Inleiding
In dit document wordt beschreven wat een RADIUS-server is en hoe deze werkt.
Voorwaarden
Vereisten
Er zijn geen specifieke voorwaarden van toepassing op dit document.
Gebruikte componenten
Dit document is niet beperkt tot specifieke software- en hardware-versies.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Conventies
Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.
Achtergrondinformatie
Het RADIUS-protocol (Remote Authentication Dial-In User Service) is door Livingston Enterprises, Inc. ontwikkeld als een protocol voor verificatie en accounting van de toegangsserver.
De communicatie tussen een netwerktoegangsserver (NAS) en een RADIUS-server is gebaseerd op het User Datagram Protocol (UDP). Over het algemeen wordt het RADIUS-protocol beschouwd als een service zonder verbindingen.
Problemen in verband met de beschikbaarheid van de server, hertransmissies en time-outs worden afgehandeld door de RADIUS-apparaten en niet door het transmissieprotocol.
RADIUS is een client/server-protocol
De RADIUS-client is meestal een NAS en de RADIUS-server is meestal een daemon-proces dat wordt uitgevoerd op een UNIX- of Windows NT-machine.
De client geeft gebruikersinformatie door aan aangewezen RADIUS-servers en handelt naar aanleiding van de geretourneerde respons.
RADIUS-servers ontvangen verzoeken voor gebruikersverbindingen, verifiëren de gebruiker en bieden vervolgens de configuratie-informatie die nodig is voor de client om de service aan de gebruiker te leveren.
Een RADIUS-server kan als een proxyclient fungeren voor andere RADIUS-servers of andere soorten verificatieservers.
Deze figuur toont de interactie tussen een inbelgebruiker, de RADIUS-client en de server.
Interactie tussen inbelgebruiker en de RADIUS-client en -server
-
De gebruiker initieert PPP-verificatie op de NAS.
-
De NAS vraagt om een gebruikersnaam en wachtwoord (bij Password Authentication Protocol [PAP]) of om een challenge (bij Challenge Handshake Authentication Protocol [CHAP]).
-
De gebruiker reageert.
-
De RADIUS-client stuurt de gebruikersnaam en het versleutelde wachtwoord naar de RADIUS-server.
-
De RADIUS-server reageert met Accept, Reject of Challenge.
-
De RADIUS-client handelt op basis van de services en serviceparameters die met Accept of Reject zijn gebundeld.
Verificatie en autorisatie
De RADIUS-server ondersteunt een diverse methoden om een gebruiker te verifiëren. Wanneer de gebruikersnaam en het oorspronkelijke wachtwoord door de gebruiker worden verstrekt, kan deze ondersteuning bieden voor PPP, PAP of CHAP, UNIX-aanmelding en andere verificatiemechanismen.
Een gebruikersaanmelding bestaat doorgaans uit een query (Access-Request) van de NAS naar de RADIUS-server en een corresponderend antwoord (Access-Accept of Access-Reject) van de server.
Het Access-Request-pakket bevat de gebruikersnaam, het versleutelde wachtwoord en het IP-adres en de poort van de NAS. De vroege inzet van RADIUS werd gedaan met UDP-poortnummer 1645, wat in strijd is met de "data metrics" -service.
Vanwege dit conflict heeft RFC 2865 poortnummer 1812 officieel toegewezen aan RADIUS. De meeste apparaten en toepassingen van Cisco bieden ondersteuning voor beide poortnummers.
De indeling van het verzoek geeft ook informatie over het soort sessie dat de gebruiker wil initiëren.
Als de query bijvoorbeeld in tekenmodus wordt weergegeven, is de gevolgtrekking Servicetype = Exec-gebruiker, maar als het verzoek in PPP-pakketmodus wordt weergegeven, is de gevolgtrekking Servicetype = Framed User en Framed Type = PPP.
Wanneer de RADIUS-server het Access-Request van de NAS ontvangt, zoekt deze in een database naar de gegeven gebruikersnaam.
Als de gebruikersnaam niet bestaat in de database, wordt een standaardprofiel geladen of verzendt de RADIUS-server onmiddellijk een Access-Reject-bericht.
Dit Access-Reject-bericht kan vergezeld gaan van een sms-bericht waarin de reden voor de weigering wordt vermeld.
Bij RADIUS zijn verificatie en autorisatie gekoppeld. Als de gebruikersnaam wordt gevonden en het wachtwoord juist is, geeft de RADIUS-server een Access-Accept-antwoord terug, dat een lijst bevat van attribuut-waardeparen die de parameters beschrijven die voor deze sessie moeten worden gebruikt. Gangbare parameters omvatten servicetype (shell of framed), protocoltype, IP-adres om toe te wijzen aan de gebruiker (statisch of dynamisch), toe te passen toegangslijst of een statische route om in de routingtabel van de NAS te installeren. De configuratiegegevens in de RADIUS-server bepalen wat op de NAS kan worden geïnstalleerd.
Deze figuur illustreert de RADIUS-verificatie en autorisatiesequentie.
RADIUS-verificatie en autorisatiesequentie
Accounting
De accountingfuncties van het RADIUS-protocol kunnen onafhankelijk van RADIUS-verificatie of -autorisatie worden gebruikt.
Met de boekhoudfuncties van RADIUS kunnen gegevens worden verzonden aan het begin en einde van sessies, die de hoeveelheid resources (zoals tijd, pakketten, bytes, enzovoort) aangeven die tijdens de sessie worden gebruikt.
Een Internet Service Provider (ISP) kan RADIUS-toegangscontrole en boekhoudsoftware gebruiken om aan speciale beveiligings- en factureringsbehoeften te voldoen.
De accountingpoort voor RADIUS is 1646 op de meeste Cisco-apparaten, maar kan ook 1813 zijn (vanwege de verandering van poorten zoals gespecificeerd in RFC 2139).
De transacties tussen de client en de RADIUS-server worden geverifieerd door middel van een gedeeld geheim dat nooit via het netwerk wordt verzonden.
Bovendien worden gebruikerswachtwoorden gecodeerd verzonden tussen de client en de RADIUS-server om de mogelijkheid te elimineren dat iemand die op een onveilig netwerk snuffelt een gebruikerswachtwoord kan bepalen.
Gerelateerde informatie