RADIUS - Remote Authentication Dial-In User Service

Eredetileg telefonos/modemes internet felhasznlk kiszolglsra ltrehozott protokoll Manapsg pldul WiFi hozzfrs kiszolglsra hasznlatos RFC2865 A NAS (Network Access Server) s a Radius szerver kzti kommunikcit rja le A NAS lehet pldul egy switch, egy wifi AP stb. authentication (hitelests), authorization (engedlyezs), and accounting (naplzs, szmlzs).

Az authentication, authorization s accounting hrmast csak AAA-nak szoks rvidteni. Tmogatott hitelestsi protokollok:

PAP CHAP MSCHAP (v1, v2) SIP Digest (Cisco VoIP) EAP, PEAP

A User Datagram Protocol (UDP) az internet egyik alapprotokollja. Feladata datagram alap szolgltats biztostsa, azaz rvid, gyors zenetek kldse. Jellemzen akkor hasznljk, amikor a gyorsasg fontosabb a megbzhatsgnl, mert az UDP nem garantlja a csomag megrkezst. Ilyen szolgltatsok pldul a DNS, a vals idej multimdia tvitelek, vagy a hlzati jtkok.

0 7 8 15 16 23 24 31 +--------+--------+--------+--------+ | Forrs | Cl | | Port | Port | +--------+--------+--------+--------+ | | | | Hossz | Ellenrz sszeg| +--------+--------+--------+--------+ | | Adat +---------------- Forrs port: A kld (forrs) alkalmazs portjnak szma 16 biten brzolva Cl port: A vev portjnak szma. Hossz: a csomag hosszt adja meg (fejlc + adatmez). (Az adatmez vltoz hosszsg lehet.) A csomag minimlis mrete 8 bjt, ekkor csak fejlcet tartalmaz. Ellenrz sszeg: A csomag tartalmnak srtetlensgt ellenrzi. Kiszmolsa nem ktelez, ekkor ezt a mezt 0-ra kell lltani.

A RADIUS-protokoll Kliens-szerver architektrj protokoll, ahol:

a kliens egy NAS (Network Access Server), a szerver pedig a RADIUS-szerver.

A RADIUS-protokoll UDP-t hasznl. A kliens s a szerver kztt egy-egy tranzakcival kapcsolatban mindkt irnyban csak egy-egy csomag megy t, gy flsleges lenne TCP-t hasznlni. A TCP ugyan megbzhatbb, de megnveln a protokoll vlaszidejt. A protokoll kt portot hasznl:

1812: auth (authentication, authorization) folyamatok; 1813: naplzs, szmlzs (accounting).

Radius csomagformtum
0 1 2 3 01234567890123456789012345678901 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Kd | Azonost | Hossz | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | | | Hitelest | | | | | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Attribtumok... +-+-+-+-+-+-+-+-+-+-+-+-+Kd: a csomag fajtja

1 Access-Request (hozzfrs krs) 2 Access-Accept (hozzfrs elfogads) 3 Access-Reject (hozzfrs elutasts) 4 Accounting-Request (naplzs krs) 5 Accounting-Response (naplzs vlasz) 11 Access-Challenge (hozzfrsi kihvs) 12 Status-Server 13 Status-Client 255 Reserved

Azonost: a krsek/vlaszok prostsra szolgl Hossz: a csomag hossza a fejrsszel egytt

Hitelest: 16 byte hossz szm

Vletlen szm A jelsz attribtum kdolsnl hasznlatos MD5(Secret + RequestAuth) xor (Password)

Az MD5 kdols brmilyen adatbl fggetlenl a mrettl, vagy a tpustl egy 32 karakter hossz hexadecimlis hasht eredmnyez.

Attribtumok

0 1 2 012345678901234567890 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| Type | Length | Value ... +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+o

Nhny attribtum: 1 User-Name 2 User-Password 3 CHAP-Password 4 NAS-IP-Address 5 NAS-Port 19 Callback-Number 20 Callback-Id 60 CHAP-Challenge