سرویس احراز هویت از راه دور

سرویس احراز هویت از راه دور (رادیوس) یک پروتکل شبکه ای است که احراز هویت متمرکز، مجوز و مدیریت حسابداری (AAA (امنیت رایانه)) را برای کاربرانی که به یک سرویس شبکه متصل می‌شوند و از آن استفاده می‌کنند، ارائه می‌دهد. رادیوس توسط لوینگتون اینترپرایز در سال ۱۹۹۱ به عنوان یک پروتکل احراز هویت و حسابداری سرور دسترسی توسعه داده شد. بعداً به آی‌تریپل‌ئی ۸۰۲ و کارگروه مهندسی اینترنت وارد شد.

رادیوس یک پروتکل کلاینت/سرور است که در لایه برنامه اجرا می‌شود و می‌تواند از تی‌سی‌پی یا یودی‌پی استفاده کند. سرورهای دسترسی به شبکه، که دسترسی به یک شبکه را کنترل می‌کنند، معمولاً شامل یک مؤلفه رادیوس کلاینت هستند که با رادیوس سرور ارتباط برقرار می‌کند.^[۱] رادیوس اغلب گزینه اصلی برای احراز هویت 802.1X است. رادیوس سرور معمولاً یک فرایند پس‌زمینه است که روی یونیکس یا مایکروسافت ویندوز اجرا می‌شود.^[۱]

اجزای پروتکل

رادیوس یک پروتکل AAA (احراز هویت، مجوز، و حسابداری) است که دسترسی به شبکه را مدیریت می‌کند. رادیوس از دو نوع بسته برای مدیریت فرآیند احراز هویت، مجوز، و حسابداری (AAA) کامل استفاده می‌کند: درخواست-دسترسی که احراز هویت و مجوز را مدیریت می‌کند. و درخواست-حسابداری که حسابداری را مدیریت می‌کند. احراز هویت و مجوز در RFC 2865 تعریف شده‌است در حالی که حسابداری توسط RFC 2866 توضیح داده شده‌است.

احراز هویت و اعطای مجوز

کاربر یا ماشین درخواستی را به یک سرور دسترسی به شبکه (NAS) ارسال می‌کند تا با استفاده از اعتبار دسترسی به یک منبع شبکه خاص دسترسی پیدا کند. اعتبارنامه‌ها از طریق پروتکل لایه پیوند به دستگاه NAS منتقل می‌شود - به عنوان مثال، پروتکل نقطه به نقطه (PPP) در مورد بسیاری از ارائه دهندگان دایل-آپ یا خط اشتراک دیجیتال یا در یک فرم وب امن پروتکل امن انتقال ابرمتن پست می‌شود.

NAS یک پیام درخواست دسترسی رادیوس به سرور رادیوس ارسال می‌کند و درخواست مجوز برای اعطای دسترسی از طریق پروتکل رادیوس می‌کند.^[۲]

این درخواست که شامل اعتبار دسترسی است، معمولاً به شکل نام کاربری و رمز عبور یا گواهی امنیتی ارائه شده توسط کاربر. علاوه بر این، درخواست ممکن است حاوی اطلاعات دیگری باشد که NAS دربارهٔ کاربر می‌داند، مانند آدرس شبکه یا شماره تلفن آن، و اطلاعات مربوط به نقطه اتصال فیزیکی کاربر به NAS.

سرور رادیوس با استفاده از طرح‌های احراز هویت مانند پروتکل تأیید گذرواژه، پروتکل چالش - دست‌دهی تأیید هویت یا EAP صحت اطلاعات را بررسی می‌کند. مدرک شناسایی کاربر، به‌صورت اختیاری، سایر اطلاعات مربوط به درخواست، مانند آدرس شبکه یا شماره تلفن کاربر، وضعیت حساب، و امتیازات دسترسی به سرویس شبکه خاص تأیید می‌شود. از لحاظ تاریخی، سرورهای رادیوس اطلاعات کاربر را با پایگاه داده فایل تخت ذخیره شده محلی بررسی می‌کردند. سرورهای مدرن رادیوس می‌توانند این کار را انجام دهند یا می‌توانند به منابع خارجی - معمولاً سرورهای اس‌کیوال، کربروس (پروتکل)، ال‌دپ یا اکتیو دایرکتوری - برای تأیید اعتبار کاربر مراجعه کنند.

سپس سرور رادیوس یکی از سه پاسخ را به NAS برمی‌گرداند:

رد کردن دسترسی: کاربر بدون قید و شرط از دسترسی به تمام منابع شبکه درخواستی خودداری می‌کند. دلایل ممکن است شامل عدم ارائه مدرک شناسایی یا یک حساب کاربری ناشناخته یا غیرفعال باشد.

چالش دسترسی: اطلاعات اضافی مانند رمز عبور ثانویه، پین، رمز یا کارت را از کاربر درخواست می‌کند. چالش دسترسی همچنین در گفتگوهای احراز هویت پیچیده‌تر استفاده می‌شود که در آن یک تونل امن بین ماشین کاربر و سرور رادیوس ایجاد می‌شود به گونه ای که اعتبار دسترسی از NAS پنهان می‌شود.

دسترسی به پذیرش: به کاربر اجازه دسترسی داده می‌شود. هنگامی که کاربر احراز هویت شد، سرور رادیوس اغلب بررسی می‌کند که کاربر مجاز به استفاده از سرویس شبکه درخواستی است. ممکن است یک کاربر معین مجاز به استفاده از شبکه بی‌سیم یک شرکت باشد، اما برای مثال از سرویس VPN آن استفاده نمی‌کند. مجدداً، این اطلاعات ممکن است به صورت محلی در سرور رادیوس ذخیره شود یا ممکن است در یک منبع خارجی مانند LDAP یا Active Directory جستجو شود.

منابع

↑ ^۱٫۰ ^۱٫۱ "How Does RADIUS Work?". Cisco. 2006-01-19. Retrieved 2009-04-15.
↑ RFC 2865 Remote Authentication Dial In User Service (RADIUS)

[ciscohow-1] ۱٫۰ ^۱٫۱ "How Does RADIUS Work?". Cisco. 2006-01-19. Retrieved 2009-04-15.

[rfc2865-2] RFC 2865 Remote Authentication Dial In User Service (RADIUS)

[۱]

[۲]