Radius工作原理與Radius認證服務.doc

Radius工作原理與Radius認證服務Radius工作原理 RADIUS原先的目的是為撥號用戶進行認證和計費。后來經(jīng)過多次改進，形成了一項通用的認證計費協(xié)議。 RADIUS是一種C/S結(jié)構(gòu)的協(xié)議，它的客戶端最初就是NAS服務器，現(xiàn)在任何運行RADIUS客戶端軟件的計算機都可以成為RADIUS的客戶端。 RADIUS的基本工作原理：用戶接入NAS，NAS向RADIUS服務器使用Access-Require數(shù)據(jù)包提交用戶信息，包括用戶名、密碼等相關(guān)信息，其中用戶密碼是經(jīng)過MD5加密的，雙方使用共享密鑰，這個密鑰不經(jīng)過網(wǎng)絡(luò)傳播；RADIUS服務器對用戶名和密碼的合法性進行檢驗，必要時可以提出一個Challenge，要求進一步對用戶認證，也可以對NAS進行類似的認證；如果合法，給NAS返回Access-Accept數(shù)據(jù)包，允許用戶進行下一步工作，否則返回Access-Reject數(shù)據(jù)包，拒絕用戶訪問；如果允許訪問，NAS向RADIUS服務器提出計費請求Account-Require，RADIUS服務器響應Account-Accept，對用戶的計費開始，同時用戶可以進行自己的相關(guān)操作。 RADIUS還支持代理和漫游功能。簡單地說，代理就是一臺服務器，可以作為其他RADIUS服務器的代理，負責轉(zhuǎn)發(fā)RADIUS認證和計費數(shù)據(jù)包。所謂漫游功能，就是代理的一個具體實現(xiàn)，這樣可以讓用戶通過本來和其無關(guān)的RADIUS服務器進行認證。 RADIUS服務器和NAS服務器通過UDP協(xié)議進行通信，RADIUS服務器的1812端口負責認證，1813端口負責計費工作。采用UDP的基本考慮是因為NAS和RADIUS服務器大多在同一個局域網(wǎng)中，使用UDP更加快捷方便。 RADIUS協(xié)議還規(guī)定了重傳機制。如果NAS向某個RADIUS服務器提交請求沒有收到返回信息，那么可以要求備份RADIUS服務器重傳。由于有多個備份RADIUS服務器，因此NAS進行重傳的時候，可以采用輪詢的方法。如果備份RADIUS服務器的密鑰和以前RADIUS服務器的密鑰不同，則需要重新進行認證=Radius認證服務RADIUS是一種分布的，客戶端/服務器系統(tǒng)，實現(xiàn)安全網(wǎng)絡(luò)，反對未經(jīng)驗證的訪問。在cisco實施中，RADIUS客戶端運行在cisco路由器上上，發(fā)送認證請求到中心RADIUS服務器，服務器上包含了所有用戶認證和網(wǎng)絡(luò)服務訪問的信息。RADIUS是一種完全開放的協(xié)議，分布源碼格式，這樣，任何安全系統(tǒng)和廠商都可以用。cisco支持在其AAA安全范例中支持RADIUS。 RADIUS可以和在其 它AAA 安全協(xié)議共用，如TACACS+，Kerberos，以及本地用戶名查找。CISCO所有的平臺都支持RADIUS，但是RADIUS支持的特性只能運行在cisco指定的平臺上。RADIUS協(xié)議已經(jīng)被廣泛實施在各種各樣的需要高級別安全且需要網(wǎng)絡(luò)遠程訪問的網(wǎng)絡(luò)環(huán)境。在以下安全訪問環(huán)境需要使用RADIUS：+當多廠商訪問服務器網(wǎng)絡(luò)，都支持RADIUS。例如，幾個不同廠家的訪問服務器只使用基于RADIUS的安全數(shù)據(jù)庫，在基于ip的網(wǎng)絡(luò)有多個廠商的訪問服務器，通過RADIUS服務器來驗證撥號用戶，進而定制使用kerberos安全系統(tǒng)。+當某應用程序支持RADIUS協(xié)議守護網(wǎng)絡(luò)安全環(huán)境，就像在一個使用smart card門禁控制系統(tǒng)的那樣的訪問環(huán)境。某個案例中，RADIUS被用在Enigma安全卡來驗證用戶和準予網(wǎng)絡(luò)資源使用權(quán)限。+當網(wǎng)絡(luò)已經(jīng)使用了RADIUS。你可以添加具有RADIUS支持的cisco路由器到你的網(wǎng)絡(luò)中，這個可以成為你想過渡到TACACS+服務器的第一步。+當網(wǎng)絡(luò)中一個用戶僅能訪問一種服務。使用RADIUS，你可以控制用戶訪問單個主機，進行單個服務，如telnet，或者單個協(xié)議，如ppp。例如當一個用戶登錄進來，RADIUS授權(quán)這個用戶只能以10.2.3.4這個地址運行ppp，而且還得和ACL相匹配。+ 當網(wǎng)絡(luò)需要資源記賬。你可以使用RADIUS記賬，獨立于RADIUS認證和授權(quán)，RADIUS記賬功能允許數(shù)據(jù)服務始與終，記錄會話之中所使用的標志資源(如，時間，包，字節(jié)，等等)。ISP可能使用免費版本的基于RADIUS訪問控制和記賬軟件來進行特定安全和金額統(tǒng)計。+當網(wǎng)絡(luò)希望支持預認證。在你的網(wǎng)絡(luò)中使用RADIUS服務，你可以配置AAA預認證和設(shè)定預認證profiles。預認證服務的開啟提供更好的管理端口來使用它們已經(jīng)存在的RADIUS解決方案，更優(yōu)化的管理使用、共享資源，進而提供不懂服務級別的協(xié)定。RADIUS不適合以下網(wǎng)絡(luò)安全情形：多協(xié)議訪問環(huán)境，Radius不支持以下協(xié)議:*AppleTalk Remote Access (ARA)蘋果遠程訪問。*NetBIOS Frame Control Protocol (NBFCP)網(wǎng)絡(luò)基本輸出輸入系統(tǒng)偵控制協(xié)議。*NetWare Asynchronous Services Interface (NASI)網(wǎng)件異步服務接口。*X.25 PAD connectionsX.25 PAD連接。路由器到路由器情形.Radius不提供雙向認證.Radius能使用在要認證從一個路由器到非cisco路由器,當這個非cisco路由器需要認證的時候.網(wǎng)絡(luò)使用各種各樣的服務的時候.Radius大體上約束一個用戶使用一個服務模型.Radius操作:當一個用戶試圖登錄并驗證到一個使用了Radius的訪問服務器,發(fā)生了以下步驟:1.這個用戶被允許輸入用戶名和密碼.2.用戶名和加密的密碼被發(fā)送到網(wǎng)絡(luò)中的Radius服務器.a.ACCEPT-該用戶通過了認證.b.REJECT-該用戶沒有被認證,被允許重新輸入用戶名和密碼,或者訪問被拒絕了.c.CHALLENGE-Radius服務器發(fā)出挑戰(zhàn).這個挑戰(zhàn)收集這個用戶附加信息.d.CHANGE PASSWORD-這個請求時RADIUS服務器發(fā)出的,告訴用戶換一個新的密碼.ACCEPT或者REJECT回應包括了用來執(zhí)行或者網(wǎng)絡(luò)認證的附加數(shù)據(jù),你必須首先完成Radius認證才能使用Radius授權(quán).帶有ACCEPT或者REJECT附加數(shù)據(jù)的包有以下組成:+用戶能訪問的服務,包括telnet,rlogin,或者本地區(qū)域傳輸(lat)連接,以及ppp,SLIP,或者EXEC服務.+連接參數(shù),包括主機或者ip地址,訪問列表,和用戶超時.配置舉例aaa new-model /開啟aaaradius-server host 123.45.1.2 /指定Radius服務器radius-server key myRaDiUSpassWoRd /定義訪問服務器和Radius共享秘文username root password ALongPassword /用戶名,密碼.aaa authentication ppp dialins group radius local /定義了認證方式列表dialins,這個東西指定了radius認證.然后,(如果radius服務器沒有響應),本地username將會被用來驗證ppp.aaa authorization network default group radius local/用來給Radius用戶綁定一個地址和其它網(wǎng)絡(luò)參數(shù)aaa accounting network default start-stop group radius/用來跟蹤ppp用法.aaa authentication login admins local/給登錄認證定義了另一個方式列表,admins,aaa authorization exec default localline 1 16autoselect ppp