Протокол RADIUS
Протокол аутентификации Remote Authentication Dial-in User Service (RADIUS) рассматривается как механизм аутентификации и авторизации удаленных пользователей в условиях распределенной сетевой инфраструктуры, предоставляющий централизованные услуги по проверке подлинности и учету для служб удаленного доступа. Протокол RADIUS реализован в составе службы Internet Authentication Service (IAS), обеспечивающей централизованное управление аутентификацией, авторизацией и аудитом доступа на основании информации о пользователях, получаемой от контроллеров домена Windows Server 2003. Протокол RADIUS детально описан в открытых стандартах RFC 2138 и 2139. В рамках стандарта выделяются три компонента протокола) (рис. 14.1).
- Клиент RADIUS. Клиент RADIUS принимает от пользователей запросы на аутентификацию. Все принятые запросы переадресовываются серверу RADIUS для последующей аутентификации и авторизации. Как правило, в качестве клиента протокола RADIUS выступает сервер удаленного доступа.
- Сервер RADIUS. Основная задача сервера RADIUS заключается в централизованной обработке информации, предоставленной клиентами RADIUS. Один сервер способен обслуживать несколько клиентов RADIUS. Сервер осуществляет проверку подлинности пользователя и его полномочий. При этом в зависимости от реализации сервера RADIUS для проверки подлинности используются различные базы данных учетных записей. Реализованный в рамках службы Internet Authentication Service (IAS) сервер RADIUS способен в процессе проверки подлинности пользователя осуществлять взаимодействие со службой катаюга Active Directory.
- Посредник RADIUS. Взаимодействие клиентов и серверов RADIUS осуществляется посредством специальных сообщений. В распределенных сетях клиент и сервер RADIUS могут быть разделены различными сетевыми устройствами (такими, например, как маршрутизатор). Под посредником RADIUS понимается сетевое устройство, способное осуществлять перенаправление сообщений протокола RADIUS.
Рис. 14.1. Компоненты протокола RADIUS
В рамках протокола RADIUS вводится понятие сферы (realm). Сферы используются для логической группировки клиентов RADIUS по некоторому признаку. Каждый клиент RADIUS может быть отнесен только к одной сфере. Информация о сфере RADIUS используется для выбора сервера RADIUS, который должен выполнить аутентификацию пользователя.
Протокол RADIUS является открытым стандартом Интернета. В силу этого он может использоваться для организации процесса аутентификации в гетерогенных сетях. Так, например, для аутентификации на UNIX-системах может использоваться информация об учетных записях пользователей из каталога Active Directory.