การเชื่อมต่อเพื่อพิสูจน์ตัวจริงระยะไกลในบริการของผู้ใช้ หรือ เรเดียส (ย่อคำแล้วแต่อ่านเป็นคำได้พอดี) : เป็นโพรโทคอลเครือข่ายที่ให้การตรวจสอบ, อนุมัติ และการจัดการการบัญชี (AAA)จากส่วนกลาง สำหรับคอมพิวเตอร์ที่เชื่อมต่อและใช้บริการเครือข่าย. RADIUS ได้รับการพัฒนาโดย Livingston Enterprises, Inc ในปี 1991 ในฐานะที่เป็นโพรโทคอลการตรวจสอบและการบัญชีของเซิร์ฟเวอร์การเข้าถึง และภายหลังถูกนำมาเป็นมาตรฐานของ Internet EngineeringTask Force ( IETF ).
เพราะการสนับสนุนในวงกว้างและธรรมชาติที่แพร่หลายของโปรโตคอล RADIUS มันมักจะถูกใช้โดยผู้ให้บริการอินเทอร์เน็ตและผู้ประกอบการในการจัดการการเข้าถึงเครือข่ายอินเทอร์เน็ตหรือภายในเครือข่ายไร้สาย และบริการอีเมลแบบบูรณาการ เครือข่ายเหล่านี้อาจประกอบด้วยโมเด็ม, DSL, access points, VPNs, พอร์ตเครือข่าย, เว็บเซิร์ฟเวอร์ ฯลฯ
RADIUS เป็นโพรโทคอลแบบไคลเอ็นต์/เซิร์ฟเวอร์ที่วิ่งในชั้นแอพพลิเคชัน ใช้ UDP เป็นตัว ขนส่ง. Remote Access Server, Virtual Private Network server, the Network switch ที่มีการตรวจสอบพอร์ต และ Network Access Server (NAS) ทั้งหมดนี้เป็นเกตเวย์ที่ควบคุมการเข้าถึงเครือข่ายและทุกตัวมีส่วนลูกข่ายของ RADIUS ที่ติดต่อสื่อสารกับ RADIUS เซิร์ฟเวอร์. RADIUS เซิร์ฟเวอร์มักจะเป็นกระบวนการหลังบ้านที่ทำงานบน UNIX หรือ Microsoft Windows Server.
RADIUS เซิร์ฟเวอร์ ใช้แนวคิด AAA ในการจัดการการเข้าถึงเครือข่าย ในกระบวนการสองขั้นตอนดังต่อไปนี้, หรือที่เรียกว่า" การทำธุรกรรม AAA "AAA ย่อมาจาก " authentication, authorization and accounting" ลักษณะการตรวจสอบและอนุมัติใน RADIUS อธิบายไว้ใน RFC 2865 ในขณะที่การบัญชี อธิบายโดย RFC 2866
ตรวจสอบและอนุมัติ
ผู้ใช้หรืออุปกรณ์ส่งคำขอไปยังเซิร์ฟเวอร์การเข้าถึงระยะไกล ( Remote Access Server) หรือ RAS เพื่อเข้าถึงทรัพยากรเครือข่ายเฉพาะอย่างโดยการใช้สิทธิการเข้าถึง. ข้อมูลประจำตัวจะถูกส่งผ่านไปยังอุปกรณ์ RAS ผ่านโพรโทคอลชั้นการเชื่อมโยง - ตัวอย่างเช่น Point-to-Point Protocol (PPP) ในกรณีของ หลาย dialup หรือผู้ให้บริการ DSL หรือการโพสต์ในแบบฟอร์มเว็บ HTTPS ที่ปลอดภัย
ในทางกลับกัน RAS ส่ง RADIUS Access Request message ไปยังเซิร์ฟเวอร์ RADIUS เพื่อขออนุญาตใช้สิทธิ์การเข้าถึงผ่านทางโปรโตคอล RADIUS.
คำขอนี้รวมถึงสิทธิการเข้าถึงที่มักจะอยู่ในรูปแบบของชื่อผู้ใช้และรหัสผ่านหรือใบรับรองความปลอดภัยของผู้ใช้ นอกจากนี้คำร้องขออาจมีข้อมูลอื่นๆที่ RAS รู้เกี่ยวกับผู้ใช้เช่นที่อยู่ เครือข่าย หรือหมายเลขโทรศัพท์ของตนและข้อมูลเกี่ยวกับจุดทางกายภาพของผู้ใช้ที่แนบกับ RAS
RADIUS เซิร์ฟเวอร์จะตรวจสอบว่าข้อมูลนั้นถูกต้องโดยใช้แผนการตรวจสอบ เช่น PAP, CHAP หรือ EAP. หลักฐานตัวบ่งชี้ประจำตัวของผู้ใช้ที่มีการยืนยัน พร้อมกับข้อมูลอื่นๆที่เกี่ยวข้องกับการ ร้องขอเช่นที่อยู่เครือข่ายของผู้ใช้หรือหมายเลขโทรศัพท์, สถานะบัญชี และ สิทธิ์การเข้าใช้ บริการที่เฉพาะเจาะจงของเครือข่าย ในอดีต, RADIUS เซิร์ฟเวอร์จะตรวจสอบข้อมูลของผู้ใช้เทียบกับฐานข้อมูลที่เก็บไว้ภายในไฟล์ RADIUS เซิร์ฟเวอร์ที่ทันสมัยสามารถทำเช่นนี้ หรือสามารถอ้างอิงไปยังแหล่งภายนอกโดยทั่วไปได้แก่ SQL, Kerberos, LDAP, หรือเซิร์ฟเวอร์ ไดเรกทอรีที่ใช้งานในการตรวจสอบสิทธิของผู้ใช้
จากนั้น RADIUS เซิร์ฟเวอร์จะตอบกลับไปยัง RAS หนึ่งในสามแบบนี้: 1) ปฏิเสธการเข้าถึง , 2) ท้าทายการเข้าถึง หรือ 3) ยอมรับการเข้าถึง
- Access Reject - ผู้ใช้ถูกปฏิเสธโดยไม่มีเงื่อนไขในการเข้าถึงทุกทรัพยากรเครือข่ายที่ร้องขอ เหตุผลอาจรวมถึงความล้มเหลวที่จะให้หลักฐานของตัวบ่งชี้ประจำตัวหรือบัญชีผู้ใช้ที่ไม่รู้จักหรือใช้งานไม่ได้
- Access Chalenge - ขอข้อมูลเพิ่มเติมจากผู้ใช้เช่นรหัสผ่านตัวที่สอง, PIN, โทเค็น หรือบัตร. การท้าทายการเข้าใช้งานยังใช้การโต้ตอบที่ซับซ้อนมากขึ้น ในที่ซึ่งอุโมงค์ที่มีความปลอดภัย ถูกสร้างขึ้นระหว่างเครื่องของผู้ใช้และเซิร์ฟเวอร์เรเดียสในทางที่สิทธฺิในการเข้าจะถูกซ่อนจาก RAS
- Access Accept - ผู้ใช้ได้รับอนุญาตให้เข้าใช้ เมื่อผู้ใช้ถูกรับรองความถูกต้อง RADIUS เซิร์ฟเวอร์มักจะตรวจสอบว่าผู้ใช้จะได้รับอนุญาตให้ใช้บริการเครือข่ายที่มีการร้องขอ ยกตัวอย่างเช่น ผู้ใช้อาจจะได้รับอนุญาตให้ใช้เครือข่ายไร้สายของบริษัทแต่ไม่ได้ให้ใช้บริการ VPN ของบริษัทด้วย อีกครั้ง ข้อมูลนี้อาจจะถูกเก็บไว้บนเซิร์ฟเวอร์ RADIUS หรืออาจจะถูก look up ในแหล่งข้อมูลภายนอกเช่น LDAP หรือไดเรกทอรีอื่น
ในแต่ละ response ของ RADIUS สามอย่างนี้ อาจรวมถึง Reply-Message attribute ซึ่งอาจ ให้เหตุผลประกอบการ Reject, หรือ prompt เพื่อ Challenge หรือข้อความต้อนรับ เมื่อ Accept ข้อความใน attribute สามารถถูกส่งผ่านไปยังหน้าเว็บของผู้ใช้
Authorization attributes จะถูกลำเลียงไปยัง RAS เพื่อกำหนดเงื่อนไขของการเข้าถึงที่ได้รับอนุมัติ ตัวอย่างเช่น
- ที่อยู่ IP เฉพาะจะถูกมอบหมายให้กับผู้ใช้
- ที่อยู่ IP pool ที่ผู้ใช้ควรเลือกใช้
- ระยะเวลาสูงสุดที่ผู้ใช้อาจจะยังคงเชื่อมต่อ
- รายการเข้าถึง, คิวลำดับความสำคัญ หรือ ข้อจำกัดอื่นๆในการเข้าถึงของผู้ใช้
- พารามิเตอร์ L2TP
- พารามิเตอร์ VLAN
- พารามิเตอร์ quality of service (QoS )
Credit : http://th.wikipedia.org/wiki/เรเดียส
ไม่มีความคิดเห็น:
แสดงความคิดเห็น