РАДИУС (АЛСЫН ЗАЙНААС ХЭРЭГЛЭГЧИЙН НЭВТРЭХ ЭРХИЙГ ШАЛГАХ ҮЙЛЧИЛГЭЭ) - RADIUS (REMOTE AUTHENTICATION DIAL IN USER SERVICE)
ТҮҮХ
1991 онд ашгийн бус интернэтийн үйлчилгээ үзүүлдэг Мерит сүлжээ (Merit Network) гэх байгууллагад тэдний сүлжээгээр дамжиж буй төрөл бүрийн Points-Of-Presence (POPs)1-ууд руу холбогдож (dial in) байгаа төхөөрөмжүүдийг маш үр дүнтэйгээр удирдан зохион байгуулах хэрэгцээ шаардлага тулгарчээ. Энэ шаардлагыг хангахын тулд Ливингстон гэх байгууллага РАДИУС-г хөгжүүлж бий болгосон байна. РАДИУС-ын хөгжлийн эхний шатуудад өргөн тархсан сүлжээ рүү хандахад түүний хандалтыг тэд бие даасан өөр өөр байгууллагуудаар удирдан зохион байгуулдаг байжээ. Эдгээр өргөн цар хүрээтэй тархсан сүлжээний төвийг хариуцсан админууд сүлжээгээ өргөтгөн зохин багйуулах мөн аюулгүй байдалтай холбоотой асуудлуудаас сэргийлэхийг хүссэн бөгөөд хэрэглэгчийн нэр, нууц үгийг тараахгүйгээр төв сервер (Central server) лүү алсын зайн хандалтын сервер (Remote Access Server) - нь баталгаажуулалтын асуудлаар холбогдох бөгөөд үүнийх нь хариуд Төв сервер (Central server) нь "Амжилттай (Success)" эсвэл "Амжилтгүй (Failure)" гэсэн мессежүүдээс харгалзахыг нь илгээх юм. Улмаар Алсын зайн хандалтыг хариуцах машин (Remote access server) нь тухайн ирсэн хариуны дагуу төгсгөлийн хэрэглэгчдэд тохирох хариуг нь өгдөг шийдэл бий болжээ.Ер нь товчхондоо, РАДИУС-н зориго нь өөр өөр байрлалд байгаа олон хэрэглэгчдийн сүлжээнд нэвтрэх хүсэлтийг нэгдсэн нэг цэгээс баталгаажуулах, удирдах удирдлагыг бий болгох байсан юм. РАДИУС системийг хэрэглэхэд хялбархан, үр ашигтай, ашиглахад таатай байдаг учраас энэхүү системийг сүлжээний төхөөрөмж үйлдвэрлэдэг компаниуд өөрсдийн төхөөрөмжтэйгээ зохицуулан хэрэглэх боломжийг хангасан бөгөөд өнөөгийн хэмжээнд хүртлээ маш өргөн цар хүрээнд тархжээ. РАДИУС нь Internet Engineering Task Force IETF стандарт болон хөгжөөд байна.
РАДИУС гэж чухам юу вэ? Үүнийг ашиглан юу хийх боломжтой вэ?
Remote Authentication Dial-In User Service (RADIUS) буюу алсын зайнаас нэвтрэх үйлдлийг баталгаажуулах хэрэглэгчийн үйлчилгээ гэдэг нь сүлжээний протокол юм. Энэхүү протокол нь аливаа сүлжээ рүү нэвтэрч тухайн сүлжээг хэрэглэх гэж буй хэрэглэгчдэд зориулсан НЭГДСЭН УДИРДЛАГА буюу Хандах хүсэлтийг баталгаажуулах (authentication), Тухайн хэрэглэгчдэд зохих эрхийг нь олгох, итгэмжлэх (Authorization) мөн тухайн хэрэглэгчийг бүртгэх (Accounting) (үүнийг ААА эсвэл triple A гэж товчилж бичдэг)үйлдлийг нэгдсэн байдлаар бүх хэрэглэгчдэд хангаж байдаг. Маш өргөн хүрээнд дэмжигддэг учраас мөн РАДИУС протокол нь хаана ч хэрэглэгдэх боломжтой учраас үүнийг маш олон ISP компаниуд мөн байгууллагууд өөрсдийн интернэтийн сүлжээ, дотоод сүлжээ, утасгүй сүлжээ гэх мэт сүлжээ рүү хандах хандалтыг нь удирдан зохион байгуулахдаа ашиглаж байна. Эдгээр сүлжээнүүдэд Модем, DSL, Аксесс пойнт - Access points, VPN, веб серверүүд гээд олон төхөөрөмжүүдийг хамарсан байж болдог. РАДИУС нь сүлжээний аппликэшн түвшинд ажилладаг клиент/сервер бүтэцтэй протокол бөгөөд сүлжээний дамжуулалт хийхдээ ТСР эсвэл UDP аль ч протоколыг ашиглан ажиллах боломжтой юм. Сүлжээний хандалтын сервер (Network access server) буюу сүлжээ рүү хандах хандалтыг удирдаж буй гарц (gateway) нь РАДИУС клиентийн бүрэлдэхүүн хэсгүүдийг өөртөө агуулдаг. Харин энэхүү клиентийн бүрэлдэхүүн хэсгүүд нь РАДИУС сервертэй харилцдаг. РАДИУС-г 802.1Х сүлжээний баталгаажуулалтыг хийхэд сервер талын (back-end) шийдлээр мөн ашигладаг. РАДИУС сервер нь ЮНИКС (UNIX) эсвэл Майкрософт Виндовс Сервер (Microsoft Windows Server) дээр үндсэн процесс байдлаар ажилладаг процесс юм.
Протоколын бүрэлдэхүүн хэсгүүд
РАДИУС нь ААА протокол бөгөөд энэ нь сүлжээ рүү хандах хандалтыг "AAA transaction" гэгдэх 2 алхамтай процессыг ашиглан удирдан зохион байгуулдаг. "ААА" гэдэг нь authentication, authorization and accounting буюу баталгаажуулалт, итгэмжлэх-эрх олгох, бүртгэх гэсэн 3 үгний товчлол юм. Баталгаажуулалт (authentication) болон итгэмжилж эрх олгох (authorization) үйлдлүүд нь хэрхэн хийгддэг нь RFC 2865 стандартад тодорхойлогдсон байдаг. Харин Бүртгэл (accounting) хэсэг нь RFC 2866 -д тодорхойлогдсон байдаг.
Баталгаажуулалт болон итгэмжлэх, эрх олгох (Authentication and authorization)
Тодорхой нэг сүлжээ рүү хандахын тулд тухайн сүлжээнд хандахыг хүсч буй хэрэглэгч эсвэл түүний машин нь Сүлжээний Хандалтын Сервер (Network Access Server - NAS) лүү өөрийн хандалтын мэдээллийг (credentials - нэр, нууц үг гэх мэт) зүйлсээ ашиглан хүсэлтийг илгээдэг. Эдгээр хандалтын мэдээллүүд (credentials) нь NAS руу Линк түвшний протоколоор дамжигддаг. Жишээлбэл Point-to-Point Protocol (PPP) нь ихэнх dialup эсвэл DSL холболтод ашиглагдах ба HTTPs secure вебийн форм ашиглагддаг.
Үүний дараа NAS РАДИУС протоколыг ашиглан РАДИУС хандах хүсэлт (Access Request) гэсэн мессежийг РАДИУС сервер лүү илгээдэг. Энэ хүсэлт нь хэрэглэгчид хандах эрхийг олгох баталгаажуулах хүсэж буй хүсэлт юм. Энэхүү хүсэлт нь хандалт зөвшөөрөх эсэхийг шалгахад хэрэглэгдэх хэрэглэгчийн мэдээллүүд болох хэрэглэгчийн нэр, нууц үг эсвэл аюулгүй байдлын сертификат зэргийг нь өөртөө агуулсан байдаг. Түүнээс гадна, энэхүү хүсэлт нь хэрэглэгчийн талаарх NAS-ын мэдэж буй нэмэлт мэдээллүүд болох түүний сүлжээний хаяг эсвэл утасны дугаар, NAS руу холбогдож байгаа хэрэглэгчийн физикалд холболтын цэг гэх мэт зүйлсийг өөртөө агуулсан байж болдог.
РАДИУС сервер нь тухайн хүсэлтээр ирсэн мэдээллийг зөв эсэхийг нь баталгаажуулалтын РАР, CHAP эсвэл ЕАР гэх мэт схесүүдийг ашиглан шалгадаг. Тухайн хэрэглэгчийн өгсөн мэдээлэл үнэн зөв байгаад баталгаажсан бол үүнийг дагаад хүсэлттэй хамааралтай бусад мэдээллүүд болох хэрэглэгчийн сүлжээний хаяг, утасны дугаар, бүртгэлийн хаягийн статус, сүлжээг хэрэглэх тусгай эрхүүд (privilege or permission) зэргийг баталгаажуулдаг. Өмнө нь РАДИУС сервер нь хэрэглэгчийн мэдээллийг зөвхөн өөрийн локал систем дээр ганцхан хүснэгт бүхий мэдээллийн сангаас шалгадаг байсан. Харин орчин үеийн РАДИУС серверүүд нь энэ үйлдлийг хийж чадахаас гадна гадаад эх сурвалж болох SQL, Kerberos, LDAP, Active Directory Server зэргээс хэрэглэгчийн нэвтрэх эрхийн мэдээллийг шалгах боломжтой болсон.
RADIUS Баталгаажуулалт болон итгэмжлэх, эрх олгох хүсэлтийн урсгал
Үүний дараа РАДИУС сервер нь дараах 3 хариунаас аль нэгийг нь NAS руу илгээдэг.
1. Хандалтыг татгалзах (Access Reject), 2. Хандалтаас нэмэлт шаардлага тавих (Access Challenge), 3. Хандалтыг зөвшөөрөх (Access Accept)
- Хандалт татгалзах - Access Reject - Тухайн хэрэглэгчийг ямар нэгэн нөхцөлгүйгээр сүлжээний нөөц рүү хандуулахгүй. Шалтгаан нь хэрэглэгчийн хандалтаа хийхдээ өгсөн (хэрэглэгчийн нэр, нууц үг ) мэдээлэл тохироогүй, эсвэл идэвхигүй болсон хэрэглэгчийн хаяг байх гэх мэт шалтгаанууд байж болно.
- Хандалтаас нэмэлт шаардлага тавих -Access Challenge - Хэрэглэгчээс 2 дахь нууц үг, ПИН код, токен эсвэл карт гэх мэт нэмэлт мэдээллийг дахиж хүсдэг. Access Challenge нь нууцлал бүхий туннел (РАДИУС сервер болон эцсийн хэрэглэгч 2-ын хооронд) үүсэж байгаа илүү нарийн баталгаажуулалтын үед мөн хэрэглэгддэг. Ийм аргыг ашиглан хэрэглэгчийн нэр нууц үг гэх мэт эмзэг мэдээллийг NAS серверээс нуудаг.
- Хандалтыг зөвшөөрөх - Access Accept - Хэрэглэгч нь хандах эрх олгогдсон гэсэн үг. Хэрэглэгч баталгаажиж холболт зөвшөөрөгдсөний дараа РАДИУС сервер тухайн хэрэглэгч яг өөрт тохирсон хэрэглэгчийн эрхийн дагуу сүлжээг ашиглаж байгаа эсэхийг шалгаж байдаг. Жишээлбэл тухайн хандалт нь баталгаажсан хэрэглэгч байгууллагын утасгүй сүлжээнд холбогдох эрхтэй хэдий ч байгууллагын VPN сервис рүү хандах эрхгүй байх боломжтой юм. Энэхүү хэрэглэгчийн эрхийн талаарх мэдээлэл нь Локал хэлбэрээр тухайн РАДИУС сервер дээр хадгалагдах боломжтой мөн түүнчлэн эдгээр мэдээллээ LDAP эсвэл Active Directory гэх мэт гадаад серверээс авах боломжтой байдаг.
Эдгээр 3 хариу мессеж нь Хариу-Мессежийн аттрибут (Reply-Message attribute)-г өөртөө агуулсан байж болно. Энэхүү Хариу-Мессежийн аттрибут нь хандах хүсэлтийг татгалзсан шалтгаан, дараагийн нэмэлт шаардлагын мэдээлэл эсвэл зөвшөөрсөн тохиолдолд тавтай морилну уу гэсэн хуудсыг өөртөө агуулах боломжтой байдаг. Энэхүү аттрибут нь хэрэглэгч рүү хандалтын веб хуудсын хариу болон дамжуулагдах боломжтой. Эрх олгох эсвэл итгэмжлэлийн аттрибутууд нь NAS руу хандах эрхийг нь нөхцөлдүүлэхээр дамжуулагддаг. Жишээлбэл, Хандалтыг зөвшөөрөх (Access-Accept) хариу нь дараах эрх олгох аттрибутуудтай байж болно.
- Хэрэглэгчид олгогдох IP хаяг
- Хэрэглэгчийн IP хаягийг сонгож өгөх IP хаягийн пүүл (IP address pool)
- Хэрэглэгчийг холбоотой байлгах максимум хугацаа
- Хандалтын жагсаалт (access list), Давуу эрхтэйгээр хандах цуваа эсвэл хэрэглэгчийн хандалтад хийгдэх бусад хязгаарлалтууд
- L2TP параметрүүд
- VLAN параметрүүд
- Сервисийн чанарын Quality of Service (QoS) параметрүүд
Клиент тал РАДИУС-г хэрэглэх тохиргоотой байгаа үед, ямар ч клиент байсан хамаагүй клиентэд нэвтрэх эрхийг баталгаажуулах мэдээллийг харуулдаг. Энэ нь тохируулах боломжтой логин хуудас байж болох бөгөөд энэ хэсэгт клиент нь өөрсдийн хэрэглэгчийн нэр, нууц үгийг оруулна. Түүнээс гадна хэрэглэгч PPP буюу Point-to-Point гэх мэт фрэйминг протозолыг ашиглаж болдог бөгөөд эдгээр фрэйминг протоколуудад ийм төрлийн мэдээллийг дамжуулдаг нэвтрэх эрхийн баталгаажуулалтын пакет (authentication packets) байдаг.
Нэгэнт л ийм төрлийн мэдээллийг хүлээн авсан л бол хэрэглэгч өөрөө РАДИУС-г ашиглан нэвтрэх эрхээ баталгаажуулах уу эсвэл болих уу гэдэг ээ өөрөө шийдэж болно. Хэрэв хэрэглэхээр болвол клиент нь хандалтын хүсэлт буюу "Access-Request"-г үүсгэх ба энэ хүсэлт нь хэрэглэгчийн нэр, нууц үг, ID мөн хэрэглэгчийн портын ID зэргийг агуулсан аттрибуттай байж болдог. Нууц үг дамжуулагдаж байгаа бол тухайн нууц үгийг RSA Message Digest Algorithm MD5 ашиглан нууцалдаг байна.
Прокси хийж байгаа үед цар хүрээний буюу realm -ийн хэсгийг хүсэлтээс салгахдаа пакетыг задлах эсэх нь серверийнхээ тохиргооноос хамаардаг. Мөн түүнчлэн Прокси хийгдэж байгаа үед прокси сервер нь ААА хүсэлтийг нэмэх, ААА хүсэлтийг хасах, эсвэл ААА хүсэлтийг дахин засварлаж бичих гэх мэт тохиргоотой байж болдог.
РАДИУС протокол нь нууц үг дамжуулахдаа shared secret (ижил нууц үг ашиглах) болон MD5 хаш алгоритм ашигладаг. Энэ нь өөрөө тийм ч хангалттай хамгаалалт биш учраас нэмэлтээр IPsec туннел гэх мэт хамгаалалтын аргыг РАДИУС серверийн хэрэгжүүлэлтэнд хэрэглэдэг.
Түүнээс гадна РАДИУС нь зөвхөн хэрэглэгчийн нууц үг, нэрийг л нууцлах механизмтай бөгөөд эдгээрээс гадна эмзэг мэдээлэлд ангилагдаж болох хэрэглэгчийн ашиглаж буй туннелийн ID эсвэл VLAN-н тухай мэдээлэл нууцлагддаггүй байна. Эдгээр асуудлыг шийдвэрлэхийн тулд RadSec гэсэн протоколыг ашиглах тохиолдол байдаг.
Нэгэнт л ийм төрлийн мэдээллийг хүлээн авсан л бол хэрэглэгч өөрөө РАДИУС-г ашиглан нэвтрэх эрхээ баталгаажуулах уу эсвэл болих уу гэдэг ээ өөрөө шийдэж болно. Хэрэв хэрэглэхээр болвол клиент нь хандалтын хүсэлт буюу "Access-Request"-г үүсгэх ба энэ хүсэлт нь хэрэглэгчийн нэр, нууц үг, ID мөн хэрэглэгчийн портын ID зэргийг агуулсан аттрибуттай байж болдог. Нууц үг дамжуулагдаж байгаа бол тухайн нууц үгийг RSA Message Digest Algorithm MD5 ашиглан нууцалдаг байна.
Бүртгэл (Accounting)
Бүртгэлийн хэсэг нь RFC 2866 стандартад тодорхойлогдсон байдаг.
NAS нь сүлжээнд хандах хандалтыг нь зөвшөөрсөн тохиолдолд, Accounting start буюу бүртгэлийг эхлүүлэх (РАДИУС-ын бүртгэлийн хүсэлтийн пакет бөгөөд энэ пакет нь өөртөө "start" гэсэн утгыг агуулсан Acct-Status-Type аттрибуттай байдаг) хүсэлтийн пакетыг NAS сервер РАДИУС сервер лүү илгээдэг. Үүний зорилго нь хэрэглэгч сүлжээг ашиглаж эхэлсэн гэдэг сигналыг РАДИУС серверт өгөх юм. "Start" бичилт (records) ихэвлэн хэрэглэгчийг таних хэрэглэгчийн ID, сүлжээний хаяг, холбогдсон цэг хандалтыг тодорхойлогч буюу unique session ID зэрэг мэдээллүүд агуулагдсан байдаг.
Үүнээс хойш NAS сервер нь үе үе РАДИУС сервер лүү завсрын мэдээллийг шинэчлэх бичилт (Interim Update record) -(Энэ РАДИУС бүртгэлийн пакет нь Acct-Status-Type аттрибут дээрээ "interim-update" утгыг агуулдаг)-г РАДИУС сервер лүү илгээж болдог бөгөөд энэхүү бичилтийн гол зорилго нь идэвхитэй байгаа хандалтууд (active sessions)-ын статусыг нь шинэчилж байх зорилготой юм. "Interim" буюу завсрын эдгээр бичилтүүд нь ихэвчлэн одоо идэвхитэй байгаа хандалтын хэр удаан холбоотой байгаа хугацаа, одоогийн байдлаар ямар өгөгдөл ашиглаад байгаа талаарх мэдээлэл зэргийг дамжуулж байдаг.
Эцэст нь хэрэглэгч сүлжээг хэрэглэхээ болих үед нь NAS нь Accounting stop record (Acct-Status-Type аттрибут нь "stop" утгыг агуулж байдаг) буюу бүртгэлийг зогсоох бичилтийг РАДИУС сервер лүү илгээж эцсийн байдлаар тухайн хэрэглэгч хэр удаан хугацаанд сүлжээнд хандсан, дамжуулагдсан пакетууд, дамжуулагдсан өгөгдөл, холболтоо салгасан шалтгаан гэх мэт хэрэглэгчийн хандаллтай холбоотой мэдээллүүдийг агуулсан байдаг.
Энгийн тохиргоотой үед клиент тал нь нөгөө талаасаа АСК буюу хүлээн авсанаа баталгаажуулсан өгөгдөл дамжуултал өөрийн Accounting-Request буюу бүртгэлийн хүсэлтийн мэдээллээ тодорхой хугацааны дамтамжтай илгээсээр л байдаг.
Эдгээр мэдээллийг цуглуулж байгаа гол шалтгаан нь хэрэв хэрэглэгч нь тухайн сүлжээнд хандсанаараа мөнгө төлөх ёстой бол энэ шийдлийг ашигладаг, гэхдээ үүнээс гадна энэхүү мэдээлэл нь ихэвчлэн статистикийн мэдээлэл гаргах зорилгоор мөн сүлжээний хяналтыг хэрэгжүүлэх зорилгоор ашиглагддаг.
Рүүминг (Roaming)
РАДИУС серверийг ISP-нуудын дунд рүүминг хийх зорилгоор ашиглаж болдог. Жишээлбэл:
- Хэрэв компанаас олгогдсон эрхийг ашиглан олон нийтийн газруудын сүлжээг ашиглах эрхтэй болж байгаа хэрэглэгчүүдтэй мөн хэрэглэгчийн хандалтыг хадгалах ганцхан төвтэй байхыг илүүд үзэж байгаа тохиолдолд
- Бие даасан тусдаа үйл ажиллагаа явуулдаг байгууллагуудын хувьд, тэд хамтарч ажиллаж эхлэх үед байгууллага бүр өөрсдийн хэрэглэгчддэд өөрсдийн компаниас олгогдох ёстой хэрэглэгчийн нэвтрэх эрхийн иэдээллийг тарааж өгөх бөгөөд энэхүү өөрийнхөө байгууллагаас хүлээн авсан хэрэглэгчинй хандалтын эрхээрээ өөр сүлжээнд хандаж орох боломж нээгддэг. Жишээлбэл eduroam гэх мэт
Энэхүү үйлдлийг хялбарчлахын тулд РАДИУС realm буюу цар хүрээг заасан ойлголтыг хэрэглэдаг бөгөөд энэ realm нь РАДИУС сервер хэзээ AAA хүсэлтийг цааш нь өөр серверээр боловсруулуулах гэж форвард хийж дамжуулах вэ гэдгийг нь тодорхойлж өгдөг.
Цар хүрээ (realm)Realm буюу цар хүрээний мэдээлэл нь ихэвчлэн хэрэглэгчийн нэрний ард залгагддаг бөгөө ингэхдээ '@' тэмдэгтээр тусгаарлагддаг. Ингэснээр цар хүрээ буюу realm нь имэйлийн домэйн хаягтай төстэй болдог. Үүнийг цар хүрээ буюу realm-н ард нь залгагддаг тэмдэглэгээ (postfix notation) гэж нэрлэгддэг. Үүнээс гадна цар хүрээ (realm)-н урд нь залгагддаг өмнө нь залгагддаг тэмдэглэгээ (prefix notation) гэж бас байдаг бөгөөд энэ тэмдэглээг хийж байгаа бол хэрэглэгчийн цар хүрээ (realm) нь хэрэглэгчийн нэрний өмнө "\" тэмдэгтээр тусгаарлагдан бичигддэг. Гэхдээ сүүийн үеийн РАДИУС-ууд тусгаарлах тэмдэг (@ эсвэл \)-аас тэс өөр тэмдэгт оруулж ирээд хэрэглэж болох тохиргоо нөхцөлөөр бүрдүүлж өгчээ. Цар хүрээ (realm)-г тэмдэглэхдээ хэрэглэгчийн нэрний өмнө тусгаарлагдах тэмдэгтээр ялган байрлуулах аргыг хэрэглэгчийн нэрний дараа бичих аргуудыг нэгдсэн байдлаар хэрэглэх боломжтой байдаг. Жишээлбэл: somedomain.com\username@anotherdomain.com нь 2 цар хүрээ (realm) бүхий ямар нэгэн алдаагүй бичигдсэн хүчин төгөлдөр хэрэглэгчийнн нэр юм.Хэдийгээр цар хүрээ (realm) нь домэйний нэртэй төстэй боловч Цар хүрээ (realm) цар хүрээ Realm гэдэг нь энгийн текст бөгөөд ямар нэгэн бодит домэйн агуулах ямар ч шаардлагагүй юм. Цар хүрээ буюу Realm-н бүтэц нь RFC 4282 стандартаар стандарчлагдсан. Энэхүү стандартад Сүлжээний Хандалтын Ялгаж өгдөг тодорхойлогч (Network Access Identifier - NAI)-г 'username@realm' гэсэн бүтэцтэйгээр тодорхойлсон байдаг. Прокси үйл ажиллагаа (Форвард хийх)
РАДИУС сервер лүү өөрийн цар хүрээ (realm)-г агуулсан хэрэглэгчийн хүсэлт (ААА хүсэлт) орж ирмэгч сервер нь өөр дээрээ тохируулаглсан байгаа цар хүрээ (realm)-уудынхаа хүснэгт рүү ханддаг. Хэрвээ тухайн цар хүрээ олдож байвал РАДИУС сервер хүсэлтийг тухайн домэйний зохих сервер лүү нь илгээдэг.Прокси хийж байгаа үед цар хүрээний буюу realm -ийн хэсгийг хүсэлтээс салгахдаа пакетыг задлах эсэх нь серверийнхээ тохиргооноос хамаардаг. Мөн түүнчлэн Прокси хийгдэж байгаа үед прокси сервер нь ААА хүсэлтийг нэмэх, ААА хүсэлтийг хасах, эсвэл ААА хүсэлтийг дахин засварлаж бичих гэх мэт тохиргоотой байж болдог.
РАДИУС сервер нь үйл ажиллагаандаа Прокси чэйнинг (Proxy chaining) ашиглах боломжтой бөгөөд ингэсэн тохиолдолд NAS төхөөрөмж болон алсын зайд байгаа сервер 2-ын хооронд дамжигдаж буй ААА пакетууд дамжихдаа олон проксигоор дамжиж (замчлагдаж) шилжүүлэгддэг. Прокси ашиглах нь РАДИУС-д сүлжээний хэмжээг өөрчлөх(scalability improvement), зохицуулалтын бодлогоо хэрэгжүүлэх (policy implementation), тохиргоо хийх боломж (capability adjustment) гэх мэт боломжоор хангадаг давуу талтай. Рүүминг (roaming) хийгдэж байгаа үед NAS, Proxy, Home Server зэрэг нь өөр өөр газрын хяналтанд тохируулагдсан байдаг (өөр өөр админтэй, удирдлагатай). Тиймээс энэ тохиолдолд дундын проксинуудад итгэх итгэлийн асуудал маш чухал байдаг. Яагаад гэвэл РАДИУС серверт end-to-end буюу 2 төгсгөлийн цэгийн мэдээллийг хамгаалах хамгаалалт байдаггүй нь дундын проксид итгэхэд хүндрэл үүсгэдэг. Прокси чэйнинг (proxy chaining) нь RFC 2607 стандартаар стандарчилагдсан.
Аюулгүй байдал
Рүүминг (roaming) хийж байгаа РАДИУС-ын хувьд түүний хэрэглэгчид нь төрөл бүрийн аюулгүй байдлын асуудлуудтай тулгардаг. Ер нь бол зарим хамтрагчид нь РАДИУС серверүүдийнхээ дунд туннел үүсгэж хэрэглэгчдийнхээ нууц мэдээллийг прокси хийгдэж байх үед нь таслан зогсоолгохгүй байх, хэрэглэгчдийнхээ мэдээллийг алдахгүй байх асуудлаа шийдэх гэж оролддог. Энэ бүх асуудал нь РАДИУС - н хэрэглэдэг MD5 хаш нь өөрөө тийм ч найдвартай аюулгүй байдлын шийдэл биш учраас үүсдэг байна.РАДИУС протокол нь нууц үг дамжуулахдаа shared secret (ижил нууц үг ашиглах) болон MD5 хаш алгоритм ашигладаг. Энэ нь өөрөө тийм ч хангалттай хамгаалалт биш учраас нэмэлтээр IPsec туннел гэх мэт хамгаалалтын аргыг РАДИУС серверийн хэрэгжүүлэлтэнд хэрэглэдэг.
Түүнээс гадна РАДИУС нь зөвхөн хэрэглэгчийн нууц үг, нэрийг л нууцлах механизмтай бөгөөд эдгээрээс гадна эмзэг мэдээлэлд ангилагдаж болох хэрэглэгчийн ашиглаж буй туннелийн ID эсвэл VLAN-н тухай мэдээлэл нууцлагддаггүй байна. Эдгээр асуудлыг шийдвэрлэхийн тулд RadSec гэсэн протоколыг ашиглах тохиолдол байдаг.
Пакетын бүтэц
Пакетын бүтцийг дээр харууллаа.
Талбарууд нь зүүнээсээ баруун тийш чиглэлтэй байх ба код (code), ялгах нэр (identifier), хэмжээ (length), баталгаажуулагч (authenticator) мөн аттрибут гэсэн хэсгүүдтэй
РАДИУС-н кодууд (code) нь дараах утгуудтай (decimal):
| Code | Assignment |
|---|---|
| 1 | Access-Request |
| 2 | Access-Accept |
| 3 | Access-Reject |
| 4 | Accounting-Request |
| 5 | Accounting-Response |
| 11 | Access-Challenge |
| 12 | Status-Server (experimental) |
| 13 | Status-Client (experimental) |
| 255 | Reserved |
identifier хэсэг нь хүсэлт болон түүний хариу тохирч байгаа эсэхийг шалгахад хэрэглэгддэг.
Хэмжээ (length) хэсэг нь РАДИУС пакетын нийт хэмжээг нь (code, identifier,Length, authenticator, Нэмэлт Attribute хэсгүүдийг бүгдийнх нь уртыг хамруулаад) заадаг.
Баталгаажуулагч (authenticator) нь РАДИУС серверийн өгсөн мессежийн хариуд нэвтрэх эрхээ баталгаажуулахад хэрэглэгддэг. Нууц үгийг шифрлэхэд хэрэглэгддэг гэсэн үг. Үүний урт нь 16 бит.
Аттрибутын утгууд (Attribute value pairs - AVP)
РАДИУС Аттрибутын утга буюу Attribute Value Pairs (AVP) нь ААА хүсэлт болон түүний хариуд ирж байгаа пакетад аль алинд нь агуулагддаг. Энэ хэсгийн хэмжээ (length) нь AVP хэсгийн төгсгөл хаана дуусч байгааг илэрхийлэхэд хэрэглэгддэг.
| AVP төрөл | Түүний агуулга |
|---|---|
| 1 | User-Name |
| 2 | User-Password |
| 3 | CHAP-Password |
| 4 | NAS-IP-Address |
| 5 | NAS-Port |
| 6 | Service-Type |
| 7 | Framed-Protocol |
| 8 | Framed-IP-Address |
| 9 | Framed-IP-Netmask |
| 10 | Framed-Routing |
| 11 | Filter-Id |
| 12 | Framed-MTU |
| 13 | Framed-Compression |
| 14 | Login-IP-Host |
| 15 | Login-Service |
| 16 | Login-TCP-Port |
| 18 | Reply-Message |
| 19 | Callback-Number |
| 20 | Callback-Id |
| 22 | Framed-Route |
| 23 | Framed-IPX-Network |
| 24 | State |
| 25 | Class |
| 26 | Vendor-Specific |
| 27 | Session-Timeout |
| 28 | Idle-Timeout |
| 29 | Termination-Action |
| 30 | Called-Station-Id |
| 31 | Calling-Station-Id |
| 32 | NAS-Identifier |
| 33 | Proxy-State |
| 34 | Login-LAT-Service |
| 35 | Login-LAT-Node |
| 36 | Login-LAT-Group |
| 37 | Framed-AppleTalk-Link |
| 38 | Framed-AppleTalk-Network |
| 39 | Framed-AppleTalk-Zone |
| 40 | Acct-Status-Type |
| 41 | Acct-Delay-Time |
| 42 | Acct-Input-Octets |
| 43 | Acct-Output-Octets |
| 44 | Acct-Session-Id |
| 45 | Acct-Authentic |
| 46 | Acct-Session-Time |
| 47 | Acct-Input-Packets |
| 48 | Acct-Output-Packets |
| 49 | Acct-Terminate-Cause |
| 50 | Acct-Multi-Session-Id |
| 51 | Acct-Link-Count |
| 52 | Acct-Input-Gigawords |
| 53 | Acct-Output-Gigawords |
| 55 | Event-Timestamp |
| 56 | Egress-VLANID |
| 57 | Ingress-Filters |
| 58 | Egress-VLAN-Name |
| 59 | User-Priority-Table |
| 60 | CHAP-Challenge |
| 61 | NAS-Port-Type |
| 62 | Port-Limit |
| 63 | Login-LAT-Port |
| 64 | Tunnel-Type |
| 65 | Tunnel-Medium-Type |
| 66 | Tunnel-Client-Endpoint |
| 67 | Tunnel-Server-Endpoint |
| 68 | Acct-Tunnel-Connection |
| 69 | Tunnel-Password |
| 70 | ARAP-Password |
| 71 | ARAP-Features |
| 72 | ARAP-Zone-Access |
| 73 | ARAP-Security |
| 74 | ARAP-Security-Data |
| 75 | Password-Retry |
| 76 | Prompt |
| 77 | Connect-Info |
| 78 | Configuration-Token |
| 79 | EAP-Message |
| 80 | Message-Authenticator |
| 81 | Tunnel-Private-Group-ID |
| 82 | Tunnel-Assignment-ID |
| 83 | Tunnel-Preference |
| 84 | ARAP-Challenge-Response |
| 85 | Acct-Interim-Interval |
| 86 | Acct-Tunnel-Packets-Lost |
| 87 | NAS-Port-Id |
| 88 | Framed-Pool |
| 89 | CUI |
| 90 | Tunnel-Client-Auth-ID |
| 91 | Tunnel-Server-Auth-ID |
| 92 | NAS-Filter-Rule |
| 94 | Originating-Line-Info |
| 95 | NAS-IPv6-Address |
| 96 | Framed-Interface-Id |
| 97 | Framed-IPv6-Prefix |
| 98 | Login-IPv6-Host |
| 99 | Framed-IPv6-Route |
| 100 | Framed-IPv6-Pool |
| 101 | Error-Cause Attribute |
| 102 | EAP-Key-Name |
| 103 | Digest-Response |
| 104 | Digest-Realm |
| 105 | Digest-Nonce |
| 106 | Digest-Response-Auth |
| 107 | Digest-Nextnonce |
| 108 | Digest-Method |
| 109 | Digest-URI |
| 110 | Digest-Qop |
| 111 | Digest-Algorithm |
| 112 | Digest-Entity-Body-Hash |
| 113 | Digest-CNonce |
| 114 | Digest-Nonce-Count |
| 115 | Digest-Username |
| 116 | Digest-Opaque |
| 117 | Digest-Auth-Param |
| 118 | Digest-AKA-Auts |
| 119 | Digest-Domain |
| 120 | Digest-Stale |
| 121 | Digest-HA1 |
| 122 | SIP-AOR |
| 123 | Delegated-IPv6-Prefix |
| 124 | MIP6-Feature-Vector |
| 125 | MIP6-Home-Link-Prefix |
| 126 | Operator-Name |
| 127 | Location-Information |
| 128 | Location-Data |
| 129 | Basic-Location-Policy-Rules |
| 130 | Extended-Location-Policy-Rules |
| 131 | Location-Capable |
| 132 | Requested-Location-Info |
| 133 | Framed-Management-Protocol |
| 134 | Management-Transport-Protection |
| 135 | Management-Policy-Id |
| 136 | Management-Privilege-Level |
| 137 | PKM-SS-Cert |
| 138 | PKM-CA-Cert |
| 139 | PKM-Config-Settings |
| 140 | PKM-Cryptosuite-List |
| 141 | PKM-SAID |
| 142 | PKM-SA-Descriptor |
| 143 | PKM-Auth-Key |
| 144 | DS-Lite-Tunnel-Name |
| 145 | Mobile-Node-Identifier |
| 146 | Service-Selection |
| 147 | PMIP6-Home-LMA-IPv6-Address |
| 148 | PMIP6-Visited-LMA-IPv6-Address |
| 149 | PMIP6-Home-LMA-IPv4-Address |
| 150 | PMIP6-Visited-LMA-IPv4-Address |
| 151 | PMIP6-Home-HN-Prefix |
| 152 | PMIP6-Visited-HN-Prefix |
| 153 | PMIP6-Home-Interface-ID |
| 154 | PMIP6-Visited-Interface-ID |
| 155 | PMIP6-Home-IPv4-HoA |
| 156 | PMIP6-Visited-IPv4-HoA |
| 157 | PMIP6-Home-DHCP4-Server-Address |
| 158 | PMIP6-Visited-DHCP4-Server-Address |
| 159 | PMIP6-Home-DHCP6-Server-Address |
| 160 | PMIP6-Visited-DHCP6-Server-Address |
| 161 | PMIP6-Home-IPv4-Gateway |
| 162 | PMIP6-Visited-IPv4-Gateway |
| 163 | EAP-Lower-Layer |
| 164 | GSS-Acceptor-Service-Name |
| 165 | GSS-Acceptor-Host-Name |
| 166 | GSS-Acceptor-Service-Specifics |
| 167 | GSS-Acceptor-Realm-Name |
| 168 | Framed-IPv6-Address |
| 169 | DNS-Server-IPv6-Address |
| 170 | Route-IPv6-Information |
| 171 | Delegated-IPv6-Prefix-Pool |
| 172 | Stateful-IPv6-Address-Pool |
| 173 | IPv6-6rd-Configuration |
| 174 | Allowed-Called-Station-Id |
| 175 | EAP-Peer-Id |
| 176 | EAP-Server-Id |
| 177 | Mobility-Domain-Id |
| 178 | Preauth-Timeout |
| 179 | Network-Id-Name |
| 180 | EAPoL-Announcement |
| 181 | WLAN-HESSID |
| 182 | WLAN-Venue-Info |
| 183 | WLAN-Venue-Language |
| 184 | WLAN-Venue-Name |
| 185 | WLAN-Reason-Code |
| 186 | WLAN-Pairwise-Cipher |
| 187 | WLAN-Group-Cipher |
| 188 | WLAN-AKM-Suite |
| 189 | WLAN-Group-Mgmt-Cipher |
| 190 | WLAN-RF-Band |
Вендор тодорхойлсон аттрибутууд (Vendor-specific attributes)
РАДИУС -г өргөтгөх боломжтой. Техник хангамжаар болон програм хангамжаар дамжуулан РАДИУС-н шийдлийг хэрэглэгчдэд санал болгодог ихэнх вендорууд өөрсдийн VSA (Vendor-Specific Attributes)-г хэрэгжүүлдэг. Майкрософт л гэхэд өөрсдийн гэсэн VSA-үүдийг гаргасан. VSA нь зарим компаны хувьд хувтйн өмч байх бол зарим нээлттэй эхийн РАДИУС-ууд болох FreeRADIUS эсвэл OpenRADIUS зэргийн хувьд эх кодыг нь татаж аваад л хэрэгжүүлсэн VSA-г нь харах боломжтой юм.
Үнэгүй эсвэл арай хямдхан РАДИУС серверийн шийдэл хайж байгаа бол дараах холбоос руу зочилно уу.
http://www.serverwatch.com/server-reviews/the-9-best-low-cost-radius-servers.html
Үнэгүй эсвэл арай хямдхан РАДИУС серверийн шийдэл хайж байгаа бол дараах холбоос руу зочилно уу.
http://www.serverwatch.com/server-reviews/the-9-best-low-cost-radius-servers.html
1POPs - гэдэг нь харилцаа холбооны нэгжүүд төхөөрөмжүүдийн дунд нь байрлах хилийг зааглах зориулалт бүхий төхөөрөмж юм. Интернэтийн орчинд энэ нь Интернэтэд холбогдох аксесс пойнт (Access Point) юм. Энд дурдсан Аксесс пойнт гэдэгт Сервер, Рүүтэр, АТМ свичүүд болон дижитал/аналог дуулдагын (call) нэгтгэлүүд гэх мэт төхөөрөмжүүд багтдаг.
posted by Nasantogtokh @ 8:38 PM
0 Comments
0 Comments:
Post a Comment
Subscribe to Post Comments [Atom]
<< Home