RADIUS là một giao thức (protocol) mạng mà RADIUS server và RADIUS client sử dụng để giao tiếp với nhau. RADIUS server đảm nhiệm viêc quản lý  Authentication, Authorization, và Accounting (AAA) cho các user khi có yêu cầu sử dụng dịch vụ mạng. RADIUS client đơn thuần chỉ là cầu nối truyền tải thông tin giữa User tới RADIUS server. Tôi xin nhấn mạnh rằng RADIUS là một giao thức hơn là một CSDL và RADIUS client không có khả năng chứng thực  (vấn đề này đã tranh luận và chưa có kết quả trong lần present trước).

RADIUS Client và RADIUS Server giao tiếp với nhau bằng các RADIUS Packet. RADIUS packets mang thong điệp giữa RADIUS Client và RADIUS server trong các loạt giao dịch request/response: client send request và mong muốn nhận được response từ server. Nếu không nhận được response, client tiếp tục gửi request theo định kỳ.

Mỗi RADIUS packet hỗ trợ một mục đích khác nhau: authentication hay accounting. Một packet có thể chứa các giá trị gọi là attributes. Các attribute được tìm thấy trong mỗi packet khác nhau dựa vào loại packet (authentication hay accounting) và thiết bị gửi packet. Hình dưới mô tả quá trình RADIUS Authentication.

Figure 6: RADIUS Authentication

1. RADIUS access client gửi một authentication request chứa thong tin nhận dạng (id) và thong tin kết nôi (connection) tới Network Access Device (RADIUS client).
2. Khi NAD nhận một yêu cầu kết nối từ phía user, nó đơn thuần thực hiện quá trình đàm phán với user để thiết lập thông tin kết nối (Username, password, NAD port,…). Sau khi có những thông tin này, NAD gửi một authentication request tới RADIUS server mà chứa thông tin user.
3. RADIUS server sẽ tìm kiếm thông tin user trong local or remote RADIUS authentication database. RADIUS xác nhận username, password có hợp lệ hay không.
4. Nếu hợp lệ, RADIUS server trả về cho NAD thông điệp Access-Accept, cũng như danh sách thông tin được lưu trong database, như các tham số quyền (authorization) và kết nối (connection).

Nếu không hợp lệ, RADIUS server trả về thông điệp Access-Reject.

     5.  Dựa trên thông tin nhận được từ RADIUS server, NAD sẽ accept hoặc reject connection request từ user.

Sauk hi user được chứng thực và kết nối được thiết lập, NAD có thể forward dữ liệu accouting tới RADIUS server để logging.

Một số điểm cần lưu ý:

RADIUS client không hề lưu thông tin username, password vì vậy nó không thể chứng thực cho user. RADIUS client đơn thuần chỉ thu thập thông tin từ phía user rồi forward thông tin đó cho RADIUS server để chứng thực, nhưng RADIUS client có quyền accept hay reject connection dựa vào thông tin phản hồi từ phía RADIUS server.

Một lưu ý nữa là IANA qui định RADIUS client và RADIUS server communicate với nhau qua cổng UDP 1645 và 1646 tương ứng với các packet authentication và accounting. Về sau này 2 cổng này được đổi bằng cổng 1812, 1813 tương ứng.  Nhưng 2 cổng 1645 và 1646  vẫn được sử dụng 1 cách không chính thức trên các thiết bị Cisco, Juniper ,  nhưng Microsft sử dụng cổng 1812 và 1813 để communicate.

Bài viết có tham khảo tài liệu trên Wiki, Microsoft, Juniper...

ThaoLV is a member of CMGroupvn.

 P/S: any comment!!!!