Алгоритмы аутентификации, авторизации и учета radius Базовая схема работы протокола

При использовании протокола RADIUS-клиентом (NAS-сервером) пользо­ватель должен передать ему свою аутентификационную информацию. Это может производиться посредством приглашения в систему (login promt) или при помощи встроенных механизмов передачи данной информации канальным протоколом (например, РРР). На участке «пользователь - NAS» используются различные технологии передачи необходимых данных, например, РАР [60], CHAP [69], и ЕАР [11].

Обобщенные схемы обмена сообщениями при входе пользователя в систе­му приведены на рис. 2.2 и рис. 2.3.

Рис. 2.2. Процесс обмена сообщениями по протоколу RADIUS, успешный исход

Рис. 2.3. Процесс обмена сообщениями по протоколу RADIUS, неуспешный исход

После получения аутентификационных данных NAS-сервер проводит аутен­тификацию с использованием протокола RADIUS. При этом NAS формирует пакет Access-Request.

Пакет Access-Request передается по сети серверу. Если через некоторое время ответ на него не приходит, то запрос передается повторно.

Защита паролей при передаче по сети обеспечивается благодаря шифро­ванию RSA MD5 с использованием разделяемого ключа (shared secret).

Для каждой пары клиент-сервер имеется свой разделяемый ключ. Он кон­фигурируется администратором и по сети никогда не передается. После получе­ния клиентского запроса RADIUS-сервер проверяет, имеется ли для этого клиента (NAS-сервера) разделяемый ключ. Если он не находит ключа, то пакеты отбрасы­ваются без уведомления. Если проверка завершается успешно, то сервер присту­пает к поиску профиля пользователя в базе данных.

Пользовательская запись (профиль) в базе данных содержит список требо­ваний, необходимых для работы данного клиента с определенным перечнем услуг. К таким требованиям может относиться проверка пароля, порта или идентифика­тора NAS-сервера, через который разрешен доступ к услугам для запросившего услугу пользователя.

RADIUS-сервер в некоторых ситуациях может выступать в качестве пос­редника и пересылать запросы другим серверам. Специфика работы по такой схеме будет раскрыта ниже. При невыполнении любого из условий, приведенных в запросе, NAS-серверу, передается сообщение Access-Reject, показывающее не­корректность запроса пользователя. В сообщение может включаться атрибут или вложенное сообщение, которое должно быть передано пользователю от NAS-сер­вера. При выполнении всех условий NAS-серверу передается сообщение Access- Accept, включая список необходимых конфигурационных параметров.

Схема Challenge/Response

Режим Challenge/Response необходим для проверки прав доступа или за­проса дополнительной информации у пользователя. В случае использования схе­мы Challenge/Response процедура аутентификации пользователя несколько ус­ложняется по сравнению с базовой и выглядит следующим образом. Сервер NAS передает RADIUS-серверу пакет Access-Request с заданными атрибутами, на что тот возвращает ответ - сообщение Access-Challenge. Обычно оно содержит поле Reply-Message, включающее запрос (challenge), который необходимо передать конечному пользователю; это поле заполняется случайным числом специального вида. Запрос обычно получают от внешнего сервера, которому известен иденти­фикатор, используемый пользователем, и который сможет генерировать случай­ное число с подходящим основанием и длиной.

У пользователя, в свою очередь, установлено приложение, которое позво­ляет по имеющемуся запросу вычислить ответ по определенному алгоритму. Этот ответ (вычисленное число) включается в повторный пакет Access-Request наряду с атрибутом State, взятым из запроса. Так делается для того, чтобы сервер смог правильно интерпретировать полученное сообщение. Если отклик совпадает с ожидаемым сервером, то в ответ посылается пакет Access-Accept, иначе переда­ется Access-Reject. В случае необходимости допускается также повторная посыл­ка сервером пакета Access-Challenge. Схематично процедура Challenge/Response изображена на рис. 2.4.

Рис. 2.4. Общая схема реализации режима Challenge/Response для протокола RADIUS