Zum Hauptinhalt springen

1. Introduction (Einführung)

1. Introduction (Einführung)

Dieses Dokument ersetzt RFC 2138 [1]. Eine Zusammenfassung der Änderungen zwischen diesem Dokument und RFC 2138 ist im Anhang "Change Log" verfügbar.

Die Verwaltung verteilter serieller Leitungen und Modem-Pools für eine große Anzahl von Benutzern kann den Bedarf an erheblicher administrativer Unterstützung schaffen. Da Modem-Pools per Definition eine Verbindung zur Außenwelt darstellen, erfordern sie sorgfältige Aufmerksamkeit hinsichtlich Sicherheit, Autorisierung und Abrechnung. Dies kann am besten durch die Verwaltung einer einzigen "Datenbank" von Benutzern erreicht werden, die sowohl die Authentifizierung (Überprüfung von Benutzername und Passwort) als auch Konfigurationsinformationen ermöglicht, die die Art des Dienstes angeben, der dem Benutzer bereitgestellt werden soll (z.B. SLIP, PPP, telnet, rlogin).

Hauptmerkmale von RADIUS sind:

Client/Server-Modell (Client/Server Model)

Ein Network Access Server (NAS, Netzwerkzugangsserver) fungiert als Client von RADIUS. Der Client ist dafür verantwortlich, Benutzerinformationen an designierte RADIUS-Server weiterzuleiten und dann auf die zurückgegebene Antwort zu reagieren.

RADIUS-Server sind dafür verantwortlich, Benutzerverbindungsanfragen zu empfangen, den Benutzer zu authentifizieren und dann alle Konfigurationsinformationen zurückzugeben, die für den Client notwendig sind, um dem Benutzer den Dienst bereitzustellen.

Ein RADIUS-Server kann als Proxy-Client zu anderen RADIUS-Servern oder anderen Arten von Authentifizierungsservern fungieren.

Netzwerksicherheit (Network Security)

Transaktionen zwischen dem Client und dem RADIUS-Server werden durch die Verwendung eines gemeinsamen Geheimnisses (shared secret) authentifiziert, das niemals über das Netzwerk gesendet wird. Zusätzlich werden alle Benutzerpasswörter zwischen dem Client und dem RADIUS-Server verschlüsselt übertragen, um die Möglichkeit auszuschließen, dass jemand, der ein unsicheres Netzwerk abhört, das Passwort eines Benutzers ermitteln kann.

Flexible Authentifizierungsmechanismen (Flexible Authentication Mechanisms)

Der RADIUS-Server kann eine Vielzahl von Methoden unterstützen, um einen Benutzer zu authentifizieren. Wenn ihm der Benutzername und das ursprüngliche Passwort des Benutzers zur Verfügung gestellt werden, kann er PPP PAP oder CHAP, UNIX-Login und andere Authentifizierungsmechanismen unterstützen.

Erweiterbares Protokoll (Extensible Protocol)

Alle Transaktionen bestehen aus Attribute-Length-Value-3-Tupeln variabler Länge. Neue Attributwerte können hinzugefügt werden, ohne bestehende Implementierungen des Protokolls zu stören.

Letztes Update am