Remote Authentication Dial In User Service (RADIUS) is an AAA (authentication, authorization and accounting) protocol for applications such as network access or IP mobility. It is intended to work in both local and roaming situations. Many networks services (including corporate networks and public ISPs using modem, DSL, or wireless 802.11 technologies) require you to present security credentials (such as a username and password or security certificate) in order to connect on to the network. Before access to the network is granted, this information is passed to a Network Access Server (NAS) device over the link-layer protocol (for example, Point-to-Point Protocol (PPP) in the case of many dialup or DSL providers), then to a RADIUS server over the RADIUS protocol. The RADIUS server checks that the information is correct using authentication schemes like PAP, CHAP or EAP. If accepted, the server will then indicate to the NAS that you are authoried to access the network. RADIUS also allows the authentication server to supply the NAS with additional parameters, such as • • • • • •
The specific IP address to be assigned to the user The address pool from which the user's IP should be chosen The maximum length that the user may remain connected An access list, priority queue or other restrictions on a user's access L2TP parameters etc
In general, the RADIUS protocol does not transmit passwords in cleartext between the NAS and RADIUS server, but in hidden, using a rather complex operation instead, which involves MD5 hashing and shared secret, as described in references. RADIUS is also commonly used for accounting purposes. The NAS can use RADIUS accounting packets to notify the RADIUS server of events such as • • • • •
The user's session start The user's session end Total packets transferred during the session Volume of data transferred during the session Reason for session ending
The primary purpose of this data is so that the user can be billed accordingly; the data is also commonly used for statistical purposes and for general network monitoring. Additionally RADIUS is widely used by VoIP service providers. It is used to pass login credentials of a SIP end point (like a broadband phone) to a SIP Registrar using digest authentication, and then to RADIUS server using RADIUS. Sometimes it is also used to collect call detail records (CDRs) later used, for instance, to bill customers for international long distance. RADIUS was originally specified in an RFI by Merit Network in 1991 to control dial-in access to NSFnet. Livingston Enterprises responded to the RFI with a description of a
RADIUS server. Merit Network awarded the contract to Livingston Enterprises that delivered their PortMaster series of Network Access Servers and the initial RADIUS server to Merit. RADIUS was later (1997) published as RFC 2058 and RFC 2059 (current versions are RFC 2865 and RFC 2866). Now, several commercial and opensource RADIUS servers exist. Features can vary, but most can look up the users in text files, LDAP servers, various databases, etc. Accounting records can be written to text files, various databases, forwarded to external servers, etc. SNMP is often used for remote monitoring. RADIUS proxy servers are used for centralized administration and can rewrite RADIUS packets on the fly (for security reasons, or to convert between vendor dialects). RADIUS is a common authentication protocol utilized by the 802.1X security standard (often used in wireless networks). Although RADIUS was not initially intended to be a wireless security authentication method, it improves the WEP encryption key standard, in conjunction with other security methods such as EAP-PEAP. RADIUS is extensible; many vendors of RADIUS hardware and software implement their own variants using Vendor-Specific Attributes (VSAs). RADIUS uses UDP ports 1812 or 1645 for Authentication and 1813 or 1646 for Accounting. For example, Microsoft RADIUS servers default to the higher ports but Cisco devices default to the lower ports. Juniper Networks' RADIUS servers also defaults to the lower ports. The official IETF port number assignment is the higher port numbers 1812 and 1813. The DIAMETER protocol is the planned replacement for RADIUS. DIAMETER uses SCTP or TCP while RADIUS uses UDP as the transport layer. Remote Authentication Dial-In User Service (RADIUS) is a client/server protocol and software that enables remote access servers to communicate with a central server to authenticate dial-in users and authorize their access to the requested system or service. RADIUS allows a company to maintain user profiles in a central database that all remote servers can share. It provides better security, allowing a company to set up a policy that can be applied at a single administered network point. Having a central service also means that it's easier to track usage for billing and for keeping network statistics. Created by Livingston (now owned by Lucent), RADIUS is a de facto industry standard used by a number of network product companies and is a proposed IETF standard.
1.3 Cài đặt và cấu hình một Authentication Server Microsoft sử dụng một authentication server riêng như Internet Authentication Service (IAS) cho mục đích xác nhận. Ngoài nhiệm vụ chính là cung cấp một dịch vụ thẩm định trung tâm, IAS cũng cung cấp quyền hạn và account cho remote VPN clients. IAS dùng giao thức RADIUS để quản lý tập trung tất cả các yêu cầu từ xa gửi đến bất chấp nền của client hay môi trường mạng. Thuận lợi chính của việc triển khai IAS servers là nó cung cấp dịch vụ quản lý tập trung cho nhiều remote access servers. Theo cách này, một remote access server, như một VPN server chẳng hạn, bớt căng thẳng hơn trong nhiệm vụ thẩm định người dùng. Các đặt điểm của IAS Microsoft IAS đưa ra nhiều đặc điểm cho việc triển khai cơ sở hạ tầng của thẩm định quyền, quyền hạn, trương mục được đơn giản và dễ dàng hơn. Một số đặc điểm quan trọng của IAS bao gồm: • • • • • • •
Centralized authentication of remote requests. Centralized authorization of remote requests. Centralized accounting of resource usage. Integration with Windows 2000 RRAS. Control of outsourced dialing. Simpler administration. Scalability and extendibility.
Cấu hình và cài đặt một IAS Lần lượt theo các bước sau: 1. Chọn Start, Programs, Administrative Tools, Routing and Remote Access để mở Microsoft Management Console (MMC). 2. Ở cây console (khung bên trái), nhấp chuột phải vào server mà bạn muốn cấu hình RADIUS authentication. Một menu tắt xuất hiện. Chọn Properties để mở bảng server's Property. 3. Hoạt hóa tab Security của bảng Properties. Từ danh sách Authentication provider xổ suống, chọn RADIUS Authentication, như hình 863.
Figure 863: Configuring RADIUS authentication on IAS. 4. Nhấp Configure để mở hộp thoại RADIUS Authentication, xem hình 864.
Figure 864: The RADIUS Authentication dialog box. 5. Nhấp Add để mở hộp thoại Add RADIUS Server, xem hình 865.
Figure 865: The Add RADIUS server dialog box. 6. Chỉ định tên của RADIUS server trong hộp Server name. Nhấp Change để chỉ định secret được chia sẽ nào sẽ được dùng cho việc bảo mật thông tin giữa VPN server (RAS) và RADIUS server, như hình 866.
Figure 866: Specifying the shared secret information to be used between the RADIUS server and the IAS server. 7. Nhấp OK để đóng hộp thoại Change Secret. Tiếp theo, nhấp OK để đóng hộp thoại Add RADIUS server và quay trở về hộp thoại RADIUS Authentication. Bây giờ bạn đã cấu hình xong RADIUS authentication trên IAS server, như hình 867.
Figure 867: The successfully configured RADIUSbased IAS server. 8. Nhấp OK để đóng hộp thoại RADIUS Authentication. Một thông điệp thông báo sẽ xuất hiện, như hình 868. Nhấp OK để đóng hộp thông báo và trở về bảng Property.
Figure 868: The successfully configured RADIUSbased IAS server. 9. Hoạt hóa tab Security của Property sheet, nếu cần thiết. Từ danh sách Accounting provider sổ xuống, chọn RADIUS Accounting và sau đó nhấp Configure để mở hộp thoại RADIUS Accounting, xem hình 869.
Figure 869: The RADIUS Accounting dialog box. 10. Nhấp Add… để mở hộp thoại Add RADIUS Server và cấu hình những thiết lập cho RADIUS Accounting server, xem hình 870.
Figure 870: Adding the RADIUS server. 11. Nhấp OK để trở về hộp thoại RADIUS Accounting. Một lần nữa, Nhấp OK. Một thông điệp thông báo xuất hiện. Nhấp OK để đóng hộp thông báo và trở về cửa sổ MMC. 12. Bạn có thể được nhắc nhở nhập vào bất kỳ ứng dụng nào mà bạn muốn chạy khi người dùng kết nối vào. Nhấp Next để tiếp tục.
Cấu hình IAS Clients dựa trên RADIUS Bao gồm các bước sau: 1. Nhấp Start, Programs, Administrative Tools, Internet Authentication Service để mở cửa sổ Internet Authentication Service, xem hình 871.
Figure 871: The Internet Authentication Service window. 2. Ở ô bên trái, nhấp chuột phải Clients. Một menu tắt sẽ xuất hiện. Chọn New Client để mở hộp thoại Add Client, xem hình 872.
Figure 872: The Add Client dialog box. 3. Ở hộp Friendly name, nhập vào một tên mô tả của client mà bạn đang cấu hình. Trong danh sách Protocol sổ xuống, đảm bảo rằng RADIUS được chọn. Xem hình 873. Nhấp Next để tiếp tục.
Figure 873: Supplying client details. 4. Trong hộp Client address (IP or DNS), nhập vào tên DNS hoặc địa chỉ IP của client. Nếu bạn đã chỉ định rõ tên DNS, nhấp Verify. Hộp thoại Resolve DNS Name sẽ xuất hiện, như hình 874.
Figure 874: The Resolve DNS Name dialog box. 5. Nhấp Resolve và sau đó chọn địa chỉ IP từ danh sách Search results mà bạn muốn kết hợp với tên đó. Kế tiếp, nhấp Use this IP để trở về cửa sổ Add RADIUS Client. 6. Nếu bạn đang đăng ký một NAS client đến một IAS server, từ danh sách Client Vendor sổ xuống chọn tên nhà sản xuất. Nếu bạn không biết tên nhà sản xuất hoặc tên không có trong danh sách, chọn RADIUS Standard, như hình 875.
Figure 875: Configuring an NAS as a client. 7. Nếu NAS hổ trợ chữ ký điện tử trong việc xác nhận, chọn tùy chọn “Client must always send the signature attribute in the request”. Tuy nhiên, nếu NAS không hổ trợ chữ ký điện tử, không chọn tùy chọn này. Nhấp OK xữ lý. 8. Nhấp Finish để hoàn thành quá trình đăng ký client và trở về cửa sổ Internet Authentication Service. registered client sẽ xuất hiện ở ô bên trái của cửa sổ, như hình 876.
Figure 876: The registered client appears in the right pane of the window. Sao chép cấu hình của một IAS đến một Server khác Để sao chép cấu hình của một IAS server đến nơi khác, bạn cần thực hiện các công việc sau :
1. Mở command prompt và nhập vào netsh aaaa show configuration <đường dẫn tập tin văn bản>. Lệnh này dùng để lưu giữ thông tin vào một tập tin văn bản xác định. 2. Sao chép tập tin văn bản mà bạn vừa tạo ra ở bước 1 đến máy đích. 3. Tại command prompt của máy đích, nhập lệnh netsh exec <đường dẫn của tập tin vừa lưu trữ>. Một thông điệp sẽ hiện ra để thông báo lệnh thành công hay thất bại. Nếu thông báo thành công, bạn đã sao chéo cấu hình của một IAS server đến nơi khác. Chú ý: Trong bước đầu tiên, nếu lệnh “netsh aaaa show configuration” không hoạt động, bạn có thể dùng lệnh “netsh aaaa dump configuration”. Tương tự, dùng lệnh “netsh ras aaaa” nếu lệnh “netsh aaaa” không làm việc. Bạn không cần phải dừng IAS server đích để chạy lệnh netsh exec. IAS tự động được làm tươi và cấu hình những thay đổi khi chạy lệnh này. 2 Cấu hình nâng cao VPN