Aller au contenu principal

1. Introduction

1. Introduction

Ce document rend obsolète le RFC 2138 [1]. Un résumé des modifications entre ce document et le RFC 2138 est disponible dans l'annexe "Journal des modifications".

La gestion de pools de lignes série et de modems dispersés pour un grand nombre d'utilisateurs peut créer un besoin de support administratif important. Étant donné que les pools de modems sont par définition un lien vers le monde extérieur, ils nécessitent une attention particulière à la sécurité, à l'autorisation et à la comptabilité. Cela peut être mieux réalisé en gérant une seule "base de données" d'utilisateurs, qui permet l'authentification (vérification du nom d'utilisateur et du mot de passe) ainsi que des informations de configuration détaillant le type de service à fournir à l'utilisateur (par exemple, SLIP, PPP, telnet, rlogin).

Les principales caractéristiques de RADIUS sont:

Modèle Client/Serveur

Un Network Access Server (serveur d'accès réseau, NAS) fonctionne comme un client de RADIUS. Le client est responsable de transmettre les informations de l'utilisateur aux serveurs RADIUS désignés, puis d'agir en fonction de la réponse qui est retournée.

Les serveurs RADIUS sont responsables de recevoir les demandes de connexion des utilisateurs, d'authentifier l'utilisateur, puis de retourner toutes les informations de configuration nécessaires pour que le client puisse fournir le service à l'utilisateur.

Un serveur RADIUS peut agir comme un client proxy vers d'autres serveurs RADIUS ou d'autres types de serveurs d'authentification.

Sécurité réseau

Les transactions entre le client et le serveur RADIUS sont authentifiées par l'utilisation d'un secret partagé, qui n'est jamais envoyé sur le réseau. De plus, tous les mots de passe des utilisateurs sont envoyés chiffrés entre le client et le serveur RADIUS, afin d'éliminer la possibilité que quelqu'un écoutant sur un réseau non sécurisé puisse déterminer le mot de passe d'un utilisateur.

Mécanismes d'authentification flexibles

Le serveur RADIUS peut prendre en charge une variété de méthodes pour authentifier un utilisateur. Lorsqu'il reçoit le nom d'utilisateur et le mot de passe original donné par l'utilisateur, il peut prendre en charge PPP PAP ou CHAP, la connexion UNIX et d'autres mécanismes d'authentification.

Protocole extensible

Toutes les transactions sont composées de triplets Attribut-Longueur-Valeur de longueur variable. De nouvelles valeurs d'attributs peuvent être ajoutées sans perturber les implémentations existantes du protocole.

Dernière mise à jour le