Come funziona RADIUS?

Introduzione

Il protocollo RADIUS (Remote Authentication Dial-In User Service) è stato sviluppato da Livingston Enterprises, Inc. come un protocollo di autenticazione e accounting del server di accesso. La specifica RADIUS RFC 2865 obsoleta RFC 2138. Lo standard di contabilità RADIUS RFC 2866 obsoleta RFC 2139.

Prerequisiti

Requisiti

Non ci sono prerequisiti specifici per questo documento.

Componenti usati

Questo documento non è limitato a specifiche versioni software e hardware.

Convenzioni

Per maggiori informazioni sulle convenzioni del documento, vedere le convenzioni dei suggerimenti tecnici Cisco.

Informazioni di base

La comunicazione tra un server di accesso alla rete (NAS) e un server RADIUS si basa sul protocollo UDP (User Datagram Protocol). Generalmente, il protocollo RADIUS è considerato un servizio senza connessione. I problemi relativi alla disponibilità del server, alla ritrasmissione e ai timeout sono gestiti dai dispositivi abilitati a RADIUS piuttosto che dal protocollo di trasmissione.

RADIUS è un protocollo client/server. Il client RADIUS è tipicamente un NAS e il server RADIUS è solitamente un processo demone che gira su una macchina UNIX o Windows NT. Il client passa le informazioni dell’utente ai server RADIUS designati e agisce sulla risposta che viene restituita. I server RADIUS ricevono le richieste di connessione dell’utente, autenticano l’utente e poi restituiscono le informazioni di configurazione necessarie al client per fornire il servizio all’utente. Un server RADIUS può agire come client proxy verso altri server RADIUS o altri tipi di server di autenticazione.

Questa figura mostra l’interazione tra un utente che chiama e il client e il server RADIUS.

  1. L’utente inizia l’autenticazione PPP al NAS.

  2. Il NAS richiede nome utente e password (se Password Authentication Protocol) o sfida (se Challenge Handshake Authentication Protocol).

  3. L’utente risponde.

  4. Il client RADIUS invia nome utente e password criptata al server RADIUS.

  5. Il server RADIUS risponde con Accetta, Rifiuta o Sfida.

  6. Il client RADIUS agisce sui servizi e sui parametri dei servizi in combinazione con Accetta o Rifiuta.

Autenticazione e autorizzazione

Il server RADIUS può supportare una varietà di metodi per autenticare un utente. Quando gli vengono forniti il nome utente e la password originale forniti dall’utente, può supportare PPP, PAP o CHAP, login UNIX e altri meccanismi di autenticazione.

In genere, un login utente consiste in una query (Access-Request) dal NAS al server RADIUS e una risposta corrispondente (Access-Accept o Access-Reject) dal server. Il pacchetto Access-Request contiene il nome utente, la password criptata, l’indirizzo IP del NAS e la porta. La prima implementazione di RADIUS è stata fatta usando la porta UDP numero 1645, che è in conflitto con il servizio “datametrics”. A causa di questo conflitto, RFC 2865 ha assegnato ufficialmente il numero di porta 1812 per RADIUS. La maggior parte dei dispositivi e delle applicazioni Cisco offre supporto per entrambi i numeri di porta. Il formato della richiesta fornisce anche informazioni sul tipo di sessione che l’utente vuole avviare. Per esempio, se la richiesta è presentata in modalità carattere, l’inferenza è “Service-Type = Exec-User,” ma se la richiesta è presentata in modalità pacchetto PPP, l’inferenza è “Service Type = Framed User” e “Framed Type = PPP.”

Quando il server RADIUS riceve la Access-Request dal NAS, cerca in un database lo username elencato. Se il nome utente non esiste nel database, o viene caricato un profilo predefinito o il server RADIUS invia immediatamente un messaggio Access-Reject. Questo messaggio Access-Reject può essere accompagnato da un messaggio di testo che indica il motivo del rifiuto.

In RADIUS, l’autenticazione e l’autorizzazione sono accoppiate insieme. Se il nome utente viene trovato e la password è corretta, il server RADIUS restituisce una risposta Access-Accept, compresa una lista di coppie attributo-valore che descrivono i parametri da usare per questa sessione. I parametri tipici includono il tipo di servizio (shell o framed), il tipo di protocollo, l’indirizzo IP da assegnare all’utente (statico o dinamico), la lista di accesso da applicare o una rotta statica da installare nella tabella di routing del NAS. Le informazioni di configurazione nel server RADIUS definiscono ciò che sarà installato sul NAS. La figura sottostante illustra la sequenza di autenticazione e autorizzazione RADIUS.

Accounting

Le funzioni di accounting del protocollo RADIUS possono essere usate indipendentemente dall’autenticazione o autorizzazione RADIUS. Le funzioni di accounting di RADIUS permettono di inviare dati all’inizio e alla fine delle sessioni, indicando la quantità di risorse (come tempo, pacchetti, byte e così via) utilizzate durante la sessione. Un fornitore di servizi Internet (ISP) potrebbe usare il software di controllo degli accessi e di contabilità RADIUS per soddisfare particolari esigenze di sicurezza e di fatturazione. La porta di accounting per RADIUS per la maggior parte dei dispositivi Cisco è 1646, ma può anche essere 1813 (a causa del cambiamento delle porte come specificato in RFC 2139 ).

Le transazioni tra il client e il server RADIUS sono autenticate attraverso l’uso di un segreto condiviso, che non viene mai inviato in rete. Inoltre, le password degli utenti sono inviate criptate tra il client e il server RADIUS per eliminare la possibilità che qualcuno, curiosando in una rete insicura, possa determinare la password di un utente.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *