiker, maar als het verzoek in PPP-pakketmodus wordt weergegeven, is de gevolgtrekking Servicetype = Framed User en Framed Type = PPP.

    Wanneer de RADIUS-server het Access-Request van de NAS ontvangt, zoekt deze in een database naar de gegeven gebruikersnaam.

    Als de gebruikersnaam niet bestaat in de database, wordt een standaardprofiel geladen of verzendt de RADIUS-server onmiddellijk een Access-Reject-bericht.

    Dit Access-Reject-bericht kan vergezeld gaan van een sms-bericht waarin de reden voor de weigering wordt vermeld.

    Bij RADIUS zijn verificatie en autorisatie gekoppeld. Als de gebruikersnaam wordt gevonden en het wachtwoord juist is, geeft de RADIUS-server een Access-Accept-antwoord terug, dat een lijst bevat van attribuut-waardeparen die de parameters beschrijven die voor deze sessie moeten worden gebruikt. Gangbare parameters omvatten servicetype (shell of framed), protocoltype, IP-adres om toe te wijzen aan de gebruiker (statisch of dynamisch), toe te passen toegangslijst of een statische route om in de routingtabel van de NAS te installeren. De configuratiegegevens in de RADIUS-server bepalen wat op de NAS kan worden geïnstalleerd.

    Deze figuur illustreert de RADIUS-verificatie en autorisatiesequentie.

    RADIUS Authentication and Authorization SequenceRADIUS-verificatie en autorisatiesequentie

    Accounting

    De accountingfuncties van het RADIUS-protocol kunnen onafhankelijk van RADIUS-verificatie of -autorisatie worden gebruikt.

    Met de boekhoudfuncties van RADIUS kunnen gegevens worden verzonden aan het begin en einde van sessies, die de hoeveelheid resources (zoals tijd, pakketten, bytes, enzovoort) aangeven die tijdens de sessie worden gebruikt.

    Een Internet Service Provider (ISP) kan RADIUS-toegangscontrole en boekhoudsoftware gebruiken om aan speciale beveiligings- en factureringsbehoeften te voldoen.

    De accountingpoort voor RADIUS is 1646 op de meeste Cisco-apparaten, maar kan ook 1813 zijn (vanwege de verandering van poorten zoals gespecificeerd in RFC 2139).

    De transacties tussen de client en de RADIUS-server worden geverifieerd door middel van een gedeeld geheim dat nooit via het netwerk wordt verzonden.

    Bovendien worden gebruikerswachtwoorden gecodeerd verzonden tussen de client en de RADIUS-server om de mogelijkheid te elimineren dat iemand die op een onveilig netwerk snuffelt een gebruikerswachtwoord kan bepalen.

    Gerelateerde informatie

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    2.0
    26-Jan-2024
    hercertificering
    1.0
    06-Dec-2001
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco