RADIUS (ang. Remote Authentication Dial In User Service) – usługa zdalnego uwierzytelniania użytkowników, którzy wdzwaniają się do systemu (poprzez usługę „połączenie wdzwaniane”).

Obecnie jest najpopularniejszym protokołem uwierzytelniania i autoryzowania użytkowników sieci telefonicznych i tunelowych. Używany jest także w sieciach bezprzewodowych.

Funkcjonowanie protokołu RADIUS

edytuj

W odpowiedzi na próbę zalogowania się użytkownika do sieci serwer dostępowy (NAS) generuje zapytanie o dane użytkownika, w tym jego identyfikator i hasło. Po wprowadzeniu tych danych z poziomu terminala użytkownika, jego identyfikator wraz z zakodowanym hasłem zostają wysłane do serwera RADIUS-a, na którym jest uruchomione specjalne oprogramowanie. Po sprawdzeniu danych użytkownika skutkiem ich skonfrontowania z zawartością własnych baz danych serwer RADIUS może odpowiedzieć jednym z następujących komunikatów:

  • ACCEPT – oznacza sukces uwierzytelniania,
  • REJECT – użytkownik nie został poprawnie uwierzytelniony, dostęp do zasobów sieci jest zabroniony,
  • CHALLENGE – prośba o wprowadzenie dodatkowych danych uwierzytelniających.

Po pomyślnym przejściu etapu uwierzytelniania serwer RADIUS sprawdza w bazach autoryzacji, jakie usługi są dostępne dla danego użytkownika (np. telnet, rlogin, połączenia terminalowe LAT, oprogramowanie protokołów SLIP czy PPP, możliwość wywołania interpretera EXEC). Serwer RADIUS na etapie autoryzacji sprawdza też, czy działania danego użytkownika w sieci nie powinny podlegać restrykcjom wynikłym z list dostępu.

RADIUS w sieciach bezprzewodowych

edytuj

W sieciach bezprzewodowych (WLAN) rolę NAS pełni punkt dostępowy pracujący na stacji bazowej. W przypadku próby podłączenia się klienta radiowego, NAS wysyła zapytanie do serwera RADIUS. Zapytanie zawiera nazwę użytkownika i hasło. W przypadku sieci WLAN w najprostszym przypadku może być to adres MAC urządzenia próbującego uzyskać dostęp do sieci bezprzewodowej. Istnieją inne oprócz MAC zaawansowane metody uwierzytelniania oparte na protokole EAP łącznie z obustronnym potwierdzeniem za pomocą certyfikatów. Po pozytywnej autoryzacji w serwerze RADIUS do NAS przesyłany jest komunikat zezwalający na dołączenie urządzenia do WLAN.