RADIUS | это... Что такое RADIUS? (original) (raw)

RADIUS (англ. Remote Authentication in Dial-In User Service) — протокол для реализации аутентификации, авторизации и сбора сведений об использованных ресурсах, разработанный для передачи сведений между центральной платформой и оборудованием. Этот протокол применялся для системы тарификации использованных ресурсов конкретным пользователем/абонентом. Центральная платформа и оборудование Dial-Up доступа (NAS[1] с системой автоматизированного учёта услуг (биллинга),

RADIUS используется как протокол AAA:

• англ. Authentication — процесс, позволяющий аутентифицировать (проверить подлинность) субъекта по его идентификационным данным, например, по логину (имя пользователя, номер телефона и т. д.) и паролю.
• англ. Authorization — процесс, определяющий полномочия идентифицированного субъекта на доступ к определённым объектам или сервисам.
• англ. Accounting — процесс, позволяющий вести сбор сведений (учётных данных) об использованных ресурсах. Первичными данными (то есть, традиционно передаваемых по протоколу RADIUS) являются величины входящего и исходящего трафиков: в байтах/октетах (с недавних пор в гигабайтах). Однако протокол предусматривает передачу данных любого типа, что реализуется посредством VSA (Vendor Specific Attributes).

Содержание

• 1 История
• 2 Возможности
  • 2.1 Общие
  • 2.2 Аутентификация
  • 2.3 Авторизация
  • 2.4 Учёт (Accounting)
• 3 Стандарты
• 4 См. также
• 5 Примечания

История

Протокол RADIUS был разработан Карлом Ригни (Carl Rigney) в фирме Livingston Enterprises для их серверов доступа (Network Access Server) серии PortMaster к сети интернет, и позже, в 1997, был опубликован как RFC 2058 и RFC 2059 (текущие версии RFC 2865 и RFC 2866). На данный момент существует несколько коммерческих и свободно распространяемых (open-source) RADIUS-серверов. Они несколько отличаются друг от друга по своим возможностям, но большинство поддерживает списки пользователей в текстовых файлах, LDAP, различных базах данных. Учетные записи пользователей могут храниться в текстовых файлах, различных базах данных, или на внешних серверах. Часто для удаленного мониторинга используется SNMP. Существуют прокси-серверы (proxy/forwarding) для RADIUS, упрощающие централизованное администрирование и/или позволяющие реализовать концепцию интернет-роуминга (internet roaming). Они могут изменять содержимое RADIUS-пакета на лету (в целях безопасности или для выполнения преобразования между диалектами). Популярность RADIUS-протокола, во многом объясняется: открытостью к наполнению новой функциональностью при сохранении работоспособности с устаревающим оборудованием, чрезвычайно высокой реактивностью при обработке запросов ввиду использования UDP в качестве транспорта пакетов, а также хорошо параллелизуемым алгоритмом обработки запросов; способностью функционировать в кластерных (Cluster) архитектурах (например OpenVMS) и мультипроцессорных (SMP) платформах (DEC Alpha, HP Integrity) — как с целью повышения производительности, так и для реализации отказоустойчивости.

В настоящее время (с середины 2003-го года) разрабатывается протокол DIAMETER (текущие версии RFC 3588 и RFC 3589), который призван заменить RADIUS, оставшись обратно совместимым с ним.

Возможности

Будучи частью биллинговой системы RADIUS-сервер является интерфейсом взаимодействия с телекоммуникационной системой/сервером (например маршрутизатором или коммутатором) и может реализовывать для такой системы следующие сервисы:

Общие

• Создание и хранение учётных записей пользователей (абонентов)
• Управление учётной записью пользователя (абонента) из персонального интерфейса (например веб-кабинета)
• Создание карточек доступа (логин/PIN-код) для предоставления услуг, с некоторым лимитом действия (Dial-Up доступа в Интернет и карточной IP-телефонии)
• Ручная и автоматическая блокировка учётной записи абонента по достижению заданного критерия или лимита
• Сбор и анализ статистической информации о сессиях пользователя и всей обслуживаемой системы (в том числе CDR)
• Создание отчётов по различным статистическим параметрам
• Создание, печать и отправка счетов к оплате
• Аутентификация всех запросов в RADIUS-сервер из обслуживаемой системы (поле Secret)

Аутентификация

• Проверка учётных данных пользователя (в том числе шифрованных) по запросу обслуживаемой системы

Авторизация

• Выдача состояния блокировки учётной записи пользователя
• Выдача разрешения к той или иной услуге
• Сортировка данных на основе анализа статистической информации (например динамическая маршрутизация) и выдача результата сортировки по запросу

Учёт (Accounting)

• Онлайн-учёт средств абонента: уведомления о начале и конце сессии со стороны обслуживаемой системы
• Промежуточные сообщения о продолжении сессии (Interim-пакеты)
• Автоматическое принудительное завершение действия сессии на обслуживаемой системе в рамках услуги (packet of disconnection)
• BOOT message — специальный пакет, который отправляется телекоммуникационной системой на RADIUS-сервер при запуске (перезапуске) системы, с целью принудительного завершения всех сессий

Стандарты

Определён в

• RFC 2865 Remote Authentication Dial In User Service (RADIUS)
• RFC 2866 RADIUS Accounting

Также имеет отношение к

• RFC 2548 Microsoft Vendor-specific RADIUS Attributes
• RFC 2607 Proxy Chaining and Policy Implementation in Roaming
• RFC 2618 RADIUS Authentication Client MIB
• RFC 2619 RADIUS Authentication Server MIB
• RFC 2620 RADIUS Accounting Client MIB
• RFC 2621 RADIUS Accounting Server MIB
• RFC 2809 Implementation of L2TP Compulsory Tunneling via RADIUS
• RFC 2867 RADIUS Accounting Modifications for Tunnel Protocol Support
• RFC 2868 RADIUS Attributes for Tunnel Protocol Support
• RFC 2869 RADIUS Extensions
• RFC 2882 Network Access Servers Requirements: Extended RADIUS Practices
• RFC 3162 RADIUS and IPv6
• RFC 3575 IANA Considerations for RADIUS
• RFC 3576 Dynamic Authorization Extensions to RADIUS
• RFC 4672 RADIUS Dynamic Authorization Client MIB
• RFC 4673 RADIUS Dynamic Authorization Server MIB
• RFC 3579 RADIUS Support for EAP
• RFC 3580 IEEE 802.1X RADIUS Usage Guidelines
• RFC 4014 RADIUS Attributes Suboption for the DHCP Relay Agent Information Option

См. также

• DIAMETER
• TACACS
• TACACS+
• PPP
• EAP
• LDAP
• FreeRADIUS

Примечания

1. ↑ англ. Network Access Server

Основные протоколы TCP/IP по уровням модели OSI (Список портов TCP и UDP)
Физический	Ethernet • RS-232 • EIA-422 • RS-449 • RS-485
Канальный	Ethernet • PPPoE • PPP • L2F • 802.11 Wi-Fi • 802.16 WiMax • Token ring • ARCNET • FDDI • HDLC • SLIP • ATM • CAN • DTM • X.25 • Frame relay • SMDS • STP • ERPS
Сетевой	IPv4 • IPv6 • IPsec • ICMP • IGMP • ARP • RARP • RIP2 • OSPF
Транспортный	TCP • UDP • SCTP • DCCP • RDP/RUDP • RTP • GRE
Сеансовый	ADSP • H.245 • iSNS • NetBIOS • PAP • RPC • L2TP • PPTP • RTCP • SMPP • SCP • ZIP • SDP
Представления	XDR • SSL • TLS
Прикладной	BGP • HTTP • HTTPS • DHCP • IRC • SNMP • DNS • DNSSEC • NNTP • XMPP • SIP • IPP • NTP • SNTP • Электронная почта (SMTP • POP3 • IMAP4) • Передача файлов (FTP • TFTP • SFTP) • Удалённый доступ (rlogin • Telnet • SSH • RDP)
Другие прикладные	OSCAR • CDDB • Multicast FTP • Multisource FTP • BitTorrent • Gnutella • Skype