RADIUS

RADIUS (remote authentication dial-in user service) is een AAA (authenticatie-, autorisatie- en accounting-)systeem. Het systeem wordt gebruikt om de identiteit van een gebruiker die toegang wenst tot een netwerk, te kunnen vaststellen. RADIUS is in 1991 ontwikkeld door Livingston Enterprises voor hun eigen PortMaster Network Access Server, maar is in 1997 als open standaard gepubliceerd, zie onder meer RFC-2058 en RFC-2059. Nieuwe RFC's zijn de nummers 2865 tot en met 2869.

Schematische uitleg RADIUS

Authenticatie

Er bestaan verschillende methoden waarmee de authenticatie kan plaatsvinden. Standaard meldt een gebruiker zich op een netwerk aan door het opgeven van een gebruikersnaam en een wachtwoord. Van oudsher gebeurt dat door in te bellen op een inbelserver, een RAS-server, die bij de verbinding de gebruiker vraagt zich aan te melden. Via een speciaal netwerkprotocol worden deze authenticatiegegevens ter fiattering aangeboden aan de RADIUS-server. Deze server controleert de identificatie en meldt het aanvragende inbelsysteem of de authenticatie is geslaagd. Deze methodiek van aanmelden wordt niet alleen bij de RAS-servers gebruikt, maar ook door de Internet Service Providers. Die maken dan ook gebruik van een belangrijke faciliteit van RADIUS, namelijk de schaalbaarheid. RADIUS servers kunnen elkaar vertrouwen, waardoor de authenticatie van een gebruiker door een andere RADIUS kan worden afgehandeld. Dat gebeurt in de regel doordat een gebruiker zich aanmeldt als lid van een Realm, een RADIUS domein. Dat gebeurt bijvoorbeeld doordat de gebruiker zich aanmeldt als lid @ realm.extensie.

Gebruikerbeheer

• Systeem database gebruikers hebben een eigen account in Unix stijl (in het bestand /etc/passwd)
• Interne database; er wordt gebruikgemaakt van een interne RADIUS database, waarin de gegevens versleuteld zijn opgenomen
• Gebruikers worden in een externe SQL-database opgevoerd
• Er wordt gebruikgemaakt van PAM-modules
• De RADIUS server raadpleegt de gegevens in een externe LDAP-database

Sessie

RADIUS beheert ook de sessiegegevens. Als de sessie wordt afgebroken wordt dat meegedeeld aan de RADIUS server, die daarmee de administratie kan voeren, waarmee eventueel doorbelasting van de communicatiekosten kan gebeuren.

Protocollen

Voor de authenticatie kunnen verschillende protocollen worden gebruikt. Belangrijkste protocollen zijn:

Communicatie

• PPP (Point-to-point protocol) voor de feitelijke communicatie tussen aanvrager en server

Authenticatie

• PAP (Password Authentication Protocol, gegevens worden onversleuteld verwerkt)
• CHAP (Challenge-handshake authentication protocol, er wordt gebruikgemaakt van versleuteling en van een sterkere vorm van authenticatie tussen de betrokken systemen, de Three Way Handshake)
• EAP (Extensible Authentication Protocol, ook LEAP, PEAP)

Poorten

Voor RADIUS wordt UDP poort 1812 gebruikt (oude implementaties gebruikten nog UDP poort 1645, maar die conflicteerde met de 'datametrics' dienst). Voor de accounting dienst wordt poort 1813 gebruikt (dat was UDP 1646, maar die conflicteerde met 'sa-msg-port').

Zie ook

• 802.1X Implementatie van versterkte authenticatie voor hardware voor onder meer draadloze netwerken, op basis van RADIUS
• Tacacs Concurrerend unix authenticatiesysteem

Externe links

• Homepagina
• Open source implementatie
• RFC van DIAMETER
• Geschiedenis van RADIUS
• Pluggable Authentication Service