admin管理员组

文章数量:815885

AAA和RADIUS

RADIUS:Remote Authentication Dial In User Service,远程用户拨号认证系统由RFC2865,RFC2866定义,是目前应用最广泛的AAA协议。AAA是一种管理框架,因此,它可以用多种协议来实现。在实践中,人们最常使用远程访问拨号用户服务(Remote Authentication Dial In User Service,RADIUS)来实现AAA

一、AAA知识点,4点

u 1、 AAA=authentication、authorization、accounting(认证、授权、计费):①认证是确认远端访问用户的身份是否合法②授权是对不同用户赋予不同权限,限制用户可以使用的服务③计费是记录用户使用网络服务中的所有操作,包括使用的服务类型、起始时间、数据流量等,不仅是计费手段,也对网络安全起监视作用。

u 2、 AAA是C/S架构,一般radius或hwtacacs规定NAS与server如何传递用户信息。
3.3个A可以搭配使用。

二、radius概述

u 1、radius=remote authentication dial-in user service(远程认证拨号用户服务)

u 2、radius是分布式、C/S架构的信息交互协议

u 3、radius基于UDP,1812为认证端口、1813为计费端口

u 4、radius最早用于拨号接入,后来用于以太网接入、ADSL接入

三、radius服务器通常维护3个数据库

u 1、users:用户名、口令、协议、ip地址

u 2、clients:共享密钥、ip地址

u 3、dictionary:属性和属性值

四、radius客户端和服务器端交互机制,共3点

u 1、radius客户端和服务器之间认证消息的交互通过共享密钥保证安全,网络不传输共享密钥。用户密码在网络上加密传输。

u 2、radius服务器支持多种方法认证用户(如基于PPP的PAP\CHAP)

u 3、radius服务器可以为其它类型认证服务器提供代理

五、radius消息交互流程,共9步

u Step①用户发起连接请求,向RADIUS客户端发送用户名和密码。

u Step②RADIUS客户端根据获取的用户名和密码,向RADIUS服务器发送认证请求包(Access-Request),其中的密码在共享密钥的参与下由MD5算法进行加密

u Step③RADIUS服务器对用户名和密码进行认证。如果认证成功,RADIUS服务器向RADIUS客户端发送认证接受包(Access-Accept);如果认证失败,则返回认证拒绝包(Access-Reject)。由于RADIUS协议合并了认证和授权的过程,因此认证接受包中也包含了用户的授权信息。

u Step④RADIUS客户端根据接收到的认证结果接入/拒绝用户。如果允许用户接入,则RADIUS客户端向RADIUS服务器发送计费开始请求包(Accounting-Request)。

u Step⑤RADIUS服务器返回计费开始响应包(Accounting-Response),并开始计费

u Step⑥用户开始访问网络资源。

u Step⑦用户请求断开连接,RADIUS客户端向RADIUS服务器发送计费停止请求包(Accounting-Request)。

u Step⑧RADIUS服务器返回计费结束响应包(Accounting-Response),并停止计费

u Step⑨用户结束访问网络资源。

本文标签: AAA和RADIUS