《Radius工作原理与Radius认证服务》由会员分享,可在线阅读,更多相关《Radius工作原理与Radius认证服务(3页珍藏版)》请在金锄头文库上搜索。
1、Radius工作原理与Radius认证服务Radius工作原理 RADIUS原先的目的是为拨号用户进行认证和计费。后来经过多次改进,形成了一项通用的认证计费协议。 RADIUS是一种C/S结构的协议,它的客户端最初就是NAS服务器,现在任何运行RADIUS客户端软件的计算机都可以成为RADIUS的客户端。 RADIUS的基本工作原理:用户接入NAS,NAS向RADIUS服务器使用Access-Require数据包提交用户信息,包括用户名、密码等相关信息,其中用户密码是经过MD5加密的,双方使用共享密钥,这个密钥不经过网络传播;RADIUS服务器对用户名和密码的合法性进行检验,必要时可以提出一个
2、Challenge,要求进一步对用户认证,也可以对NAS进行类似的认证;如果合法,给NAS返回Access-Accept数据包,允许用户进行下一步工作,否则返回Access-Reject数据包,拒绝用户访问;如果允许访问,NAS向RADIUS服务器提出计费请求Account-Require,RADIUS服务器响应Account-Accept,对用户的计费开始,同时用户可以进行自己的相关操作。 RADIUS还支持代理和漫游功能。简单地说,代理就是一台服务器,可以作为其他RADIUS服务器的代理,负责转发RADIUS认证和计费数据包。所谓漫游功能,就是代理的一个具体实现,这样可以让用户通过本来和其
3、无关的RADIUS服务器进行认证。 RADIUS服务器和NAS服务器通过UDP协议进行通信,RADIUS服务器的1812端口负责认证,1813端口负责计费工作。采用UDP的基本考虑是因为NAS和RADIUS服务器大多在同一个局域网中,使用UDP更加快捷方便。 RADIUS协议还规定了重传机制。如果NAS向某个RADIUS服务器提交请求没有收到返回信息,那么可以要求备份RADIUS服务器重传。由于有多个备份RADIUS服务器,因此NAS进行重传的时候,可以采用轮询的方法。如果备份RADIUS服务器的密钥和以前RADIUS服务器的密钥不同,则需要重新进行认证=Radius认证服务RADIUS是一种
4、分布的,客户端/服务器系统,实现安全网络,反对未经验证的访问。在cisco实施中,RADIUS客户端运行在cisco路由器上上,发送认证请求到中心RADIUS服务器,服务器上包含了所有用户认证和网络服务访问的信息。RADIUS是一种完全开放的协议,分布源码格式,这样,任何安全系统和厂商都可以用。cisco支持在其AAA安全范例中支持RADIUS。 RADIUS可以和在其 它AAA 安全协议共用,如TACACS+,Kerberos,以及本地用户名查找。CISCO所有的平台都支持RADIUS,但是RADIUS支持的特性只能运行在cisco指定的平台上。RADIUS协议已经被广泛实施在各种各样的需要
5、高级别安全且需要网络远程访问的网络环境。在以下安全访问环境需要使用RADIUS:+当多厂商访问服务器网络,都支持RADIUS。例如,几个不同厂家的访问服务器只使用基于RADIUS的安全数据库,在基于ip的网络有多个厂商的访问服务器,通过RADIUS服务器来验证拨号用户,进而定制使用kerberos安全系统。+当某应用程序支持RADIUS协议守护网络安全环境,就像在一个使用smart card门禁控制系统的那样的访问环境。某个案例中,RADIUS被用在Enigma安全卡来验证用户和准予网络资源使用权限。+当网络已经使用了RADIUS。你可以添加具有RADIUS支持的cisco路由器到你的网络中,
6、这个可以成为你想过渡到TACACS+服务器的第一步。+当网络中一个用户仅能访问一种服务。使用RADIUS,你可以控制用户访问单个主机,进行单个服务,如telnet,或者单个协议,如ppp。例如当一个用户登录进来,RADIUS授权这个用户只能以10.2.3.4这个地址运行ppp,而且还得和ACL相匹配。+ 当网络需要资源记账。你可以使用RADIUS记账,独立于RADIUS认证和授权,RADIUS记账功能允许数据服务始与终,记录会话之中所使用的标志资源(如,时间,包,字节,等等)。ISP可能使用免费版本的基于RADIUS访问控制和记账软件来进行特定安全和金额统计。+当网络希望支持预认证。在你的网络
7、中使用RADIUS服务,你可以配置AAA预认证和设定预认证profiles。预认证服务的开启提供更好的管理端口来使用它们已经存在的RADIUS解决方案,更优化的管理使用、共享资源,进而提供不懂服务级别的协定。RADIUS不适合以下网络安全情形:多协议访问环境,Radius不支持以下协议:*AppleTalk Remote Access (ARA)苹果远程访问。*NetBIOS Frame Control Protocol (NBFCP)网络基本输出输入系统侦控制协议。*NetWare Asynchronous Services Interface (NASI)网件异步服务接口。*X.25 PA
8、D connectionsX.25 PAD连接。路由器到路由器情形.Radius不提供双向认证.Radius能使用在要认证从一个路由器到非cisco路由器,当这个非cisco路由器需要认证的时候.网络使用各种各样的服务的时候.Radius大体上约束一个用户使用一个服务模型.Radius操作:当一个用户试图登录并验证到一个使用了Radius的访问服务器,发生了以下步骤:1.这个用户被允许输入用户名和密码.2.用户名和加密的密码被发送到网络中的Radius服务器.a.ACCEPT-该用户通过了认证.b.REJECT-该用户没有被认证,被允许重新输入用户名和密码,或者访问被拒绝了.c.CHALLEN
9、GE-Radius服务器发出挑战.这个挑战收集这个用户附加信息.d.CHANGE PASSWORD-这个请求时RADIUS服务器发出的,告诉用户换一个新的密码.ACCEPT或者REJECT回应包括了用来执行或者网络认证的附加数据,你必须首先完成Radius认证才能使用Radius授权.带有ACCEPT或者REJECT附加数据的包有以下组成:+用户能访问的服务,包括telnet,rlogin,或者本地区域传输(lat)连接,以及ppp,SLIP,或者EXEC服务.+连接参数,包括主机或者ip地址,访问列表,和用户超时.配置举例aaa new-model /开启aaaradius-server h
10、ost 123.45.1.2 /指定Radius服务器radius-server key myRaDiUSpassWoRd /定义访问服务器和Radius共享秘文username root password ALongPassword /用户名,密码.aaa authentication ppp dialins group radius local /定义了认证方式列表dialins,这个东西指定了radius认证.然后,(如果radius服务器没有响应),本地username将会被用来验证ppp.aaa authorization network default group radius l
11、ocal/用来给Radius用户绑定一个地址和其它网络参数aaa accounting network default start-stop group radius/用来跟踪ppp用法.aaa authentication login admins local/给登录认证定义了另一个方式列表,admins,aaa authorization exec default localline 1 16autoselect pppautoselect during-loginlogin authentication admins /应用admins方式列表用来登录认证.modem ri-is-cdinterface group-async 1encaps pppppp authentication pap dialins /应用dialins方式列表到指定的地方
