RADIUS – Wikipedia tiếng Việt

Remote Authentication Dial-In User Service (RADIUS) là một giao thức mạng, hoạt động trên cổng mặc định là UDP 1812 [1] cung cấp quản lý xác thực tập trung (Authentication), phân quyền (Authorization) và tính cước (Accounting) (AAA) cho người dùng kết nối và sử dụng dịch vụ mạng. RADIUS được Livingston Enterprises, Inc. phát triển vào năm 1991 dưới dạng giao thức tính cước và xác thực truy cập, sau đó được đưa vào các tiêu chuẩn của Internet Engineering Task Force (IETF).[2]

RADIUS rất phổ cập, được sử dụng thoáng đãng, nó thường được những nhà cung ứng dịch vụ Internet ( ISP ) và doanh nghiệp sử dụng để quản trị truy vấn Internet hoặc mạng nội bộ, mạng không dây và dịch vụ email tích hợp. Các mạng này hoàn toàn có thể phối hợp modem, đường dây thuê bao kỹ thuật số ( DSL ), điểm truy vấn, mạng riêng ảo ( VPN ), cổng mạng, sever web, v.v. [ 3 ]RADIUS là giao thức máy khách / máy chủ chạy trên lớp ứng dụng ( Application Layer ) và hoàn toàn có thể sử dụng TCP hoặc UDP làm phương pháp luân chuyển. RADIUS thường là lựa chọn đầu cuối cho xác nhận 802.1 X. [ 4 ]

RADIUS thường chạy như một dịch vụ trên máy chủ UNIX hoặc Microsoft Windows.[5]

Bạn đang đọc: RADIUS – Wikipedia tiếng Việt

Mục lục nội dung

Các thành phần của RADIUS[sửa|sửa mã nguồn]

RADIUS là một giao thức AAA ( authentication – xác nhận, authorization – ủy quyền, accounting – tính cước ) để quản trị truy vấn mạng. Xác thực và chuyển nhượng ủy quyền được định nghĩa trong RFC 2865, tính cước được định nghĩa trong RFC 2866 .

Xác thực và ủy quyền[sửa|sửa mã nguồn]

Người dùng hoặc máy tính gửi thông tin đăng nhập để truy vấn vào tài nguyên mạng đến Máy chủ truy vấn mạng ( NAS – Network Access Server ). tin tức đăng nhập được chuyển đến thiết bị NAS trải qua giao thức link-layer, ví dụ, Giao thức điểm-điểm ( PPP ) trong trường hợp nhiều nhà sản xuất dịch vụ quay số hoặc DSL hoặc đăng trong form web bảo mật thông tin HTTPS .

Sau đó, NAS gửi thông báo Yêu cầu truy cập (RADIUS Access Request message) đến máy chủ RADIUS, yêu cầu ủy quyền cấp quyền truy cập thông qua giao thức RADIUS.[1]

Kết nối giữa NAS và sever RADIUS được mã hóa bằng một chuỗi bảo mật thông tin ( shared secret ) được định sẵn giữa 2 đầu .Yêu cầu này gồm có thông tin đăng nhập, thường ở dạng tên người dùng và mật khẩu hoặc chứng từ bảo mật thông tin ( certificate ) do người dùng cung ứng. Ngoài ra, nhu yếu hoàn toàn có thể chứa thông tin khác mà NAS biết về người dùng, ví dụ địa chỉ IP, MAC hoặc số điện thoại cảm ứng và thông tin tương quan đến vị trí vật lý của người dùng với NAS .Máy chủ RADIUS kiểm tra thông tin có đúng mực không bằng cách sử dụng những phương pháp xác nhận như PAP, CHAP hoặc EAP. tin tức nhận dạng của người dùng được xác định, hoàn toàn có thể gồm những thông tin khác nhu yếu khác, ví dụ điển hình như địa chỉ mạng hoặc số điện thoại cảm ứng, trạng thái thông tin tài khoản và những quyền truy vấn dịch vụ mạng đơn cử. Trước kia, những sever RADIUS đã kiểm tra thông tin của người dùng bằng cơ sở tài liệu cục bộ. Các sever RADIUS lúc bấy giờ hoàn toàn có thể thực thi việc này bằng cách truy vấn những nguồn khác như những sever SQL, Kerberos, LDAP hoặc Active Directory để xác định thông tin đăng nhập của người dùng .
Luồng tài liệu xác nhận và chuyển nhượng ủy quyền của RADIUSSau đó, sever RADIUS trả về một trong ba phản hồi cho NAS :1. Từ chối truy vấn ( Access Reject ) .2. Yêu cầu gửi thêm thông tin truy vấn ( Access Challenge ) .

3. Chấp nhận truy cập (Access Accept).

Xem thêm: LGBTQI+ có nghĩa là gì?

Từ chối truy cập – Access Reject: Người dùng bị từ chối truy cập vào tất cả các tài nguyên mạng. Lý do có thể bao gồm việc không cung cấp chứng nhận hoặc tài khoản người dùng không xác định hoặc không hoạt động, bị khóa, v.v…
Yêu cầu gửi thêm thông tin truy cập – Access Challenge: Yêu cầu thông tin bổ sung từ người dùng như mật khẩu phụ, mã PIN, mã thông báo hoặc thẻ. Access Challenge cũng được sử dụng trong các hộp thoại xác thực phức tạp hơn, khi đường hầm (tunnel) bảo mật được thiết lập giữa máy người dùng và máy chủ RADIUS để giấu thông tin đăng nhập khỏi NAS.
Chấp nhận truy cập – Access Accept: Người dùng được cấp quyền truy cập. Khi người dùng được xác thực, máy chủ RADIUS sẽ thường kiểm tra xem người dùng có được phép sử dụng dịch vụ mạng được yêu cầu hay không. Chẳng hạn một người dùng nào đó có thể được phép sử dụng mạng không dây, nhưng không được sử dụng VPN của công ty. Thông tin này có thể được lưu trữ cục bộ trên máy chủ RADIUS hoặc có thể được truy vấn tại một nguồn bên ngoài như LDAP hoặc Active Directory.

Mỗi một trong số ba phản hồi RADIUS này hoàn toàn có thể gồm có thêm thuộc tính phản hồi ( Reply-Message Attribute ). Máy chủ RADIUS hoàn toàn có thể phản hồi nguyên do khước từ, thông tin nhu yếu thêm thông tin, hoặc thông tin chào mừng cho việc gật đầu .Các thuộc tính chuyển nhượng ủy quyền được chuyển đến NAS, pháp luật những quyền truy vấn được phép. Ví dụ : những thuộc tính chuyển nhượng ủy quyền sau hoàn toàn có thể được gồm có trong Access-Accept :

Địa chỉ IP cụ thể được gán cho người dùng
Dải địa chỉ IP người dùng có thể chọn
Thời gian tối đa mà người dùng có thể kết nối (Session Timeout)
Danh sách truy cập (Access List), hàng đợi ưu tiên hoặc các hạn chế khác đối với quyền truy cập của người dùng
Thông số L2TP.
Thông số VLAN.
Thông số chất lượng dịch vụ (QoS)

Khi NAS được thông số kỹ thuật để sử dụng RADIUS, bất kể người dùng nào của NAS sẽ gửi thông tin xác nhận cho NAS. Đó hoàn toàn có thể là dòng lệnh đăng nhập để người dùng sẽ nhập tên người dùng và mật khẩu. Ngoài ra, người dùng hoàn toàn có thể sử dụng giao thức Framing Protocol, ví dụ điển hình như Giao thức điểm-điểm ( PPP ), để gửi những thông tin này .Khi NAS có được thông tin, nó hoàn toàn có thể chọn xác nhận bằng RADIUS. Để triển khai điều này, NAS tạo một ” Yêu cầu truy vấn ” có chứa những thuộc tính như tên người dùng, mật khẩu người dùng, ID và cổng mà người dùng đang truy vấn. Khi có mật khẩu, nó sẽ bị ẩn bằng cách sử dụng chiêu thức dựa trên Thuật toán mã hóa RSA MD5 .
Luồng tài liệu tính cước của RADIUSTính cước được miêu tả trong RFC 2866 .

Khi NAS cấp quyền truy cập mạng cho người dùng, Thông tin tính cước (gói Yêu cầu tính cước RADIUS có chứa thuộc tính Loại trạng thái Acct với giá trị “bắt đầu” (Start)) được gửi đến máy chủ RADIUS bằng cổng mặc định UDP 1813 để thông báo cho máy chủ RADIUS về việc truy cập mạng của người dùng đã bắt đầu. Bản ghi “Bắt đầu” thường chứa thông tin nhận dạng người dùng, địa chỉ mạng, điểm đính kèm và số phiên (session ID).[6]

Định kỳ, các bản ghi Cập nhật tạm thời (gói Yêu cầu tính cước RADIUS có chứa thuộc tính Loại trạng thái Acct với giá trị “cập nhật tạm thời” (interim-update)) có thể được gửi bởi NAS đến máy chủ RADIUS, để cập nhật trạng thái của phiên hoạt động. Các bản ghi “tạm thời” thường cung cấp thời lượng phiên và thông tin về việc sử dụng dữ liệu hiện tại.

Cuối cùng, khi chấm dứt quyền truy cập mạng của người dùng, NAS sẽ phát hành bản ghi dừng tính cước cuối cùng (gói Yêu cầu tính cước RADIUS có chứa thuộc tính Loại trạng thái Acct với giá trị “dừng” (Stop)) cho máy chủ RADIUS, cung cấp thông tin cuối cùng về thời gian, tổng số gói tin được truyền, tổng dữ liệu được truyền, lý do ngắt kết nối và các thông tin khác liên quan đến truy cập mạng của người dùng.

Thông thường, NAS gửi các gói Yêu cầu tính cước cho đến khi nhận được xác nhận Phản hồi tính cước, NAS có thể gửi lại yêu cầu khi không nhận được phản hồi từ máy chủ RADIUS (chẳng hạn do lỗi kết nối)

Xem thêm: Các chức danh trong tiếng Anh và cách dùng

Mục đích chính của tài liệu này là người dùng hoàn toàn có thể được lập hóa đơn tương ứng ; tài liệu cũng thường được sử dụng cho mục tiêu thống kê và giám sát mạng chung .
Chuyển vùng bằng sever RADIUS AAA proxy .RADIUS thường được sử dụng để triển khai việc chuyển vùng giữa những ISP, ví dụ :

Bởi các công ty cung cấp dữ liệu thông tin toàn cầu duy nhất có thể sử dụng được trên nhiều mạng công cộng;
Các tổ chức cấp thông tin xác thực của họ cho người dùng độc lập và chia sẻ dữ liệu lẫn nhau, cho phép khách hàng của nhà cung cấp này truy cập được dịch vụ của nhà cung cấp khác.