المقدمة
يصف هذا المستند ماهية خادم RADIUS وكيفية عمله.
المتطلبات الأساسية
المتطلبات
لا توجد متطلبات أساسية خاصة لهذا المستند.
المكونات المستخدمة
لا يقتصر هذا المستند على إصدارات برامج ومكونات مادية معينة.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
الاصطلاحات
للحصول على مزيد من المعلومات حول اصطلاحات المستندات، راجع اصطلاحات تلميحات Cisco التقنية.
معلومات أساسية
تم تطوير بروتوكول خدمة المصادقة عن بُعد لمستخدم طلب هاتفي (RADIUS) من قِبل Livingston Enterprises, Inc، كبروتوكول مصادقة ومحاسبة لخادم الوصول. مواصفات RADIUS RFC 2865 تحل محل RFC 2138. معيار المحاسبة RADIUS RFC 2866 يحل محل RFC 2139.
يعتمد الاتصال بين خادم الوصول إلى الشبكة (NAS) وخادم RADIUS على بروتوكول مخطط بيانات المستخدم (UDP). وبشكل عام، يعتبر بروتوكول RADIUS خدمة غير متصلة. تتم معالجة المشكلات المتعلقة بتوفر الخادم وإعادة الإرسال وحالات انتهاء المهلة بواسطة الأجهزة التي تم تمكين RADIUS عليها بدلا من بروتوكول الإرسال.
أما RADIUS فهو بروتوكول عميل/خادم
وعادة ما يكون عميل RADIUS عبارة عن وحدة تخزين متصلة بالشبكة (NAS)، وخادم RADIUS هو عادة عملية برنامج تشغيل خلفي يتم تشغيله على جهاز UNIX أو Windows NT. يقوم العميل بتمرير معلومات المستخدم إلى خوادم RADIUS المخصصة ويعمل على الاستجابة المرتجعة. تتلقى خوادم RADIUS طلبات اتصال المستخدم، وتصادق المستخدم، ثم ترجع معلومات التكوين اللازمة للعميل لتقديم الخدمة للمستخدم. يمكن لخادم RADIUS العمل كعميل وكيل لخوادم RADIUS الأخرى أو الأنواع الأخرى من خوادم المصادقة.
يوضح هذا الشكل التفاعل بين مستخدم الطلب الهاتفي وعميل RADIUS والخادم.
التفاعل بين مستخدم الطلب الهاتفي وعميل RADIUS والخادم
-
يقوم المستخدم بتهيئة مصادقة PPP إلى NAS.
-
يطلب NAS اسم المستخدم وكلمة المرور (إذا كان بروتوكول مصادقة كلمة المرور [PAP]) أو التحدي (إذا كان بروتوكول المصادقة لتأكيد الاتصال بقيمة التحدي [CHAP]).
-
ردود المستخدم.
-
يرسل عميل RADIUS اسم المستخدم وكلمة المرور المشفرة إلى خادم RADIUS.
-
يستجيب خادم RADIUS بالقبول أو الرفض أو التحدي.
-
يعمل عميل RADIUS على معلمات الخدمات والخدمات المضمنة في "قبول" أو "رفض".
المصادقة والتفويض
يمكن أن يدعم خادم RADIUS مجموعة متنوعة من الطرق لمصادقة مستخدم ما. عند توفيره مع اسم المستخدم وكلمة المرور الأصلية المقدمين من المستخدم، يمكن أن يدعم PPP أو PAP أو CHAP وسجل الدخول إلى UNIX وآليات المصادقة الأخرى.
عادة ما يتكون سجل دخول المستخدم من استعلام (طلب الوصول) من NAS إلى خادم RADIUS واستجابة مطابقة (قبول الوصول أو رفض الوصول) من الخادم. تحتوي حزمة طلب الوصول على اسم المستخدم وكلمة المرور المشفرة وعنوان IP ل NAS والمنفذ. تم النشر المبكر ل RADIUS باستخدام منفذ UDP رقم 1645، والذي يتعارض مع خدمة "مقاييس البيانات". بسبب هذا التعارض، تم تخصيص رقم المنفذ 1812 رسميا ل RADIUS وفقا لمعيار RFC 2865. توفر معظم أجهزة Cisco وتطبيقاتها الدعم لأي من مجموعة أرقام المنافذ. يوفر تنسيق الطلب أيضا معلومات حول نوع جلسة العمل التي يريد المستخدم تشغيلها. على سبيل المثال، إذا تم تقديم الاستعلام في وضع الحرف، فإن الاستنتاج هو نوع الخدمة = Exec-user، ولكن إذا تم تقديم الطلب في وضع حزمة PPP، فإن الاستنتاج هو نوع الخدمة = المستخدم المؤطر وFramed النوع = PPP.
عندما يستقبل خادم RADIUS طلب الوصول من NAS، فإنه يبحث في قاعدة بيانات عن اسم المستخدم المدرج. إذا لم يكن اسم المستخدم موجودا في قاعدة البيانات، إما أنه تم تحميل ملف تعريف افتراضي أو أن خادم RADIUS يرسل رسالة رفض وصول فورا. يمكن أن تكون رسالة Access-Reject هذه مصحوبة برسالة نصية تشير إلى سبب الرفض.
في RADIUS، يتم دمج المصادقة والتفويض معا. إذا تم العثور على اسم المستخدم وكلمة المرور صحيحة، يقوم خادم RADIUS بإرجاع إستجابة قبول الوصول، والتي تتضمن قائمة بأزواج قيمة السمة التي تصف المعلمات التي سيتم إستخدامها لجلسة العمل هذه. تتضمن المعلمات النموذجية نوع الخدمة (shell أو framed) أو نوع البروتوكول أو عنوان IP لتخصيص المستخدم (ثابت أو ديناميكي) أو قائمة الوصول لتطبيقها أو مسار ثابت للتثبيت في جدول توجيه NAS. تحدد معلومات التكوين في خادم RADIUS ما يمكن تثبيته على NAS. يوضح الشكل التالي مصادقة RADIUS وتسلسل التفويض.
مصادقة RADIUS وتسلسل التفويض
محاسبة
يمكن إستخدام ميزات المحاسبة لبروتوكول RADIUS بشكل مستقل عن مصادقة RADIUS أو تخويله. تتيح وظائف محاسبة RADIUS إرسال البيانات في بداية ونهاية الجلسات، والتي تشير إلى مقدار الموارد (مثل الوقت والحزم والبايت وما إلى ذلك) المستخدمة أثناء الجلسة. يمكن لمزود خدمة الإنترنت (ISP) إستخدام برنامج التحكم في الوصول والمحاسبة الخاص ب RADIUS لتلبية إحتياجات الأمان والفوترة الخاصة. ميناء المحاسبة ل RADIUS لأغلب أجهزة Cisco هو 1646، غير أن هو يستطيع أيضا كنت 1813 (بسبب التغيير في الميناء كما هو محدد في RFC 2139).
تتم مصادقة الحركات بين العميل وخادم RADIUS من خلال إستخدام سر مشترك، والذي لا يتم إرساله مطلقا عبر الشبكة. وبالإضافة إلى ذلك، يتم إرسال كلمات مرور المستخدم مشفرة بين العميل وخادم RADIUS للقضاء على أحتمالية أن يقوم شخص ما يتطفل على شبكة غير آمنة بتحديد كلمة مرور مستخدم.
معلومات ذات صلة