ردیوس سرور چگونه کار می کند؟

پروتکل سرویس راه دور احراز هویت کاربر از طریق تماس (ردیوس)، به عنوان یک پروتکل محاسبه ای و احراز هویت دسترسی به سرور توسط شرکت لوینگستون توسعه یافته است. مشخصات ردیوس RFC 2865، RFC 2138  را منسوخ کرده است. همچنین استاندارد محاسباتی RFC 2866، RFC 2139 را منسوخ نموده است.
ارتباط میان سرور دسترسی شبکه (NAS) و سرور ردیوس، برپایه پروتکل دیتاگرام کاربر (UDP) می باشد. در مجموع، پروتکل ردیوس به عنوان یک سرویس بدون ایجاد ارتباط شناخته شده است. مسائل مرتبط با دسترسی سرور، انتقال دوباره و تایم اوت ها به جای پروتکل انتقال، توسط دستگاه های وابسته به ردیوس اجرا می شوند.
ردیوس یک پروتکل کلاینت/سرور است. کلاینت ردیوس معمولا NAS بوده و سرور ردیوس نیز برنامه دایمون که روی یک ماشین یونیکس یا ویندوز NT اجرا می شود می باشد. کلاینت، اطلاعات کاربر را به سرورهای تعیین شده ردیوس فرستاده و بر روی پاسخ های دریافتی اعمال لازم را انجام می دهد. سرورهای ردیوس، درخواست های ارتباطی از سوی کاربر را دریافت نموده، هویت او را بررسی می کند و سپس تنظیمات ضروری سرویس را برای کلاینت برمی گرداند. یک سرور ردیوس می تواند نقش کلاینت پراکسی برای دیگر سرورهای ردیوس یا سایر سرورهای احراز هویت را داشته باشد.
  • کاربر مرحله احراز هویت PPP را به NAS آغاز می کند
  • NAS نام کاربری و پسورد  را ایجاد می کند (اگر پروتکل احراز هویت پسوردی (PAP) باشد) و یا آن را مورد تردید قرار می دهد (اگر پروتکل احراز هویت از نوع فرمان هندشیک باشد)
  • کاربر پاسخ می دهد
  • کلاینت ردیوس نام کاربری و پسورد رمزگذاری شده را به سرور ردیوس می فرستد
  • سرور ردیوس یکی از پاسخ های پذیرش accept، رد reject یا چالش challenge را برمی گرداند.
  • کلاینت ردیوس روی سرویس ها اجرا شده و پارامترهای سرویس ها به صورت گروهی با پاسخ پذیرش یا رد، فرستاده می شوند.

احراز هویت و مجوز

سرور ردیوس می تواند با پشتیبانی از روش های گوناگون، احراز هویت کاربر را انجام دهد. زمانی که این کار به وسیله نام کاربری و پسورد  اصلی که توسط کاربر ایجاد شده انجام شود، می تواند از شیوه های احراز هویت PPP، PAP یا CHAP، ورود کاربر UNIX و دیگر روش ها پشتیبانی نماید. معمولا، تلاش ورود کاربر حاوی یک کوئری (درخواست دسترسی) از NAS به سرور ردیوس و یک پاسخ متناظر (پذیرش دسترسی یا رد دسترسی) از سرور می باشد. بسته (Packet) پذیرش دسترسی شامل: نام کاربری، پسورد  رمزگذاری شده، آی پی آدرس NAS و پورت می باشد. در آغاز، ردیوس بر روی پورت UDP شماره 1645 استفاده می شد که با سرویس دیتامتریکس تداخل داشت. به دلیل این تداخل، RFC 2865  رسما پورت شماره 1812 را به ردیوس اختصاص داد. اکثریت دستگاه های سیسکو و برنامه ها، مجموعه ای از شماره پورت های مختلف را پشتیبانی می کنند. همچنین قالب درخواست اطلاعاتی در مورد نوع جلسه (سشن) که کاربر می خواهد اجرا کند را ارائه میدهد. برای مثال، اگر کوئری در حالت کاراکتری باشد، نتیجه آن سرویس بر مبنای نوع کاربر مدیر “Service-Type = Exec-User,” خواهد بود، اما اگر درخواست در حالت بسته PPP اجرا شده باشد، نتیجه آن سرویس برمبنای کاربر از نوع PPP “Service Type = Framed User”  و “Framed Type = PPP” می باشد. زمانی که سرور ردیوس درخواست دسترسی را از NAS دریافت می کند، دیتابیس را برای یافتن نام های کاربری لیست شده جستجو می نماید. اگر نام کاربری در دیتابیس موجود نباشد، صفحه پیش فرض پروفایل به نمایش درآمده یا سرور ردیوس به سرعت پیغام رد دسترسی را ارسال می نماید. این پیغام رد دسترسی می تواند همراه با یک پیام متنی در مورد دلیل رد شدن باشد. در ردیوس، احراز هویت و بررسی مجوزها با هم مرتبط هستند. اگر نام کاربری یافت شده و پسورد  نیز درست باشد، سرور ردیوس یک پاسخ پذیرش دسترسی می فرستد که شامل لیستی از جفت های حاوی خصوصیت ها – مقادیر است و پارامترهای به کار رفته برای این جلسه (سشن) را تشریح می نماید. پارامترهای معمول شامل نوع سرویس (شل یا قالبی (framed))، نوع پروتکل، آدرس آی پی منتسب به کاربر (استاتیک یا پویا (داینامیک)) و لیست دسترسی برای افزودن یا مسیر استاتیک برای نصب در جدول مسیرهای NAS می باشند. اطلاعات تنظیمات در سرور ردیوس تعیین می نماید که چه چیزی بر روی NAS نصب خواهد شد. تصویر زیر توالی احراز هویت و مجوزهای ردیوس را نشان می دهد.

محاسبه میزان مصرف

ویژگی محاسباتی پروتکل ردیوس را می توان به صورت مستقل از احراز هویت یا مجوزهای ردیوس به کار برد. توابع محاسباتی ردیوس اجازه می دهند تا اطلاعات در آغاز و پایان جلسه ها (سشن ها) فرستاده شود، میزان منابع به کار رفته در جریان سشن (شامل زمان، بسته ها، بیت ها و سایر موارد) را نشان می دهند. ممکن است یک ارائه دهنده خدمات اینترنتی (ISP) برای موارد خاص امنیتی و صورتحسابها، از کنترل دسترسی ردیوس و نرم افزار محاسباتی استفاده نماید. پورت محاسباتی ردیوس برای بیشتر دستگاه های سیسکو 1646 است، اما می تواند 1813 نیز باشد (به دلیل تغییرات ذکر شده پورت ها در RFC 2139) احراز هویت تبادلات (transaction) میان کلاینت و سرور ردیوس از طریق به کارگیری یک رمز به اشتراک گذاشته شده، که هرگز بر روی شبکه ارسال نمی شود، انجام می شود. به علاوه، برای جلوگیری از دسترسی افراد در شبکه ای که امنیت کافی ندارد، پسورد کاربر میان کلاینت و سرور ردیوس به صورت رمزگذاری شده فرستاده می شود.
هات اسپات پلاس را در شبکه های اجتماعی دنبال کنید

تیم ما از شنیدن نظرات و پیشنهادات و پاسخ به سوالات شما خوشحال خواهد شد.