RADIUS

 

 

 

 

 

 

 

RADIUS je industry-standard protocol koji je opisan u RFC 2865 „Remote Authentication Dial-in User Service (RADIUS)“, i u RFC 2866 „RADIUS Accounting“. RADIUS nudi mrežnu autentifikaciju i autorizaciju i accounting servis. Sledeće komponente su delovi RADIUS autentifikacione, autorizacione i accounting infrastrukture:

– Access clients
– Access Servers (RADIUS klijenti)
– RADIUS proxies
– RADIUS servers
– User Account databases

Šta su RADIUS klijenti?

Network Access Server (NAS) je uređaj koji nudi neki nivo pristupa u velikim mrežama. NAS koji koristi RADIUS infrastrukturu je takođe RADIUS klijent, koji šalje zahteve za konekcijama i accounting poruke ka RADIUS serveru za autentifikaciju, autorizaciju i accounting.

Klijentski kompjuteri, kao što su wireless laptop kompjuteri i drugi kompjuteri na kojima rade klijentski operativni sistemi, nisu RADIUS klijenti. RADIUS klijenti su Network access serveri uključujući wireless access pointe, 802.1x autentifikacione switch-eve, VPN serveri, Dial-up serveri – zato što oni koriste RADIUS protokol za komunikaciju sa RADIUS serverima kao što su NAP serveri.

RADIUS Proxy

Možemo da koristimo NPS kao RADIUS proxy da rutiramo poruke između RADIUS klijenata (Access Servera) i RADIUS Servera koji odrađuje autorizaciju, autentifikaciju i accounting za pokušaje konekcije.

Kada koristimo NPS kao RADIUS Proxy, NPS je Central-switching ili Routing Point (tačka rutiranja) kroz koji RADIUS Access i Accounting poruke prolaze. NPS zapisuje informacije u Accounting log koje se odnose na prosleđene poruke.

Preporučuje se izgradnja NPS-a kao RADIUS proxy kada je potrebno obezbediti autentifikaciju i autorizaciju za naloge iz šume aktivnog direktorijuma. NPS RADIUS proxy koristi Realm ime (ime koje identifikuje lokaciju korisničkog naloga) koji predstavlja deo korisničkog imena da prosledi zahteve ka RADIUS serveru u target šumi. Ovo dozvoljava da pokušaji konekcije za korisničke naloge iz jedne šume budu autentifikovani za Network Access Server u drugoj šumi. Koristeći RADIUS Proxy za Inter-forest autentifikaciju nije potrebno kada obe šume rade u Windows Server 2003 funkcionalnom nivou i između dve šume postoji poverenje.

Potrebno je izgraditi NPS kao RADIUS proxy kada je potrebno procesuirati veliki broj zahteva za konekcijama između RAS RADIUS klijenata i RADIUS servera. NPS RADIUS proxy može da smanji saobraćaj između više RADIUS servera, što je komplikovano konfigurisati kada na mreži imamo samo RADIUS Servere i RADIUS klijente.

Konfigurisanje procesuiranja zahteva za konekcijama (Connection request Procesing)

Connection request Policies su setovi uslova (conditions) i postavki koje omogućavaju mrežnim administratorima određivanje RADIUS Servera koji bi trebao da odrađuje autentifikaciju i autorizaciju zahteva za konekcijama koje NPS server prima od NPS klijenata.
Defoltna Connection-request polisa koristi NPS kao RADIUS Server i lokalno procesuira sve zahteve za konekcijama.

Imamo nekoliko mogućih konfiguracija Connection Request Processing-a, i to su:

– Local vs RADIUS authentication: Lokalna autentifikacija radi protiv lokalne sigurnosne baze naloga (Local Security Account Database) ili aktivnog diektorijuma. Connection polise nalaze se na tom serveru. RADIUS autentifikacija prosleđuje zahteve za konekcijama ka RADIUS Serveru za autentifikaciju protiv sigurnosne baze podataka. RADIUS održava Central Store u kojem se nalaze sve Connection polise.

– RADIUS Server Groups: Koristi se kada je jedan ili više RADIUS servera u mogućnosti da odradi zahteve konekcija. Connection requests su balansirani na osnovu kriterijumima koji su određeni u toku kreiranja RADIUS server grupe ako postoji više od jednog RADIUS servera u grupi.

– Default Ports for accounting and authentication using RADIUS: Portovi koji su potrebni za autentifikacione i accounting zahteve prosleđeni ka RADIUS Serveru su: UDP 1812-1645 i UDP 1813-1646.

Connection Request polisa

Connection Request polise su setovi uslova (conditions) i postavki koje dozvoljavaju mrežnim administratorima da odrede koji RADIUS serveri odrađuju autentifikaciju i autorizaciju zahteva za konekcijama koje je NPS server dobio od RADIUS klijenata. Možemo da konfigurišemo Connection request polise da odredimo koji RADIUS Serveri će se koristiti za RADIUS accounting.

Ostavite odgovor

Popunite detalje ispod ili pritisnite na ikonicu da biste se prijavili:

WordPress.com logo

Komentarišet koristeći svoj WordPress.com nalog. Odjavite se / Promeni )

Slika na Tviteru

Komentarišet koristeći svoj Twitter nalog. Odjavite se / Promeni )

Fejsbukova fotografija

Komentarišet koristeći svoj Facebook nalog. Odjavite se / Promeni )

Google+ photo

Komentarišet koristeći svoj Google+ nalog. Odjavite se / Promeni )

Povezivanje sa %s

%d bloggers like this: