爱华网RADIUS:Remote Authentication Dial In User Service,远程用户拨号认证系统由RFC2865,RFC2866定义,是目前应用最广泛的AAA协议。AAA是一种管理框架,因此,它可以用多种协议来实现。在实践中,人们最常使用远程访问拨号用户服务(Remote Authentication Dial In User Service,RADIUS)来实现AAA。RADIUS是一种C/S结构的协议,它的客户端最初就是NAS(Net Access Server)服务器,任何运行RADIUS客户端软件的计算机都可以成为RADIUS的客户端。RADIUS协议认证机制灵活,可以采用PAP、CHAP或者Unix登录认证等多种方式。RADIUS是一种可扩展的协议,它进行的全部工作都是基于Attribute-Length-Value的向量进行的。RADIUS也支持厂商扩充厂家专有属性。
radius密码_RADIUS -简介
radiusRADIUS是一种分布的,客户端/服务器系统,实现安全网络,反对未经验证的访问。在cisco实施中,RADIUS客户端运行在cisco路由器上上,发送认证请求到中心RADIUS服务器,服务器上包含了所有用户认证和网络服务访问的信息。
radius密码_RADIUS -使用
+当多厂商访问服务器网络,都支持RADIUS。例如,几个不同厂家的访问服务器只使用基于RADIUS的安全数据库,在基于ip的网络有多个厂商的访问服务器,通过RADIUS服务器来验证拨号用户,进而定制使用kerberos安全系统。
+当某应用程序支持RADIUS协议守护网络安全环境,就像在一个使用smart card门禁控制系统的那样的访问环境。某个案例中,RADIUS
被用在Enigma安全卡来验证用户和准予网络资源使用权限。
radius密码_RADIUS -已经使用
你可以添加具有RADIUS支持的cisco路由器到你的网络中,这个可以成为你想过渡到TACACS+服务器的第一步。
+当网络中一个用户仅能访问一种服务。使用RADIUS,你可以控制用户访问单个主机,进行单个服务,如telnet,或者单个协议,如ppp。例如当一个用户登录进来,RADIUS授权这个用户只能以10.2.3.4这个地址运行ppp,而且还得和ACL相匹配。
+当网络需要资源记账。你可以使用RADIUS记账,独立于RADIUS认证和授权,RADIUS记账功能允许数据服务始与终,记录会话之中所使用的标志资源(如,时间,包,字节,等等)。ISP可能使用免费版本的基于RADIUS访问控制和记账软件来进行特定安全和金额统计。
+当网络希望支持预认证。在你的网络中使用RADIUS服务,你可以配置AAA预认证和设定预认证profiles。预认证服务的开启提供更
好的管理端口来使用它们已经存在的RADIUS解决方案,更优化的管理使用、共享资源,进而提供不懂服务级别的协定。
RADIUS不适合以下网络安全情形:
~多协议访问环境,Radius不支持以下协议:
*AppleTalk Remote Access (ARA)苹果远程访问。
*NetBIOS Frame Control Protocol (NBFCP)网络基本输出输入系统侦控制协议。
*NetWare Asynchronous Services Interface (NASI)网件异步服务接口。
*X.25 PAD connectionsX.25 PAD连接。
~路由器到路由器情形.Radius不提供双向认证.Radius能使用在要认证从一个路由器到非cisco路由器,当这个非cisco路由器需要认证
的时候.
~网络使用各种各样的服务的时候.Radius大体上约束一个用户使用一个服务模型.
Radius操作:
当一个用户试图登录并验证到一个使用了Radius的访问服务器,发生了以下步骤:
1.这个用户被允许输入用户名和密码.
2.用户名和加密的密码被发送到网络中的Radius服务器.
a.ACCEPT--该用户通过了认证.
b.REJECT--该用户没有被认证,被允许重新输入用户名和密码,或者访问被拒绝了.
c.CHALLENGE--Radius服务器发出挑战.这个挑战收集这个用户附加信息.(CHALLENGE--Radius服务器发出质疑.这个质疑收集这个用户附加信息.)
d.CHANGE PASSWORD--这个请求时RADIUS服务器发出的,告诉用户换一个新的密码.
ACCEPT或者REJECT回应包括了用来执行或者网络认证的附加数据,
你必须首先完成Radius认证才能使用Radius授权.带有ACCEPT或者REJECT附加数据的包有以下组成:
+用户能访问的服务,包括telnet,rlogin,或者本地区域传输(lat)连接,以及ppp,SLIP,或者EXEC服务.
+连接参数,包括主机或者ip地址,访问列表,和用户超时.
配置举例
aaa new-model //开启aaa
radius-server host 123.45.1.2 //
指定Radius服务器
radius-server key myRaDiUSpassWoRd //
定义访问服务器和Radius共享秘文
username root password ALongPassword //
用户名,密码.
aaa authentication ppp dialins group radius local //
定义了认证方式列表"dialins",这个东西指定了radius认证.然后,
(如果radius服务器没有响应),本地username将会被用来验证ppp.
aaa authorization network default group radius local//
用来给Radius用户绑定一个地址和其它网络参数
aaa accounting network default start-stop group radius//
用来跟踪ppp用法.
aaa authentication login admins local//
给登录认证定义了另一个方式列表,"admins",
aaa authorization exec default local
line 1 16
autoselect ppp
autoselect during-login
login authentication admins //
应用"admins"方式列表用来登录认证.
modem ri-is-cd
interface group-async 1
encaps ppp
ppp authentication pap dialins //
应用"dialins"方式列表到指定的地方.
radius密码_RADIUS -消息交互
radius服务器对用户的认证过程通常需要利用nas等设备的代理认证功能,radius客户端和radius服务器之间通过共享密钥认证相互间交互的消息,用户密码采用密文方式在网络上传输,增强了安全性。radius协议合并了认证和授权过程,即响应报文中携带了授权信息。
基本交互步骤如下:
(1)用户输入用户名和口令;
(2)radius客户端根据获取的用户名和口令,向radius服务器发送认证请求包(access-request)。
(3)radius服务器将该用户信息与users数据库信息进行对比分析,如果认证成功,则将用户的权限信息以认证响应包(access-accept)发送给radius客户端;如果认证失败,则返回access-reject响应包。
(4)radius客户端根据接收到的认证结果接入/拒绝用户。如果可以接入用户,则radius客户端向radius服务器发送计费开始请求包(accounting-request),status-type取值为start;
(5)radius服务器返回计费开始响应包(accounting-response);
(6)radius客户端向radius服务器发送计费停止请求包(accounting-request),status-type取值为stop;
(7)radius服务器返回计费结束响应包(accounting-response)。
