Для чего нужен radius server
RADIUS
Материал из Xgu.ru
 |
| Данная страница находится в разработке. Эта страница ещё не закончена. Информация, представленная здесь, может оказаться неполной или неверной. |
Если вы считаете, что её стоило бы доработать как можно быстрее, пожалуйста, скажите об этом.
RADIUS (Remote Authentication Dial In User Service, служба удалённой аутентификации дозванивающихся пользователей) — сетевой протокол, предназначенный для обеспечения централизованной аутентификации, авторизации и учёта (Authentication, Authorization, and Accounting, AAA) пользователей, подключающихся к различным сетевым службам. Используется, например, при аутентификации пользователей WiFi, VPN, в прошлом, dialup-подключений, и других подобных случаях. Описан в стандартах RFC 2865 и RFC 2866.
Содержание
[править] Протокол RADIUS
[править] Свойства RADIUS
В соответствии со стандартом RADIUS, это:
[править] Ограничения RADIUS
Во-вторых, RADIUS, по крайней мере в его основной редакции, не имеет возможности отзыва ресурсов после того как авторизация была произведена. В некоторых случаях эта проблема решается производителем RADIUS-сервера самостоятельно.
В-третьих, RADIUS это протокол без поддержки состояний. Он не сохраняет транзакционную информацию и не использует её в следующих сеансах.
В-четвертых, RADIUS имеет не всегда достаточный уровень масштабируемости. На первой странице RFC замечание от IESG:
 | Experience has shown that [RADIUS] can suffer degraded performance and lost data when used in large scale systems, in part because it does not include provisions for congestion control. Readers of this document may find it beneficial to track the progress of the IETF’s AAA Working Group, which may develop a successor protocol that better addresses the scaling and congestion control issues. |  |
[править] Доступные RADIUS-серверы
Существует огромнейшее количество RADIUS-серверов, отличающихся своими возможностями и лицензией, по которой они распространяются.
Свободно распространяемые RADIUS-серверы:
Кроме того существует множество RADIUS-серверов, встроенных в биллинговые системы. Например, такие как:
Далее рассматривается FreeRADIUS. Это один из самых популярных и самых мощных RADIUS-серверов, существующих сегодня. Это хорошо масштабируемый, гибкий, настраиваемый и надёжный RADIUS-сервер.
[править] Инсталляция и настройка FreeRADIUS
[править] Инсталляция и настройка FreeRADIUS
Запуск RADIUS-сервера в режиме отладки:
Проверка конфигурационного файла FreeRadius-сервера:
[править] Конфигурационные файлы FreeRADIUS
FreeRADIUS использует несколько конфигурационных файлов. У каждого файла есть свой man, который описывает формат файла и примеры конфигураций.
Главный конфигурационный файл в котором указываются пути к другим конфигурационным файлам, log файлы, устанавливаются различные параметры контролируемые администратором.
Это файл обычно статический и его не надо изменять. Он определяет все возможные атрибуты RADIUS использующиеся в других конфигурационных файлах.
В файле содержится описание клиента. Синтаксис записей следующий:
Обязательные атрибуты secret и shortname, опционально можно задать атрибут nastype, который определяет тип клиента (все возможные типы описаны в man clients.conf)
Пример задания клиента:
[править] Настройка атрибутов FreeRADIUS для динамического размещения порта коммутатора в VLAN’е по результатам аутентификации
Для динамического размещения порта коммутатора в VLANе по результатам аутентификации используются туннельные атрибуты (tunnel attributes):
RADIUS-сервер включает туннельные атрибуты в Access-Accept сообщение.
Это основные атрибуты, которые нужны для динамического размещения порта в VLAN’е по результатам аутентификации. Другие атрибуты RADIUS относящиеся к использованию 802.1x перечислены в RFC 3580.
Значения этих атрибутов для конкретного пользователя указываются в файле users (/etc/freeradius/users):
[править] Инсталляция и настройка dialupadmin
Программа dialupadmin предназначена для администрирования RADIUS-сервера через Web.
В данный момент dialupadmin работает только с PHP4 для PHP5 заработчик его еще не адаптировал
[править] Совместное использование ActiveDirectory и FreeRADIUS
В отличие от других LDAP-серверов, active directory не возвращает ничего в атрибуте userPassword. Из-за этого нельзя использовать Active Directory для выполнения аутентификации CHAP, MS-CHAP или EAP-MD5. Можно использовать только аутентификацию PAP. Для этого в секции «authenticate» нужно указать «ldap».
Для выполнения аутентификации MS-CHAP с помощью домена Active Directory, необходимо использовать NTLM-аутентификацию. Для этого потребуется проинсталлировать Samba.
Подробнее об этом в конфигурационном файле radiusd.conf и здесь RLM_LDAP.
Шаги по инсталляции и настройке:
Note: By default, Windows XP can take up to two minutes to prompt for 802.1x authentication credentials. This process can be expedited by modifying the registry using the following procedure:
[3] I am assuming your domain is uing Internet Authentication Server (IAS) and 802.1x to authenticate the access by wireless user. In this case where 802.1x authentication is enabled, there is a registry key that controls how your wireless client authenticates to the backend IAS server. If you set the registry key HKEY_LOCAL_MACHINE\Software\Microsoft\EAPOL\Parameters\General\Global\AuthMo de to 1, what will happen is that the machine will authenticate to the domain before any user log on using machine credential (Machine Authentication) so that it will pull down any security setting the domain enforces, assuming the authentication succeeds. When the user logs on later, the user will need to do User Authentication as you normally do. By the way, if this reg key is not present, by default it is already to set to 1 and you already get the above behavior.
[править] cisco VPN-сервер и RADIUS
Предполагаемая конфигурация полностью совместима с обычным windows-режимом создания VPN-соединения (т.е. может быть организована без дополнительного ПО). Доступ с linux-машин осуществляется с помощью пакета ppptp-linux (и команды pon).
Конфигурация циски (только часть, относящаяся к конфигурированию VPN):
ppp-соединение с пользователем, эта опция указывает, исходя из какого шаблона создаётся этот виртуальный интерфейс)
(обоих версий) и использовать OUR-VPN-NAME (см секцию aaa выше))
После установки freeradius (положение и имена файлов конфигурации для версии в составе debian lenny).
/etc/freeradius/sites-enabled/default: закомментировать все строчки со словом ‘unix’ (отключает unix-авторизацию)
/etc/freeradius/users, добавить пользователей:
(не забудте прописать на маршрутизаторах сети (не циско!) маршрут для сегмента, в котором выдаются адреса (в нашем случае, 192.168.3.0/24).
Как работает RADIUS?
Параметры загрузки
Содержание
Введение
Протокол службы дистанционной аутентификации пользователей по коммутируемым линиям (RADIUS) был разработан корпорацией Livingston Enterprises в качестве протокола аутентификации и учета для сервера доступа. Спецификация RADIUS RFC 2865 
заменяет RFC 2138. Стандарт учета RADIUS RFC 2866 заменяет RFC 2139.
Предварительные условия
Требования
Для данного документа отсутствуют предварительные условия.
Используемые компоненты
Настоящий документ не имеет жесткой привязки к каким-либо конкретным версиям программного обеспечения и оборудования.
Условные обозначения
Подробные сведения об условных обозначениях см. в документе Условное обозначение технических терминов Cisco.
Общие сведения
Соединение между сервером доступа к сети (NAS) и сервером RADIUS основано на протоколе UDP (User Datagram Protocol). В общем виде протокол RADIUS представляет собой службу без установления соединения. Вопросы, связанные с доступностью сервера, повторной передачей и временем ожидания, решаются устройствами с поддержкой RADIUS лучше, чем протоколом передачи.
RADIUS – протокол типа «клиент-сервер». Клиент RADIUS обычно представляет собой сервер NAS, а сервер RADIUS – процесс-демон на компьютере с ОС Windows NT или UNIX. Клиент передает сведения о пользователе указанным серверам RADIUS и выполняет различные действия в зависимости от возвращенного ответа. Серверы RADIUS принимают запросы подключения пользователей, выполняют аутентификацию пользователей и возвращают данные о конфигурации, необходимые для обслуживания пользователя клиентом. Сервер RADIUS может действовать как промежуточный для других серверов RADIUS или серверов аутентификации другого типа.
На этом рисунке показано взаимодействие удаленного пользователя с клиентом или сервером RADIUS.
Пользователь инициализирует аутентификацию PPP с сервером NAS.
NAS запрашивает имя пользователя и пароль (для протокола аутентификации пароля [PAP]) или хэш-строку (для протокола аутентификации с косвенным согласованием [CHAP]).
Пользователь отправляет ответ.
Клиент RADIUS посылает серверу RADIUS имя пользователя и зашифрованный пароль.
Сервер RADIUS выдает один из ответов: Accept (принято), Reject (отклонено) или Challenge (требуется вторичная аутентификация).
Клиент RADIUS выбирает действие в зависимости от служб и их параметров, объединенных с сообщениями Accept или Reject.
Аутентификация и авторизация
Сервер RADIUS может поддерживать множество методов аутентификации пользователя. Для проверки подлинности имени пользователя и пароля, предоставляемых серверу, могут использоваться протоколы PPP, PAP, CHAP, вход UNIX и другие механизмы аутентификации.
Обычно процесс входа пользователя состоит из передачи запроса (Access-Request) с сервера NAS на сервер RADIUS и получения соответствующего ответа с сервера (Access-Accept или Access-Reject). Пакет Access-Request содержит имя пользователя, зашифрованный пароль, IP-адрес сервера NAS и порт. Первоначально серверы RADIUS размещались на UDP-порту 1645, что создавало конфликт со службой datametrics. По причине этого конфликта документ RFC 2865 официально закрепил за протоколом RADIUS порт 1812. Большинство устройств и приложений Cisco поддерживают оба набора номеров портов. Формат запроса также содержит информацию о типе сеанса, который собирается инициировать пользователь. Например, если запрос представлен в символьном режиме, то вывод должен выглядеть как Service-Type = Exec-User, но если запрос представлен в пакетном режиме PPP, то вывод выглядит как Service Type = Framed User и Framed Type = PPP.
По получении от NAS запроса Acceess-Request сервер RADIUS производит поиск указанного имени пользователя в базе данных. Если имя пользователя не найдено в базе данных, это значит, что загружен профиль по умолчанию, или сервер RADIUS немедленно отправляет сообщение Access-Reject. Данное сообщение Access-Reject может сопровождаться текстовым сообщением, в котором указывается причина отказа в доступе.
В RADIUS аутентификация и авторизация объединены. Если имя пользователя найдено и пароль правильный, то сервер RADIUS возвращает подтверждение доступа, включая список пар «атрибут-значение», которые описывают параметры, необходимые для данного сеанса. В числе типичных параметров: тип службы (сеанс интерпретатора или кадрирование), тип протокола, назначенный пользователю IP-адрес (статический или динамический), применяемый список доступа или статический маршрут для установки в таблицу маршрутизации NAS. Данные конфигурации на сервере RADIUS определяют компоненты, которые будут установлены на сервер NAS. Рисунок ниже показывает аутентификацию RADIUS и последовательность авторизации.
Функции учета протокола RADIUS могут использоваться независимо от функций аутентификации или авторизации RADIUS. Учетная функция RADIUS позволяет посылать данные в начале и в конце сеансов, отображая ресурсы (такие как время, пакеты, байты и т. п.), использованные во время сеанса. Для удовлетворения потребностей безопасности и биллинга поставщик услуг Интернета (ISP) может использовать программное обеспечение RADIUS по управлению доступом и учету. В большинстве устройств Cisco в качестве порта учета RADIUS используется порт 1646, но также может быть выбран номер 1813 (по причине изменения номеров портов, закрепленного документом RFC 2139 ).
Подлинность транзакций между клиентом и сервером RADIUS подтверждается с помощью общего секретного ключа, никогда не пересылаемого по сети. Кроме того, обмен паролями пользователей между клиентом и сервером RADIUS выполняется в зашифрованном виде для исключения вероятности перехвата пароля пользователя злоумышленниками через прослушивание незащищенной сети.
Сервер RADIUS: как это работает для аутентификации клиентов
Серверы RADIUS широко используются многими учреждениями, которые предоставляют Wi-Fi возможность подключения с аутентификацией WPA2 / WPA3-Enterprise, то есть аутентификация, при которой у нас будет имя пользователя / пароль или цифровой сертификат для аутентификации в беспроводной сети. Он также широко используется операторами для доступа в Интернет. VPN сервисы для простой и быстрой аутентификации различных VPN-клиентов с использованием имени пользователя и пароля и даже для аутентификации через Ethernet с использованием стандарта 802.1X. Вы хотите подробно узнать, что такое RADIUS-сервер и для чего он нужен?
Что такое RADIUS-сервер и для чего он нужен?
Серверы RADIUS широко используются интернет-операторами (PPPoE), но они также широко используются в сетях Wi-Fi отелей, университетов или в любом другом месте, где мы хотим обеспечить дополнительную безопасность беспроводной сети, его также можно использовать для аутентификации клиентов, которые делают использование протокола 802.1X для Ethernet, и его можно было бы даже использовать для аутентификации клиентов VPN, которые мы хотим, таким образом, у нас будет вся централизованная аутентификация в одной точке простым и простым способом, без необходимости иметь несколько баз данных с разными данными.
Серверы RADIUS используют протокол в UDP транспортный уровень на порт 1812 для установления соединения между командами для проверки подлинности. Когда мы настраиваем сервер RADIUS, мы можем определить, хотим ли мы, чтобы он использовал TCP или UDP, и мы также можем определить используемый порт, хотя по умолчанию это всегда UDP 1812. Что касается используемых устройств, есть отличные Многие маршрутизаторы могут предложить эту услугу для аутентификации клиентов WiFi на локальном или удаленном сервере RADIUS. Кроме того, можно использовать серверы, OLT и даже NAS-серверы, возможности действительно широки, что позволяет не только устанавливать сервер RADIUS, но и не является чем-то непосильным для пользователя, и это не сложно, потому что производители NAS-серверов уже легко включают внутренний сервер RADIUS. настраиваемый. Серверы RADIUS обычно используют протоколы аутентификации, такие как PAP, CHAP или EAP,
Роли RADIUS-сервера и приложений
Прежде всего, сервер RADIUS предлагает механизм аутентификации пользователя для доступа к системе либо к проводной сети с использованием протокола 802.1X, либо к сети WIFi, если у нас есть аутентификация WPA2 / WPA3-Enterprise, и даже к серверу OpenVPN, если мы правильно ли он настроен для получения базы данных клиентов, которые могут подключаться через этот сервер RADIUS.
Что такое FreeRADIUS и почему он связан с серверами RADIUS?
FreeRADIUS всегда связан с сервером RADIUS, потому что это программное обеспечение по преимуществу для установки сервера RADIUS. Если нам необходимо установить сервер RADIUS на любом компьютере (серверах, маршрутизаторах, NAS и т. Д.), Мы всегда будем прибегать к программному обеспечению FreeRADIUS, поскольку оно многоплатформенное, и все операционные системы совместимы с этим программным обеспечением. Это программное обеспечение поддерживает все распространенные протоколы аутентификации, такие как PAP, CHAP, EAP, EAP-TTLS, EAP-TLS и другие. Это программное обеспечение полностью модульное, бесплатное и обеспечивает отличную производительность для аутентификации клиентов.
Некоторые модули, которые мы можем включить в FreeRADIUS, должны обеспечить его совместимость с LDAP, MySQL, PostgreSQL и даже Oracle и другими базами данных, таким образом, мы можем иметь базу данных из тысяч клиентов без каких-либо проблем. Это программное обеспечение настраивается с помощью текстовых файлов конфигурации, однако, есть графические пользовательские интерфейсы для быстрой и простой настройки, как и в случае с pfSense, таким образом, это значительно облегчит настройку сервера RADIUS с помощью FreeRADIUS.
Программное обеспечение FreeRADIUS может быть дополнительно установлено в операционной системе pfSense, популярном межсетевом экране и маршрутизаторе, которые мы можем установить практически на любое оборудование. В этой операционной системе мы можем установить его в разделе пакетов, после установки мы можем ввести его конфигурацию в « Услуги / FreeRADIUS » раздел. В этом меню мы можем настроить этот сервер RADIUS расширенным способом, у нас будут разные вкладки для настройки различных разделов, а в меню «Просмотр конфигурации» мы можем увидеть необработанный файл конфигурации, который создается в результате конфигураций, которые мы сделали в остальных вкладках. Здесь мы также видим интеграцию с SQL и даже с LDAP.
NAS-серверы производителя QNAP также имеют встроенный RADIUS-сервер, гораздо более простой, чем у pfSense, где у нас есть все параметры конфигурации, но этот RADIUS-сервер на основе FreeRADIUS позволит нам выполнять типичные задачи, такие как аутентификация клиента через Wi-Fi. или по кабелю, все, что нам нужно сделать, это включить сервер RADIUS, зарегистрировать клиентов RADIUS (коммутаторы или точки доступа), а также пользователей RADIUS (конечные клиенты, которые будут подключаться).
RADIUS — Краткое руководство
Прежде чем начать изучать Radius, важно, чтобы вы поняли:
Итак, давайте сначала разберемся с этими двумя темами.
Что такое ААА?
AAA означает Аутентификацию, Авторизацию и Учет.
Аутентификация
Относится к подтверждению того, что пользователь, запрашивающий услугу, является действительным пользователем.
Выполняется путем представления личности и учетных данных.
Примеры учетных данных включают пароли, одноразовые токены, цифровые сертификаты и телефонные номера (звонящие / вызываемые).
Относится к подтверждению того, что пользователь, запрашивающий услугу, является действительным пользователем.
Выполняется путем представления личности и учетных данных.
Примеры учетных данных включают пароли, одноразовые токены, цифровые сертификаты и телефонные номера (звонящие / вызываемые).
авторизация
Относится к предоставлению пользователям определенных видов услуг (в том числе «без обслуживания») на основе их аутентификации.
Может основываться на ограничениях, например, ограничениях времени суток, ограничениях физического местоположения или ограничениях на несколько входов одного и того же пользователя.
Примеры услуг включают в себя фильтрацию IP-адресов, назначение адресов, назначение маршрутов, шифрование, QoS / дифференциальные услуги, управление полосой пропускания / управление трафиком и т. Д.
Относится к предоставлению пользователям определенных видов услуг (в том числе «без обслуживания») на основе их аутентификации.
Может основываться на ограничениях, например, ограничениях времени суток, ограничениях физического местоположения или ограничениях на несколько входов одного и того же пользователя.
Примеры услуг включают в себя фильтрацию IP-адресов, назначение адресов, назначение маршрутов, шифрование, QoS / дифференциальные услуги, управление полосой пропускания / управление трафиком и т. Д.
бухгалтерский учет
Относится к отслеживанию потребления сетевых ресурсов пользователями.
Типичная информация, которая собирается в бухгалтерском учете, включает в себя личность пользователя, характер предоставляемой услуги, когда служба началась и когда она закончилась.
Может использоваться для управления, планирования, выставления счетов и т. Д.
Относится к отслеживанию потребления сетевых ресурсов пользователями.
Типичная информация, которая собирается в бухгалтерском учете, включает в себя личность пользователя, характер предоставляемой услуги, когда служба началась и когда она закончилась.
Может использоваться для управления, планирования, выставления счетов и т. Д.
AAA-сервер предоставляет все вышеперечисленные услуги своим клиентам.
Протоколы ААА
Радиус — это протокол AAA для таких приложений, как доступ к сети или мобильность IP. Помимо Radius, у нас есть следующие протоколы в AAA:
Контроллер доступа к терминалу Система контроля доступа (TACACS)
TACACS — это протокол удаленной аутентификации, который используется для связи с сервером аутентификации, обычно используемым в сетях Unix. TACACS позволяет серверу удаленного доступа обмениваться данными с сервером аутентификации, чтобы определить, имеет ли пользователь доступ к сети.
TACACS +
TACACS + обеспечивает управление доступом для маршрутизаторов, серверов сетевого доступа и других сетевых вычислительных устройств через один или несколько централизованных серверов. Он использует TCP и предоставляет отдельные службы аутентификации, авторизации и учета. Он работает в порту 49.
ДИАМЕТР
Диаметр — плановая замена Радиуса.
Что такое сервер доступа к сети?
Сервер доступа к сети (NAS) — это элемент службы, который клиенты набирают для получения доступа к сети. NAS — это устройство, имеющее интерфейсы как к магистрали, так и к POTS или ISDN, и принимает вызовы от хостов, которые хотят получить доступ к магистрали через службы коммутируемого доступа. NAS находится в точке присутствия интернет-провайдера, чтобы обеспечить доступ в Интернет своим клиентам.
Сервер доступа к сети:
Единая точка доступа к удаленному ресурсу.
Сервер удаленного доступа, поскольку он обеспечивает удаленный доступ к сети.
Начальная точка входа в сеть.
Шлюз для защиты защищаемого ресурса.
Единая точка доступа к удаленному ресурсу.
Сервер удаленного доступа, поскольку он обеспечивает удаленный доступ к сети.
Начальная точка входа в сеть.
Шлюз для защиты защищаемого ресурса.
Примеры включают в себя:
Проверка доступа в Интернет с использованием идентификатора пользователя и пароля.
VoIP, FoIP и VMoIP требуют действительный номер телефона или IP-адрес.
Телефонная карта предоплаты использует номер карты предоплаты.
Проверка доступа в Интернет с использованием идентификатора пользователя и пароля.
VoIP, FoIP и VMoIP требуют действительный номер телефона или IP-адрес.
Телефонная карта предоплаты использует номер карты предоплаты.
На следующем рисунке показана базовая архитектура Radius.
RADIUS — Обзор
RADIUS — это протокол для передачи информации, связанной с аутентификацией, авторизацией и настройкой, между сервером доступа к сети, который хочет аутентифицировать свои ссылки, и общим сервером аутентификации.
RADIUS расшифровывается как удаленная аутентификация Dial In User Service.
RADIUS — это протокол AAA для таких приложений, как доступ к сети или мобильность IP
Он работает в обеих ситуациях, локальных и мобильных.
Он использует протокол аутентификации по паролю (PAP), протокол аутентификации при вызове (CHAP) или протоколы расширяемого протокола аутентификации (EAP) для аутентификации пользователей.
Это смотреть в текстовом файле, серверах LDAP, базе данных для аутентификации.
После проверки подлинности параметры сервиса передаются обратно в NAS.
Он уведомляет, когда сеанс начинается и заканчивается. Эти данные используются для выставления счетов или статистики.
SNMP используется для удаленного мониторинга.
Может использоваться как прокси.
RADIUS расшифровывается как удаленная аутентификация Dial In User Service.
RADIUS — это протокол AAA для таких приложений, как доступ к сети или мобильность IP
Он работает в обеих ситуациях, локальных и мобильных.
Он использует протокол аутентификации по паролю (PAP), протокол аутентификации при вызове (CHAP) или протоколы расширяемого протокола аутентификации (EAP) для аутентификации пользователей.
Это смотреть в текстовом файле, серверах LDAP, базе данных для аутентификации.
После проверки подлинности параметры сервиса передаются обратно в NAS.
Он уведомляет, когда сеанс начинается и заканчивается. Эти данные используются для выставления счетов или статистики.
SNMP используется для удаленного мониторинга.
Может использоваться как прокси.
Вот простая сетевая диаграмма радиуса:
RADIUS — Особенности
Вот список всех ключевых особенностей Radius:
Модель клиент / сервер
NAS работает как клиент для сервера Radius.
Сервер Radius отвечает за получение запросов на подключение пользователя, проверку подлинности пользователя, а затем возвращает всю информацию о конфигурации, необходимую клиенту для предоставления обслуживания пользователю.
Сервер Radius может выступать в качестве прокси-клиента для других серверов Radius.
NAS работает как клиент для сервера Radius.
Сервер Radius отвечает за получение запросов на подключение пользователя, проверку подлинности пользователя, а затем возвращает всю информацию о конфигурации, необходимую клиенту для предоставления обслуживания пользователю.
Сервер Radius может выступать в качестве прокси-клиента для других серверов Radius.