RADIUS (Remote Authentication Dial In User Service)
RADIUS (Remote Authentication Dial In User Service) von Patrick Oppermann und Sönke Saul
Chair for Communication Technology (ComTec), Faculty of Elec...
Einführung • Authentifizierung von Benutzern bei Netzverbindungen über Modem, ISDN, VPN, Wireless LAN oder DSL. • Anwendungsgebiete – Internet Service Provider – VPN – Große WLAN Installationen
• RFCs – Erste Beschreibung 1997 in den RFCs 2138 und 2139 – Aktuell gültige RFCs 2865, 2866 und 2869 von 2000 3
Schritte der Weiterleitung 1. Client sendet „access-request“ zum Proxy 2. Proxy leitet die den „access-request“ zum RemoteServer weiter 3. Der Remote-Server antwortet mit access-accept, access-reject oder access-challenge 4. Der Proxy gibt die Antwort an den Client weiter Proxy RADIUS
Komponenten Was ist RADIUS-Accounting? • Spezieller Satz von RADIUS-Paketen... – Accounting-Request – Accounting-Response • ... und dazugehörigen Attributen, z.B. – Acct-Status-Type – Acct-Output-Octets – Acct-Session-Time
Interim Accounting Updates – Regelmäßige Übertragung von AccountingInformationen EAP (Extensible Authentication Protocol) Support – EAP: erweiterte Familie von AuthentifizierungsProtokollen – Beliebige EAP-Authentifizierungsarten können über RADIUS abgewickelt werden – RADIUS kann User ablehnen, wenn er sich mit einem für ihn nicht festgelegten Protokoll anmelden will
Weitere RADIUS-Attribute RFC 2869 definiert ca. 20 neue Attribute, u.a. • • •
•
26
Acct-Input-Gigawords – Erfassung von Datenmengen größer als 2^32 Byte Acct-Interim-Interval – Zeitspanne zwischen Accounting-Updates Password-Retry – Wie viele Versuche hat der User, um sich korrekt zu authentifizieren EAP-Message – Enthält ein EAP-Paket (z.B. EAP-Request / EAPResponse)
Server möchte regelmäßig informiert werden Attribut ‚Acct-Interim-Interval‘ an Client Client sendet nach jedem Intervall aktuelle Accounting-Daten Request vom Client hat Attribut „Acct-Status-Type“ mit Wert „Interim-Update“
EAP-Support • NAS leitet EAP-Pakete an RADIUSServer weiter • EAP-Pakete sind gekapselt in RADIUS-Attribut „EAP-Message“ • Alle Beteiligten Entitäten (Client, NAS, RADIUS, RADIUS-Proxy) müssen EAP unterstützen
Fazit - RADIUS • Heute in großen Netzwerkumgebungen nahezu unverzichtbar • Bietet Flexibilität für verschiedenste Anforderungen • Sowohl kommerzielle als auch OpenSource-Implementierungen • Gewinnt mit der Ausbreitung mobiler Anwendungen weiter an Bedeutung • Geplanter Nachfolger - DIAMETER