Radius工作原理与Radius认证服务.doc
《Radius工作原理与Radius认证服务.doc》由会员分享,可在线阅读,更多相关《Radius工作原理与Radius认证服务.doc(3页珍藏版)》请在冰点文库上搜索。
Radius工作原理与Radius认证服务
Radius工作原理
RADIUS原先的目的是为拨号用户进行认证和计费。
后来经过多次改进,形成了一项通用的认证计费协议。
RADIUS是一种C/S结构的协议,它的客户端最初就是NAS服务器,现在任何运行RADIUS客户端软件的计算机都可以成为RADIUS的客户端。
RADIUS的基本工作原理:
用户接入NAS,NAS向RADIUS服务器使用Access-Require数据包提交用户信息,包括用户名、密码等相关信息,其中用户密码是经过MD5加密的,双方使用共享密钥,这个密钥不经过网络传播;RADIUS服务器对用户名和密码的合法性进行检验,必要时可以提出一个Challenge,要求进一步对用户认证,也可以对NAS进行类似的认证;如果合法,给NAS返回Access-Accept数据包,允许用户进行下一步工作,否则返回Access-Reject数据包,拒绝用户访问;如果允许访问,NAS向RADIUS服务器提出计费请求Account-Require,RADIUS服务器响应Account-Accept,对用户的计费开始,同时用户可以进行自己的相关操作。
RADIUS还支持代理和漫游功能。
简单地说,代理就是一台服务器,可以作为其他RADIUS服务器的代理,负责转发RADIUS认证和计费数据包。
所谓漫游功能,就是代理的一个具体实现,这样可以让用户通过本来和其无关的RADIUS服务器进行认证。
RADIUS服务器和NAS服务器通过UDP协议进行通信,RADIUS服务器的1812端口负责认证,1813端口负责计费工作。
采用UDP的基本考虑是因为NAS和RADIUS服务器大多在同一个局域网中,使用UDP更加快捷方便。
RADIUS协议还规定了重传机制。
如果NAS向某个RADIUS服务器提交请求没有收到返回信息,那么可以要求备份RADIUS服务器重传。
由于有多个备份RADIUS服务器,因此NAS进行重传的时候,可以采用轮询的方法。
如果备份RADIUS服务器的密钥和以前RADIUS服务器的密钥不同,则需要重新进行认证
==========================================================
Radius认证服务
RADIUS是一种分布的,客户端/服务器系统,实现安全网络,反对未经验证的访问。
在cisco实施中,RADIUS客户端运行在cisco路由
器上上,发送认证请求到中心RADIUS服务器,服务器上包含了所有用户认证和网络服务访问的信息。
RADIUS是一种完全开放的协议,分布源码格式,这样,任何安全系统和厂商都可以用。
cisco支持在其AAA安全范例中支持RADIUS。
RADIUS可以和在其它AAA安全协议共用,如TACACS+,Kerberos,以及本地用户名查找。
CISCO所有的平台都支持RADIUS,但是RADIUS支持的特性只能运行在cisco指定的平台上。
RADIUS协议已经被广泛实施在各种各样的需要高级别安全且需要网络远程访问的网络环境。
在以下安全访问环境需要使用RADIUS:
+当多厂商访问服务器网络,都支持RADIUS。
例如,几个不同厂家的访问服务器只使用基于RADIUS的安全数据库,在基于ip的网络有多个厂商的访问服务器,通过RADIUS服务器来验证拨号用户,进而定制使用kerberos安全系统。
+当某应用程序支持RADIUS协议守护网络安全环境,就像在一个使用smartcard门禁控制系统的那样的访问环境。
某个案例中,RADIUS
被用在Enigma安全卡来验证用户和准予网络资源使用权限。
+当网络已经使用了RADIUS。
你可以添加具有RADIUS支持的cisco路由器到你的网络中,这个可以成为你想过渡到TACACS+服务器的
第一步。
+当网络中一个用户仅能访问一种服务。
使用RADIUS,你可以控制用户访问单个主机,进行单个服务,如telnet,或者单个协议,如ppp。
例如当一个用户登录进来,RADIUS授权这个用户只能以10.2.3.4这个地址运行ppp,而且还得和ACL相匹配。
+当网络需要资源记账。
你可以使用RADIUS记账,独立于RADIUS认证和授权,RADIUS记账功能允许数据服务始与终,记录会话之中所使用的标志资源(如,时间,包,字节,等等)。
ISP可能使用免费版本的基于RADIUS访问控制和记账软件来进行特定安全和金额统计。
+当网络希望支持预认证。
在你的网络中使用RADIUS服务,你可以配置AAA预认证和设定预认证profiles。
预认证服务的开启提供更
好的管理端口来使用它们已经存在的RADIUS解决方案,更优化的管理使用、共享资源,进而提供不懂服务级别的协定。
RADIUS不适合以下网络安全情形:
~多协议访问环境,Radius不支持以下协议:
*AppleTalkRemoteAccess(ARA)苹果远程访问。
*NetBIOSFrameControlProtocol(NBFCP)网络基本输出输入系统侦控制协议。
*NetWareAsynchronousServicesInterface(NASI)网件异步服务接口。
*X.25PADconnectionsX.25PAD连接。
~路由器到路由器情形.Radius不提供双向认证.Radius能使用在要认证从一个路由器到非cisco路由器,当这个非cisco路由器需要认证
的时候.
~网络使用各种各样的服务的时候.Radius大体上约束一个用户使用一个服务模型.
Radius操作:
当一个用户试图登录并验证到一个使用了Radius的访问服务器,发生了以下步骤:
1.这个用户被允许输入用户名和密码.
2.用户名和加密的密码被发送到网络中的Radius服务器.
a.ACCEPT--该用户通过了认证.
b.REJECT--该用户没有被认证,被允许重新输入用户名和密码,或者访问被拒绝了.
c.CHALLENGE--Radius服务器发出挑战.这个挑战收集这个用户附加信息.
d.CHANGEPASSWORD--这个请求时RADIUS服务器发出的,告诉用户换一个新的密码.
ACCEPT或者REJECT回应包括了用来执行或者网络认证的附加数据,
你必须首先完成Radius认证才能使用Radius授权.带有ACCEPT或者REJECT附加数据的包有以下组成:
+用户能访问的服务,包括telnet,rlogin,或者本地区域传输(lat)连接,以及ppp,SLIP,或者EXEC服务.
+连接参数,包括主机或者ip地址,访问列表,和用户超时.
配置举例
aaanew-model//开启aaa
radius-serverhost123.45.1.2//
指定Radius服务器
radius-serverkeymyRaDiUSpassWoRd//
定义访问服务器和Radius共享秘文
usernamerootpasswordALongPassword//
用户名,密码.
aaaauthenticationpppdialinsgroupradiuslocal//
定义了认证方式列表"dialins",这个东西指定了radius认证.然后,
(如果radius服务器没有响应),本地username将会被用来验证ppp.
aaaauthorizationnetworkdefaultgroupradiuslocal//
用来给Radius用户绑定一个地址和其它网络参数
aaaaccountingnetworkdefaultstart-stopgroupradius//
用来跟踪ppp用法.
aaaauthenticationloginadminslocal//
给登录认证定义了另一个方式列表,"admins",
aaaauthorizationexecdefaultlocal
line116
autoselectppp
autoselectduring-login
loginauthenticationadmins//
应用"admins"方式列表用来登录认证.
modemri-is-cd
interfacegroup-async1
encapsppp
pppauthenticationpapdialins//
应用"dialins"方式列表到指定的地方
升级会员 