نمایش نسخه قابل چاپ
ارسال این موضوع به دوستان
مشاهده آخرین ارسال این تاپیک
اعطای حداکثر رتبه به این موضوع
اشتراک در موضوع
![[-]](https://forums.irserv.ir/images/collapse.png "[-]")
سرویس دهندگان سرویس اینترنت ( ISPs ) و سایرشركت های بزرگ همواره با این چالش جدی مواجه هستند كه چگونه انواع دستیابی به شبكه و accounting را از یك نقطه صرفنظر از نوع تجهیزات استفاده شده برای دستیابی به شبكه ، مدیریت نمایند .
بااین كه برخی سیستم های عامل دارای امكانات خاصی در این رابطه می باشند ، در اغلب شركت های بزرگ می بایست از یك زیرساخت اختصاصی برای تائید و مدیریت دستیابی به شبكه استفاده گردد .
پروتكل RADIUS( برگرفته شده از Remote Authentication Dial-In User Service ) ، استانداردی برای طراحی و پیاده سازی ، سرویس دهندگانی است كه مسئولیت تائید و مدیریت كاربران را برعهده خواهند گرفت.مشخصات و نحوه عملكرد پروتكل RADIUS در RFC 2865 و RFC 2866 تعریف شده است .
پروتكل RADIUS از یك معماری سرویس گیرنده - سرویس دهنده برای تائید و accounting استفاده می نماید . پروتكل فوق اطلاعات accounting ، پیكربندی ، تائید و مجوزها را بین یك سرویس گیرنده RADIUS و یك سرویس دهنده RADIUS حمل می نماید . سرویس گیرنده RADIUS می تواند یك سرویس دهنده دستیابی شبكه ( NAS ، برگرفته شده از network access server ) و یا هر نوع دستگاه مشابه دیگری باشد كه نیازمند تائید و accounting است .
همانگونه كه اشاره گردید: NAS به عنوان یك سرویس گیرنده RADIUS عمل می نماید . سرویس گیرنده مسئول ارسال اطلاعات كاربر برای سرویس دهنده RADIUS است تا بر اساس نتایج برگردانده شده توسط سرویس دهنده ، در خصوص كاربر تعیین تكلیف گردد . سرویس دهندگان RADIUSمسئول دریافت درخواست ارتباط كاربر ، تائید وی و ارسال اطلاعات پیكربندی مورد نیاز برای سرویس گیرنده به منظور عرضه سرویس به كاربر می باشند . یك سرویس دهنده RADIUS می تواند به عنوان یك سرویس گیرنده پراكسی به سایر سرویس دهندگان RADIUS و یا سایر سرویس دهندگان تائید نیز عمل نماید .
سرویس گیرندگان RADIUS از طریق پورت های 1812 و 1813 پروتكل حمل UDP ( برگرفته شده از User Datagram Protocol ) با یك سرویس دهنده RADIUS ارتباط برقرار می نمایند . در نسخه های اولیه پروتكل RADIUS از پورت های 1646 و 1645 پروتكل UDP استفاده می گردید . پروتكل RADIUS از پروتكل حمل TCP ( برگرفته شده از Transmission Control Protocol ) حمایت نمی نماید .
بااین كه برخی سیستم های عامل دارای امكانات خاصی در این رابطه می باشند ، در اغلب شركت های بزرگ می بایست از یك زیرساخت اختصاصی برای تائید و مدیریت دستیابی به شبكه استفاده گردد .
پروتكل RADIUS( برگرفته شده از Remote Authentication Dial-In User Service ) ، استانداردی برای طراحی و پیاده سازی ، سرویس دهندگانی است كه مسئولیت تائید و مدیریت كاربران را برعهده خواهند گرفت.مشخصات و نحوه عملكرد پروتكل RADIUS در RFC 2865 و RFC 2866 تعریف شده است .
پروتكل RADIUS از یك معماری سرویس گیرنده - سرویس دهنده برای تائید و accounting استفاده می نماید . پروتكل فوق اطلاعات accounting ، پیكربندی ، تائید و مجوزها را بین یك سرویس گیرنده RADIUS و یك سرویس دهنده RADIUS حمل می نماید . سرویس گیرنده RADIUS می تواند یك سرویس دهنده دستیابی شبكه ( NAS ، برگرفته شده از network access server ) و یا هر نوع دستگاه مشابه دیگری باشد كه نیازمند تائید و accounting است .
همانگونه كه اشاره گردید: NAS به عنوان یك سرویس گیرنده RADIUS عمل می نماید . سرویس گیرنده مسئول ارسال اطلاعات كاربر برای سرویس دهنده RADIUS است تا بر اساس نتایج برگردانده شده توسط سرویس دهنده ، در خصوص كاربر تعیین تكلیف گردد . سرویس دهندگان RADIUSمسئول دریافت درخواست ارتباط كاربر ، تائید وی و ارسال اطلاعات پیكربندی مورد نیاز برای سرویس گیرنده به منظور عرضه سرویس به كاربر می باشند . یك سرویس دهنده RADIUS می تواند به عنوان یك سرویس گیرنده پراكسی به سایر سرویس دهندگان RADIUS و یا سایر سرویس دهندگان تائید نیز عمل نماید .
سرویس گیرندگان RADIUS از طریق پورت های 1812 و 1813 پروتكل حمل UDP ( برگرفته شده از User Datagram Protocol ) با یك سرویس دهنده RADIUS ارتباط برقرار می نمایند . در نسخه های اولیه پروتكل RADIUS از پورت های 1646 و 1645 پروتكل UDP استفاده می گردید . پروتكل RADIUS از پروتكل حمل TCP ( برگرفته شده از Transmission Control Protocol ) حمایت نمی نماید .
RADIUS و سرویس دهنده IAS
با استفاده از پروتكل RADIUS می توان دستگاهی نظیر یك NAS را بگونه ای پیكربندی نمود تا یك كاربر را برای استفاده از یك سرویس خاص تائید نماید . به عنوان نمونه ، یك ISP می بایست كاربر یك پورت شبكه dial-in را تائید نماید تا این اطمینان ایجاد گردد كه وی مجاز به استفاده از پورت مورد نظر می باشد . در چنین مواردی لازم است كه NAS اطلاعات مورد نیاز برای این ارتباط را دریافت نماید . اطلاعات فوق توسط یك سرویس دهنده RADIUS در اختیار وی گذاشته می شود . پس از ایجاد ارتباط ، دستگاه NAS ممكن است در صورت نیاز اطلاعات accounting را به منظور اهداف مالی و شارژ كاربر تامین و ارائه نماید .
شكل 1 نحوه تعامل بین یك سرویس گیرنده RADIUS ( نظیر یك دستگاه NAS ) و یك سرویس دهنده RADIUS ( نظیر Internet Authentication Service ) را نشان می دهد .
با استفاده از پروتكل RADIUS می توان دستگاهی نظیر یك NAS را بگونه ای پیكربندی نمود تا یك كاربر را برای استفاده از یك سرویس خاص تائید نماید . به عنوان نمونه ، یك ISP می بایست كاربر یك پورت شبكه dial-in را تائید نماید تا این اطمینان ایجاد گردد كه وی مجاز به استفاده از پورت مورد نظر می باشد . در چنین مواردی لازم است كه NAS اطلاعات مورد نیاز برای این ارتباط را دریافت نماید . اطلاعات فوق توسط یك سرویس دهنده RADIUS در اختیار وی گذاشته می شود . پس از ایجاد ارتباط ، دستگاه NAS ممكن است در صورت نیاز اطلاعات accounting را به منظور اهداف مالی و شارژ كاربر تامین و ارائه نماید .
شكل 1 نحوه تعامل بین یك سرویس گیرنده RADIUS ( نظیر یك دستگاه NAS ) و یك سرویس دهنده RADIUS ( نظیر Internet Authentication Service ) را نشان می دهد .
![[عکس: RadiusServer1.jpg]](http://srco.ir/Articles/images/RadiusServer1.jpg)
شكل 1 : نحوه ارتباط بین یك سرویس دهنده و سرویس گیرنده RADIUS
به منظور حمایت از معماری های پیچیده تر شبكه ، می توان از یك RADIUS Proxy استفاده نمود كه اطلاعات RADIUS را از یك سرویس گیرنده RADIUS دریافت و آن را برای یك سرویس دهنده RADIUS رله می نماید . پاسخ سرویس دهنده RADIUS از طریق RADIUS proxy ارسال می گردد .در چنین مواردی اطلاعات مربوط به تائید و مجوزها می تواند با استفاده از یك RADIUS proxy ارسال گردد .
شكل 2 نحوه عملكرد RADIUS proxy را نشان می دهد .
شكل 2 نحوه عملكرد RADIUS proxy را نشان می دهد .
![[عکس: RadiusServer2.jpg]](http://srco.ir/Articles/images/RadiusServer2.jpg)
شكل 2 : نحوه عملكرد RADIUS proxy
در ویندوز 2003 ( نسخه های سرویس دهنده ) ، IAS ( برگرفته شده از Internet Authentication Service ) مطابق استاندارد تعریف شده در RFC 2865 و RFC 2866 به عنوان یك سرویس دهنده RADIUS و پراكسی پیاده سازی شده است . در نسخه های سرویس دهنده ویندوز 2000 ، شركت مایكروسافت صرفا" ویژگی سرویس دهنده RADIUS را پیاده سازی كرده بود . علاوه بر این ، در نسخه های سرویس دهنده ویندوز 2003 كه بر روی آنها سرویس RRAS ( برگرفته شده از Routing and Remote Access service) اجراء شده است را می توان به عنوان یك سرویس گیرنده RADIUS پیكربندی كرد . بدین ترتیب امكان تائید سرویس گیرندگان dial-in و یا VPN ( برگرفته شده از Virtual Private Networks ) از طریق یك سرویس دهنده RADIUS فراهم می گردد .
عناصر سرویس دهنده RADIUS در IAS قادر به تائید درخواست های سرویس گیرندگان RADIUS از طریق یك بانك اطلاعاتی محلی و یا اكتیو دایركتوری می باشند . IAS جزئیات اطلاعات accounting ارائه شده توسط سرویس گیرنده RADIUS را در یك فایل متن و یا یك بانك اطلاعاتی رابطه ای ذخیره می نماید . ویژگی RADIUS proxy تعبیه شده در IAS قادر به ارسال پیام های تائید و accounting برای سایر سرویس دهندگان RADIUS می باشد .
پیكربندی IAS را می توان بگونه ای انجام داد كه وی قادر به انجام فرآیند تائید و عملیات مربوط به accounting باشد . همچنین می توان سرویس گیرندگان RADIUS و یا RADIUS Proxy را به منظور استفاده از سرویس دهندگان اضافی پیكربندی نمود .
IAS امكان دستیابی به اطلاعات accounting كاربران ، نگهداری شده بر روی سرویس دهنده IAS و یا یك كنترل كننده domain را دارد ( در صورتی كه سرویس دهنده IAS عضوی از یك domain باشد ).
تراكنش های دستیابی و accountingبین سرویس گیرنده و سرویس دهنده با استفاده از یك رمز محرمانه به اشتراك گذاشته شده صورت می پذیرد . رمز فوق هرگز بر روی شبكه ارسال نخواهد شد و از آن به همراه فیلد تائید كننده و به منظور ارائه یك سطح امنیتی مناسب بر روی پیام های RADIUS استفاده می گردد . در صورت نیاز به یك سطح بالاتر امنیتی ، سرویس دهنده و سرویس گیرنده RADIUS می توانند از IPSec برای رمزنگاری پیام های RADIUS استفاده نمایند ( این موضوع خارج از حوزه پروتكل RADIUS می باشد ) .
عناصر سرویس دهنده RADIUS در IAS قادر به تائید درخواست های سرویس گیرندگان RADIUS از طریق یك بانك اطلاعاتی محلی و یا اكتیو دایركتوری می باشند . IAS جزئیات اطلاعات accounting ارائه شده توسط سرویس گیرنده RADIUS را در یك فایل متن و یا یك بانك اطلاعاتی رابطه ای ذخیره می نماید . ویژگی RADIUS proxy تعبیه شده در IAS قادر به ارسال پیام های تائید و accounting برای سایر سرویس دهندگان RADIUS می باشد .
پیكربندی IAS را می توان بگونه ای انجام داد كه وی قادر به انجام فرآیند تائید و عملیات مربوط به accounting باشد . همچنین می توان سرویس گیرندگان RADIUS و یا RADIUS Proxy را به منظور استفاده از سرویس دهندگان اضافی پیكربندی نمود .
IAS امكان دستیابی به اطلاعات accounting كاربران ، نگهداری شده بر روی سرویس دهنده IAS و یا یك كنترل كننده domain را دارد ( در صورتی كه سرویس دهنده IAS عضوی از یك domain باشد ).
تراكنش های دستیابی و accountingبین سرویس گیرنده و سرویس دهنده با استفاده از یك رمز محرمانه به اشتراك گذاشته شده صورت می پذیرد . رمز فوق هرگز بر روی شبكه ارسال نخواهد شد و از آن به همراه فیلد تائید كننده و به منظور ارائه یك سطح امنیتی مناسب بر روی پیام های RADIUS استفاده می گردد . در صورت نیاز به یك سطح بالاتر امنیتی ، سرویس دهنده و سرویس گیرنده RADIUS می توانند از IPSec برای رمزنگاری پیام های RADIUS استفاده نمایند ( این موضوع خارج از حوزه پروتكل RADIUS می باشد ) .
منبع : سایت سخاروش
