8021XandRadius.pptVIP

RFC 2865/2866 RADIUS – Remote Access Dial-Up Server 簡介 目前與 RADIUS 有關的 RFC 文件主要為下列兩者： RFC 2865 定義了一套在網路上有關認證(authentication)、授權(authorization)以及網路存取伺服器與共享認證伺服器間的組態資訊之通訊協定。 淘汰了原本的 RFC 2138。 RFC 2866 則定義了網路存取伺服器與共享會計伺服器間的會計資訊(Accounting)。 淘汰了原本的 RFC 2139。 RADIUS 的主要特徵 (I) Client/Server 架構 網路存取伺服器(NAS)為 RADIUS 之 Client 端，負責傳遞使用者資訊到特定的 RADIUS 伺服器，並在回傳時對回應做動作。 RADIUS 伺服器則負責接收使用者的連線要求、對使用者做認證，然後並回傳使用者在傳送服務時所有必需之設定資訊。 RADIUS 伺服器可以做為是另一個 RADIUS 的一個 Proxy Client 端。 RADIUS 的主要特徵 (II) 網路安全 在RADIUS 與 Client 端間的所有資訊交易來回皆利用一個共享密秘(secret)予以認證，而這共享密秘是不會流傳於網路上的。 此外，任何使用者的密碼在 RADIUS 伺服器與 Client 端間傳送時皆予以加密(encrypted)，以降低被外人偷窺的可能性。 RADIUS 的主要特徵 (III) 彈性的認證方法 RADIUS 伺服器可以支援多種不同的方法對使用者做身份認證。 當使用者只提供使用者名稱及密碼時，RADIUS 可以支援 PPP PAP (Password Authentication Protocol) 或 CHAP (Challenge Handshake Authentication Protocol), UNIX login, 及其它認證方法。 具延展性的(extensible)通訊協定 所有的資料交易來回是由可變長度的 3-元件所組成。其中新的屬性可以隨時被新增加入，而不影響通訊協定現有的實作方式。 3-元件為 (屬性-長度-屬性值)。 專有名詞 服務(Service) 網路存取伺服器(Network Access Server, NAS) 提供一項服務給撥接(Dial-In) 使用者，如 PPP 或 Telnet。 通話時期(Session) NAS 提供給撥接使用者的每項服務，從開始到服務結束服務的時間稱之為通話時期。 假若 NAS 支援的話，一個使用者可以同時擁有多個通話。 靜默丟棄(silently discard) 此為實作方法中，針對丟棄的封包不做任何後續的處理。但此方法必須要有一些錯誤記錄的歷史儲存，包含丟棄封的包中的內容，及統計數據。 運作流程說明 (I) 當一個用戶端被設定必須使用 RADIUS 時，則用戶端上的所有使用者必需提供認證資訊給與用戶端。 例如：可以利用登錄提示字元，以等待使用者輸入使用者名稱及密碼。而這些資訊可以利用如 PPP 這類的連線訊框通訊協定來攜帶。 一旦用戶端得到了這些資訊，它就可以利用 RADIUS 來選擇認證方式。為此，用戶端會產生一個存取請求(Access-Request)，其中包含了一些屬性。 其中的屬性例如使用者名稱、密碼、用戶端的 ID、以及使用者用以存取的 Port ID。 密碼資料是利用 RSA MD5 的方式加以加密。 運作流程說明 (II) 存取請求被傳送至 RADIUS 伺服器。 若經一段時間後沒有回應，則再重送存取請求。 若主伺服器當機或是無法到達時，則用戶端也可以將此存取請求轉予其它伺服器。 而這些伺服器間的工作替代之安排可以由管理者自訂之。 當 RADIUS 伺服器接收到此存取請求時，它會對此用戶端做驗證。 若用戶端給伺服器的請求中沒有共享的密秘，則這一個請求將會被靜默丟棄。 若用戶端被驗證成功合法，則 RADIUS 伺服器會查詢使用者資料庫，找尋符合請求的使用者名稱。 運作流程說明 (III) 資料庫中的使用者欄位包含了一系列清單，記錄使用者所必須符合的存取要求。 一般為驗證密碼、指定的用戶端、或是 port 編號。 RADIUS 伺服器也可以當做用戶端，對其它伺服器提出存取請求。 任何未能符合條件者，RADIUS 伺服器會送出一個存取拒絕(Access-Reject)的回應給用戶端告知使用者的請求無效。 若條件符合，而且 RADIUS 伺服器想要對使用者做進一步認證確認時，將會發送出存取盤問(Access-Challenge) 做為回應，使用者必須對此予以回應。 運作流程說明 (IV) 整個認證過程就在之前的這幾個步驟間重覆來回，根據整個認證流程的設計而定。 當通過認證後，