Tìm hiểu giao thức xác thực radius và radius server giao thức radius
tải về 1.66 Mb.
|
Giao thức RADIUS 1Cơ chế hoạt độngKhi một client được cấu hình để sử dụng RADIUS, thì bất kỳ user nào của client đều giới thiệu những thông tin xác nhận quyền với client. Đó có thể là dấu nhắc lệnh đăng ký vào mạng yêu cầu user nhập username và password vào. User có thể lựa chọn việc sử dụng protocol thích hợp để thực hiện giới thiệu những thông tin này các gói dữ liệu chẳng hạn như PPP. Mỗi client nhận được thông tin như vậy, nó có thể chọn dùng RADIUS để xác nhận quyền. Client sẽ tạo ra một “yêu cầu truy cập” (access request) chứa các thuộc tính như trên: mật khẩu của user, ID của client và ID port mà user này sẽ truy cập vào. Mật khẩu khi nhập vào sẽ được ẩn (Mã hóa RSA hoặc MD5). “Yêu cầu truy cập” (access request) sẽ được gửi cho RADIUS thông qua mạng. Nếu không trả lời trong một khoảng thời gian qui ước thì yêu cầu sẽ được gửi lại. Client có thể chuyển (forward) yêu cầu cho các server dự phòng trong trường hợp server chính bị tắt hoặc hư hỏng hoặc hoạt động theo kiểu round-bin. Mỗi khi RADIUS server nhận được yêu cầu, nó sẽ xác nhận client gửi. Những yêu cầu từ các client nào không chia sẽ thông tin bảo mật với RADIUS sẽ không được xác nhận và trả lời. Nếu client là hợp lệ, RADIUS server sẽ tìm kiếm trong cơ sở dữ liệu (CSDL) user có cùng tên trong yêu cầu. Chỉ mục của user trong CSDL sẽ chứa danh sách các đòi hỏi cần thiết cho phép user truy cập vào mạng. RADIUS luôn luôn xác nhận mật khẩu của user và có thể cả ID của client và ID port mà user được phép truy cập. RADIUS server có thể yêu cầu các server khác xác nhận yêu cầu. Lúc đó RADIUS đóng vai trò của một client. Nếu bất cứ điều kiện nào không thỏa mãn, RADIUS server sẽ gửi một trả lời ‘từ chối truy cập” (access reject) biểu thị rằng yêu cầu của user là không hợp lệ. Server có thể kèm theo một thông báo dạng văn bản (text massage) trong access-reject để client có thể hiển thị cho user. Không có một thuộc tính nào khác được phép chứa trong access-reject. Nếu tất cả các điều kiện đều thỏa mãn và RADIUS server muốn đưa ra một yêu cầu đòi hỏi user phải trả lời, thì RADIUS sẽ gửi một trả lời “đòi hỏi truy cập” (access-challenge), nó có thể dưới dạng một thông báo dạng văn bản được hiển thị cho user bởi client hoặc là một thuộc tính trạng thái (state attribute). Client sẽ nhận access-challenge, và nếu nó được trang bị challenge/ response, nó sẽ hiển thị thông báo nhắc nhở user trả lời yêu cầu. Sau đó client sẽ gửi lại (re-submit) “yêu cầu truy cập” (original access-request) vơi một số hiệu yêu cầu (request ID) mới, nhưng thuộc tính usename-password được lấy từ thông tin vừa mới nập vào, và kèm luôn cả thuộc tính trạng thái từ access-challenge. RADIUS server có thể trả lời một access-request bằng một access-accept, access-reject hoặc một access-challenge khác. Nếu cuối cùng tất cả các điều kiện trên được thỏa mãn, thì danh sách các giá trị cấu hình cho user được đặt vào trả lời “access-accept”. Các giá trị này bao gồm kiểu của dịch vụ (SLIP, PPP, Login..) và các giá trị cần thiết để cấp phát dịch vụ này. Ví dụ như đối với SLIP hay PPP, các giá trị này có thể là địa chỉ IP, subnet mask, MTU, phương pháp nén và số hiệu lọc gói. ở chế độ ký tự (character mode), các giá trị này có thể là giao thức và tên máy chủ. tải về 1.66 Mb. Chia sẻ với bạn bè của bạn:
|