Лекция 15. Сервер RADIUS. Протокол RADIUS. Процесс авторизации и аутентификации. Сервер RADIUS – это сервер аутентификации в сети, использующий RADIUS протокол. RADIUS представляет собой протокол, соответствующий архитектуре «клиентсервер». Обмен сообщениями производится поверх протокола транспортного уровня UDP. Структурными единицами, участвующими в работе протокола, являются: • RADIUS-сервер - элемент, отвечающий за прием клиентских запросов, аутентификацию и авторизацию пользователей, и возврат клиенту всех параметров, необходимых для предоставления услуги. Кроме того, он может выступать в качестве посредника (прокси) для других RADIUS- серверов или серверов иного типа. • Сервер доступа к сети NAS (Network Access Server) выступает в качестве клиента протокола RADIUS, отвечает за передачу информации о пользователе системы RADIUS-серверу и проведение дальнейших действий в соответствии с полученным ответом. • Пользователь - не входит в архитектуру RADIUS, но является неотъемлемой частью всей цепи взаимодействия. Подключается к NAS для передачи информации авторизации, аутентификации и учета. На рисунке представлена схема взаимодействия элементов архитектуры RADIUS. В протоколе RADIUS реализована схема авторизации, согласно которой каждый из пользователей пытается получить доступ к услуге через NAS. При этом каждый из серверов доступа имеет связь не менее чем с одним сервером RADIUS. Однако их может быть и больше. В этом случае они объединяются в кластер из нескольких серверов, который обычно использует специальные средства для распределения нагрузки между ними, например, по дисциплине RR (Round Robin), или для резервирования оборудования, на случай возникновения неисправностей. Кроме того, любой сервер может выступать посредником (прокси) по отношению к другим серверам. Для своей работы протокол RADIUS использует стандартный порт 1812. Сервер NAS поддерживает как методы проверки подлинности на основе паролей, так и на основе сертификатов. Процесс авторизации и аутентификации через RADIUS происходит следующим образом: 1. Пользователь отправляет запрос на сетевой сервер (NAS) для получения доступа к определённому сетевому ресурсу, используя сертификат доступа. 2. Сертификат отправляется на сервер через сетевой протокол канального уровня (например, PPP в случае коммутируемого доступа, DSL в случае использования соответствующих модемов и т. д.). 3. NAS посылает сообщение запроса доступа на RADIUS-сервер (RADIUS Access Request). Запрос включает сертификаты доступа, представленные в виде имени пользователя и пароля или сертификата безопасности, которые получены от пользователя. Запрос может содержать дополнительные параметры: сетевой адрес устройства пользователя, телефонный номер, информацию о физическом адресе, с которого пользователь взаимодействует с NAS. 4. RADIUS-cервер проверяет идентичность пользователя, а также корректность дополнительной информации, которая может содержаться в запросе: сетевой адрес устройства пользователя, телефонный номер, состояние счета, его привилегии при доступе к запрашиваемому сетевому ресурсу. 5. По результатам проверки RADIUS сервер посылает NAS один из трех типов откликов: • Access-Reject показывает, что данный пользовательский запрос неверный. • Access-Challenge. Запрос дополнительной информации от пользователя, например, второй пароль, пин-код, номер карты и т. п. • Access Accept. Пользователю разрешен доступ. Поскольку пользователь аутентифицирован, то RADIUS сервер проверяет авторизацию на использование запрошенных пользователем ресурсов. Например, пользователю может быть разрешён доступ через беспроводную сеть, но запрещен доступ к VPN сети. RADIUS широко используется в различных сетевых сценариях, включая: - При предоставлении доступа к интернету для аутентификации пользователей и управления их доступом. - в офисных средах RADIUS применяется для обеспечения безопасного доступа сотрудников к корпоративным ресурсам и службам. - аутентификацию устройств и пользователей, подключающихся к беспроводным сетям, что обеспечивает дополнительный уровень безопасности. - при использовании виртуальных частных сетей (VPN) RADIUS гарантирует безопасность и контроль доступа.