✨RADIUS

Remote Authentication Dial-In User Service (RADIUS) là một giao thức mạng, hoạt động trên cổng mặc định là UDP 1812 cung cấp quản lý xác thực tập trung (Authentication), phân quyền (Authorization) và tính cước (Accounting) (AAA) cho người dùng kết nối và sử dụng dịch vụ mạng. RADIUS được Livingston Enterprises, Inc. phát triển vào năm 1991 dưới dạng giao thức tính cước và xác thực truy cập, sau đó được đưa vào các tiêu chuẩn của Internet Engineering Task Force (IETF).

RADIUS rất phổ biến, được sử dụng rộng rãi, nó thường được các nhà cung cấp dịch vụ Internet (ISP) và doanh nghiệp sử dụng để quản lý truy cập Internet hoặc mạng nội bộ, mạng không dây và dịch vụ email tích hợp. Các mạng này có thể kết hợp modem, đường dây thuê bao kỹ thuật số (DSL), điểm truy cập, mạng riêng ảo (VPN), cổng mạng, máy chủ web, v.v.

RADIUS là giao thức máy khách / máy chủ chạy trên lớp ứng dụng (Application Layer) và có thể sử dụng TCP hoặc UDP làm phương thức vận chuyển. RADIUS thường là lựa chọn đầu cuối cho xác thực 802.1X.

RADIUS thường chạy như một dịch vụ trên máy chủ UNIX hoặc Microsoft Windows.

Các thành phần của RADIUS

RADIUS là một giao thức AAA (authentication - xác thực, authorization - ủy quyền, accounting - tính cước) để quản lý truy cập mạng. Xác thực và ủy quyền được định nghĩa trong RFC 2865, tính cước được định nghĩa trong RFC 2866.

Xác thực và ủy quyền

Người dùng hoặc máy tính gửi thông tin đăng nhập để truy cập vào tài nguyên mạng đến Máy chủ truy cập mạng (NAS - Network Access Server). Thông tin đăng nhập được chuyển đến thiết bị NAS thông qua giao thức link-layer, ví dụ, Giao thức điểm-điểm (PPP) trong trường hợp nhiều nhà cung cấp dịch vụ quay số hoặc DSL hoặc đăng trong form web bảo mật HTTPS.

Sau đó, NAS gửi thông báo Yêu cầu truy cập (RADIUS Access Request message) đến máy chủ RADIUS, yêu cầu ủy quyền cấp quyền truy cập thông qua giao thức RADIUS.

Định kỳ, các bản ghi Cập nhật tạm thời (gói Yêu cầu tính cước RADIUS có chứa thuộc tính Loại trạng thái Acct với giá trị "cập nhật tạm thời" (interim-update)) có thể được gửi bởi NAS đến máy chủ RADIUS, để cập nhật trạng thái của phiên hoạt động. Các bản ghi "tạm thời" thường cung cấp thời lượng phiên và thông tin về việc sử dụng dữ liệu hiện tại.

Cuối cùng, khi chấm dứt quyền truy cập mạng của người dùng, NAS sẽ phát hành bản ghi dừng tính cước cuối cùng (gói Yêu cầu tính cước RADIUS có chứa thuộc tính Loại trạng thái Acct với giá trị "dừng" (Stop)) cho máy chủ RADIUS, cung cấp thông tin cuối cùng về thời gian, tổng số gói tin được truyền, tổng dữ liệu được truyền, lý do ngắt kết nối và các thông tin khác liên quan đến truy cập mạng của người dùng.

Thông thường, NAS gửi các gói Yêu cầu tính cước cho đến khi nhận được xác nhận Phản hồi tính cước, NAS có thể gửi lại yêu cầu khi không nhận được phản hồi từ máy chủ RADIUS (chẳng hạn do lỗi kết nối)

Mục đích chính của dữ liệu này là người dùng có thể được lập hóa đơn tương ứng; dữ liệu cũng thường được sử dụng cho mục đích thống kê và giám sát mạng chung.

Chuyển vùng (Roaming)

nhỏ|350x350px| Chuyển vùng bằng máy chủ RADIUS AAA proxy. RADIUS thường được sử dụng để thực hiện việc chuyển vùng giữa các ISP, ví dụ:

• Bởi các công ty cung cấp dữ liệu thông tin toàn cầu duy nhất có thể sử dụng được trên nhiều mạng công cộng;
• Các tổ chức cấp thông tin xác thực của họ cho người dùng độc lập và chia sẻ dữ liệu lẫn nhau, cho phép khách hàng của nhà cung cấp này truy cập được dịch vụ của nhà cung cấp khác.

Một số giải pháp máy chủ RADIUS phổ biến

Microsoft Windows Server 2003: Internet Authentication Service (IAS). Microsoft Windows Server 2008, 2008 R2, 2012, 2016, 2019: Network Policy Server (NPS), *FreeRADIUS