۱۳۹۶-۰۹-۱۶، ۰۲:۲۴ ب.ظ
ارائه دهندگان سرویس اینترنت ( ISPs ) و سایر شرکت های بزرگ همواره با این چالش جدی مواجه هستند که چگونه انواع دستیابی به شبکه و accounting را از یک نقطه صرفنظر از نوع تجهیزات استفاده شده برای دستیابی به شبکه ، مدیریت نمایند .
با این که برخی سیستم های عامل دارای امکانات خاصی در این رابطه می باشند ، در اغلب شرکت های بزرگ می بایست از یک زیرساخت اختصاصی برای تائید و مدیریت دستیابی به شبکه استفاده گردد
.
پروتکل RADIUS ( برگرفته شده از Remote Authentication Dial-In User Service ) ، استانداردی برای طراحی و پیاده سازی سرویس دهندگانی است که مسئولیت تائید و مدیریت کاربران را برعهده خواهند گرفت.
مشخصات و نحوه عملکرد پروتکل RADIUS در RFC 2865 و RFC 2866 تعریف شده است .
پروتکل RADIUS از یک معماری سرویس گیرنده - سرویس دهنده برای تائید و accounting استفاده می نماید . پروتکل فوق اطلاعات accounting ، پیکربندی ، تائید و مجوزها را بین یک سرویس گیرنده
RADIUS و یک سرویس دهنده RADIUS حمل می نماید . سرویس گیرنده RADIUS می تواند یک سرویس دهنده دستیابی خدمات شبکه را ( NAS ، برگرفته شده از network access server ) و یا هر نوع دستگاه مشابه دیگری باشد که نیازمند تائید و accounting است .
همانگونه که اشاره گردید NAS به عنوان یک سرویس گیرنده RADIUS عمل می نماید . سرویس گیرنده مسئول ارسال اطلاعات کاربر برای سرویس دهنده RADIUS است تا بر اساس نتایج برگردانده
شده توسط سرویس دهنده ، در خصوص کاربر تعیین تکلیف گردد . سرویس دهندگان RADIUS مسئول دریافت درخواست ارتباط کاربر ، تائید وی و ارسال اطلاعات پیکربندی مورد نیاز برای سرویس
گیرنده به منظور عرضه سرویس به کاربر می باشند . یک سرویس دهنده RADIUS می تواند به عنوان یک سرویس گیرنده پراکسی به سایر سرویس دهندگان RADIUS و یا سایر سرویس دهندگان تائید نیز عمل نماید .
سرویس گیرندگان RADIUS از طریق پورت های 1812 و 1813 پروتکل حمل UDP ( برگرفته شده از User Datagram Protocol ) با یک سرویس دهنده RADIUS ارتباط برقرار می نمایند .
در نسخه های اولیه پروتکل RADIUS از پورت های 1646 و 1645 پروتکل UDP استفاده می گردید . پروتکل RADIUS از پروتکل حمل TCP ( برگرفته شده از Transmission Control Protocol ) حمایت نمی نماید .
RADIUS و سرویس دهنده IAS
با استفاده از پروتکل RADIUS می توان دستگاهی نظیر یک NAS را بگونه ای پیکربندی نمود تا یک کاربر را برای استفاده از یک سرویس خاص تائید نماید . به عنوان نمونه ،
یک ISP می بایست کاربر یک پورت شبکه dial-in را تائید نماید تا این اطمینان ایجاد گردد که وی مجاز به استفاده از پورت نصب شبکه مورد نظر می باشد . در چنین مواردی لازم است که NAS اطلاعات
مورد نیاز برای این ارتباط را دریافت نماید . اطلاعات فوق توسط یک سرویس دهنده RADIUS در اختیار وی گذاشته می شود . پس از ایجاد ارتباط ، دستگاه NAS ممکن است در صورت نیاز اطلاعات accounting را به منظور اهداف مالی و شارژ کاربر تامین و ارائه نماید .
شکل 1 نحوه تعامل بین یک سرویس گیرنده RADIUS ( نظیر یک دستگاه NAS ) و یک سرویس دهنده RADIUS ( نظیر Internet Authentication Service ) را نشان می دهد .
شکل 1 : نحوه ارتباط بین یک سرویس دهنده و سرویس گیرنده RADIUS
به منظور حمایت از معماری های پیچیده تر شبکه ، می توان از یک RADIUS ***** استفاده نمود که اطلاعات RADIUS را از یک سرویس گیرنده RADIUS دریافت و آن را برای یک سرویس دهنده RADIUS رله می نماید .
پاسخ سرویس دهنده RADIUS از طریق RADIUS ***** ارسال می گردد .در چنین مواردی اطلاعات مربوط به تائید و مجوزها می تواند با استفاده از یک RADIUS ***** ارسال گردد .
شکل 2 نحوه عملکرد RADIUS ***** را نشان می دهد .
شکل 2 : نحوه عملکرد RADIUS *****
در ویندوز 2003 ( نسخه های سرویس دهنده ) ، IAS ( برگرفته شده از Internet Authentication Service ) مطابق استاندارد تعریف شده در RFC 2865 و RFC 2866 به عنوان یک سرویس دهنده RADIUS و پراکسی پیاده سازی شده است .
در نسخه های سرویس دهنده ویندوز 2000 ، شرکت مایکروسافت صرفا" ویژگی سرویس دهنده RADIUS را پیاده سازی کرده بود . علاوه بر این ، در نسخه های سرویس دهنده ویندوز 2003 که
بر روی آنها سرویس RRAS ( برگرفته شده از Routing and Remote Access service) اجراء شده است را می توان به عنوان پشتیبانی شبکه یک سرویس گیرنده RADIUS پیکربندی کرد .
بدین ترتیب امکان تائید سرویس گیرندگان dial-in و یا VPN ( برگرفته شده از Virtual Private Networks ) از طریق یک سرویس دهنده RADIUS فراهم می گردد .
عناصر سرویس دهنده RADIUS در IAS قادر به تائید درخواست های سرویس گیرندگان RADIUS از طریق یک بانک اطلاعاتی محلی و یا اکتیو دایرکتوری می باشند . IAS جزئیات اطلاعات accounting ارائه شده توسط
سرویس گیرنده RADIUS را در یک فایل متن و یا یک بانک اطلاعاتی رابطه ای ذخیره می نماید . ویژگی RADIUS ***** تعبیه شده در IAS قادر به ارسال پیام های تائید و accounting برای سایر سرویس دهندگان RADIUS می باشد .
پیکربندی IAS را می توان بگونه ای انجام داد که وی قادر به انجام فرآیند پسیو شبکه تائید و عملیات مربوط به accounting باشد . همچنین می توان سرویس گیرندگان RADIUS و یا RADIUS ***** را به منظور استفاده از سرویس دهندگان اضافی پیکربندی نمود .
IAS امکان دستیابی به اطلاعات accounting کاربران ، نگهداری شده بر روی سرویس دهنده IAS و یا یک کنترل کننده domain را دارد ( در صورتی که سرویس دهنده IAS عضوی از یک domain باشد ).
تراکنش های دستیابی و accounting بین سرویس گیرنده و سرویس دهنده با استفاده از یک رمز محرمانه به اشتراک گذاشته شده صورت می پذیرد . رمز فوق هرگز بر روی شبکه ارسال نخواهد شد و از آن به همراه فیلد
تائید کننده و به منظور ارائه یک سطح امنیتی مناسب بر روی پیام های RADIUS استفاده می گردد . در صورت نیاز به یک سطح بالاتر امنیتی ، سرویس دهنده و سرویس گیرنده RADIUS می توانند از IPSec برای رمزنگاری پیام های RADIUS استفاده نمایند ( این موضوع خارج از حوزه پروتکل RADIUS می باشد )
با این که برخی سیستم های عامل دارای امکانات خاصی در این رابطه می باشند ، در اغلب شرکت های بزرگ می بایست از یک زیرساخت اختصاصی برای تائید و مدیریت دستیابی به شبکه استفاده گردد
.
پروتکل RADIUS ( برگرفته شده از Remote Authentication Dial-In User Service ) ، استانداردی برای طراحی و پیاده سازی سرویس دهندگانی است که مسئولیت تائید و مدیریت کاربران را برعهده خواهند گرفت.
مشخصات و نحوه عملکرد پروتکل RADIUS در RFC 2865 و RFC 2866 تعریف شده است .
پروتکل RADIUS از یک معماری سرویس گیرنده - سرویس دهنده برای تائید و accounting استفاده می نماید . پروتکل فوق اطلاعات accounting ، پیکربندی ، تائید و مجوزها را بین یک سرویس گیرنده
RADIUS و یک سرویس دهنده RADIUS حمل می نماید . سرویس گیرنده RADIUS می تواند یک سرویس دهنده دستیابی خدمات شبکه را ( NAS ، برگرفته شده از network access server ) و یا هر نوع دستگاه مشابه دیگری باشد که نیازمند تائید و accounting است .
همانگونه که اشاره گردید NAS به عنوان یک سرویس گیرنده RADIUS عمل می نماید . سرویس گیرنده مسئول ارسال اطلاعات کاربر برای سرویس دهنده RADIUS است تا بر اساس نتایج برگردانده
شده توسط سرویس دهنده ، در خصوص کاربر تعیین تکلیف گردد . سرویس دهندگان RADIUS مسئول دریافت درخواست ارتباط کاربر ، تائید وی و ارسال اطلاعات پیکربندی مورد نیاز برای سرویس
گیرنده به منظور عرضه سرویس به کاربر می باشند . یک سرویس دهنده RADIUS می تواند به عنوان یک سرویس گیرنده پراکسی به سایر سرویس دهندگان RADIUS و یا سایر سرویس دهندگان تائید نیز عمل نماید .
سرویس گیرندگان RADIUS از طریق پورت های 1812 و 1813 پروتکل حمل UDP ( برگرفته شده از User Datagram Protocol ) با یک سرویس دهنده RADIUS ارتباط برقرار می نمایند .
در نسخه های اولیه پروتکل RADIUS از پورت های 1646 و 1645 پروتکل UDP استفاده می گردید . پروتکل RADIUS از پروتکل حمل TCP ( برگرفته شده از Transmission Control Protocol ) حمایت نمی نماید .
RADIUS و سرویس دهنده IAS
با استفاده از پروتکل RADIUS می توان دستگاهی نظیر یک NAS را بگونه ای پیکربندی نمود تا یک کاربر را برای استفاده از یک سرویس خاص تائید نماید . به عنوان نمونه ،
یک ISP می بایست کاربر یک پورت شبکه dial-in را تائید نماید تا این اطمینان ایجاد گردد که وی مجاز به استفاده از پورت نصب شبکه مورد نظر می باشد . در چنین مواردی لازم است که NAS اطلاعات
مورد نیاز برای این ارتباط را دریافت نماید . اطلاعات فوق توسط یک سرویس دهنده RADIUS در اختیار وی گذاشته می شود . پس از ایجاد ارتباط ، دستگاه NAS ممکن است در صورت نیاز اطلاعات accounting را به منظور اهداف مالی و شارژ کاربر تامین و ارائه نماید .
شکل 1 نحوه تعامل بین یک سرویس گیرنده RADIUS ( نظیر یک دستگاه NAS ) و یک سرویس دهنده RADIUS ( نظیر Internet Authentication Service ) را نشان می دهد .
شکل 1 : نحوه ارتباط بین یک سرویس دهنده و سرویس گیرنده RADIUS
به منظور حمایت از معماری های پیچیده تر شبکه ، می توان از یک RADIUS ***** استفاده نمود که اطلاعات RADIUS را از یک سرویس گیرنده RADIUS دریافت و آن را برای یک سرویس دهنده RADIUS رله می نماید .
پاسخ سرویس دهنده RADIUS از طریق RADIUS ***** ارسال می گردد .در چنین مواردی اطلاعات مربوط به تائید و مجوزها می تواند با استفاده از یک RADIUS ***** ارسال گردد .
شکل 2 نحوه عملکرد RADIUS ***** را نشان می دهد .
شکل 2 : نحوه عملکرد RADIUS *****
در ویندوز 2003 ( نسخه های سرویس دهنده ) ، IAS ( برگرفته شده از Internet Authentication Service ) مطابق استاندارد تعریف شده در RFC 2865 و RFC 2866 به عنوان یک سرویس دهنده RADIUS و پراکسی پیاده سازی شده است .
در نسخه های سرویس دهنده ویندوز 2000 ، شرکت مایکروسافت صرفا" ویژگی سرویس دهنده RADIUS را پیاده سازی کرده بود . علاوه بر این ، در نسخه های سرویس دهنده ویندوز 2003 که
بر روی آنها سرویس RRAS ( برگرفته شده از Routing and Remote Access service) اجراء شده است را می توان به عنوان پشتیبانی شبکه یک سرویس گیرنده RADIUS پیکربندی کرد .
بدین ترتیب امکان تائید سرویس گیرندگان dial-in و یا VPN ( برگرفته شده از Virtual Private Networks ) از طریق یک سرویس دهنده RADIUS فراهم می گردد .
عناصر سرویس دهنده RADIUS در IAS قادر به تائید درخواست های سرویس گیرندگان RADIUS از طریق یک بانک اطلاعاتی محلی و یا اکتیو دایرکتوری می باشند . IAS جزئیات اطلاعات accounting ارائه شده توسط
سرویس گیرنده RADIUS را در یک فایل متن و یا یک بانک اطلاعاتی رابطه ای ذخیره می نماید . ویژگی RADIUS ***** تعبیه شده در IAS قادر به ارسال پیام های تائید و accounting برای سایر سرویس دهندگان RADIUS می باشد .
پیکربندی IAS را می توان بگونه ای انجام داد که وی قادر به انجام فرآیند پسیو شبکه تائید و عملیات مربوط به accounting باشد . همچنین می توان سرویس گیرندگان RADIUS و یا RADIUS ***** را به منظور استفاده از سرویس دهندگان اضافی پیکربندی نمود .
IAS امکان دستیابی به اطلاعات accounting کاربران ، نگهداری شده بر روی سرویس دهنده IAS و یا یک کنترل کننده domain را دارد ( در صورتی که سرویس دهنده IAS عضوی از یک domain باشد ).
تراکنش های دستیابی و accounting بین سرویس گیرنده و سرویس دهنده با استفاده از یک رمز محرمانه به اشتراک گذاشته شده صورت می پذیرد . رمز فوق هرگز بر روی شبکه ارسال نخواهد شد و از آن به همراه فیلد
تائید کننده و به منظور ارائه یک سطح امنیتی مناسب بر روی پیام های RADIUS استفاده می گردد . در صورت نیاز به یک سطح بالاتر امنیتی ، سرویس دهنده و سرویس گیرنده RADIUS می توانند از IPSec برای رمزنگاری پیام های RADIUS استفاده نمایند ( این موضوع خارج از حوزه پروتکل RADIUS می باشد )