RADIUS

מתוך ויקיפדיה, האנציקלופדיה החופשית
קפיצה אל: ניווט, חיפוש
Gnome-edit-clear.svg ערך זה זקוק לעריכה: ייתכן שהערך סובל מפגמים טכניים כגון מיעוט קישורים פנימיים, סגנון טעון שיפור או צורך בהגהה, או שיש לעצב אותו.
אתם מוזמנים לסייע ולתקן את הבעיות, אך אנא אל תורידו את ההודעה כל עוד לא תוקן הדף. אם אתם סבורים כי אין בדף בעיה, ניתן לציין זאת בדף השיחה.

RADIUS (ראשי תיבות: Remote Authentication Dial In User Service) או רדיוס הוא פרוטוקול תקשורת המספק ניהול מרכזי של אימות, הרשאה, וחשבונאות (באנגלית Authentication, Authorization, and Accounting ‏(AAA)) עבור משתמשים המתחברים ומשתמשים ברשת. RADIUS פותח על ידי תאגיד לווינגסטון בע"מ (Livingston Enterprises, Inc.) בשנת 1991 כפרוטוקול אימות ופיקוח על חשבונות לשרתי גישה ולאחר מכן הפך לתקן בינ"ל בידי ה-IETF (כוח המשימה ההנדסי לאינטרנט). הודות לנוכחותו המקפת והתמיכה רחבה הנתנת לו, הוא משמש לעתים קרובות אצל ספקיות אינטרנט (ISPs) וארגונים גדולים לבקרת כניסת משתמשים לאינטרנט, רשתות פנימיות ואלחוטיות, ושירותי דואר אלקטרוני, ללא תלות בדרכי ההתקשרות ברשת (בין אם דרך מודמים, VPN, DSL, שרתי ווב וכיוצא בזה). זהו פרוטוקול שרת-לקוח אשר עובר בשכבת היישום מעל UDP. צד הלקוח רץ אצל רכיבי גישה לרשת (כגון נתב או שרת VPN) המבקשים לזהות את הנכנסים בשעריהם. הלקוח פונה לצד השרת הרץ כתהליך-רקע בשרתי חלונות או יוניקס.

פרוטוקול ה-AAA[עריכת קוד מקור | עריכה]

ניתן לחלק את הדרך בה שרתי רדיוס מנהלים גישה לרשתות לשני שלבים של החלפת אינפורמציה והוראות עם המשתמש באמצעות "פעולות AAA". השלב הראשון מכסה את אספקט האימות וההרשאה (שני ה-Aים הראשונים) המתרחש טרם כניסת המשתמש לרשת וקובע בעצם מיהו המשתמש ומהי הרשת אליה הוא מורשה להיכנס, והשני את ניטור ובקרת (מעין ראיית חשבון) המשתמש בזמן חיבורו (ה-A השלישי). לכל שלב מוקדש תקן נפרד: RFC 2865 ו-RFC 2866 בהתאמה.

אימות והרשאה[עריכת קוד מקור | עריכה]

  1. המשתמש או המכשיר שולח בקשה לשרת גישה מרחוק (RAS - Remote Access Server) - למשל נתב אלחוטי - ע"מ לקבל גישה למשאבי רשת מסוימים בעזרת אמצעי-הזיהוי (credentials) שלו. הבקשה מועברת בפרוטוקול שכבת קשר כגון PPP עבור ספקי חיוג או DSL, או על ידי פרוטוקול גבוה יותר כמו דף ווב מאובטח (באמצעות HTTPS). השרת בתורו שולח בקשת גישה לשרת הרדיוס בו הוא מציג את אמצעי הזיהוי של המשתמש ומבקש לאמתם. אמצעים אלו יכולים להיות שם משתמש וססמה, או תעודה דיגיטלית החותמת את זהות המשתמש. אליהם יכולים להצטרף לבקשה פרטים נוספים אותם יודע השרת על המשתמש כגון נקודת החיבור הפיזית שלו לרשת, כתובת הרשת או מספר הטלפון שלו.
  2. שרת הרדיוס בודק את המידע שהתקבל באמצעות שיטות אימות כמו פרוטוקול אימות ססמה (PAP), פרוטוקול אימות אתגר (CHAP) או פרוטוקול אימות מורחב (EAP). כך מוודאים את הוכחת הזהות של המשתמש וכן, לפי הצורך, מידע נוסף הקשור לבקשה כפי שהוזכר קודם. לצורך כך זקוק השרת לבסיס נתונים של המשתמשים לעומתו יושוו פרטי המשתמש הנכנס. בעבר הוא היה מאוחסן מקומית בשרת, אולם בשרת מודרניים נהוג יותר לפנות למאגרים חיצונים כמו שרתי LDAP ,Active Directory, או SQL. למען אספקט ההרשאה, בסיס הנתונים יכול לכלול אישורי גישה (או מניעתה) עובר שירותים ומשאבי רשת מסוימים. כך למשל, ייתכן שהמשתמש יורשה להיכנס לרשת האלחוטית של החברה אך לא להשתמש בשירות ה-VPN.
  3. שרת הרדיוס משיב ל-RAS אחת משלוש תשובות: 1) דחייה, 2) אתגר, או 3) קבלה. דחייה (Access Reject) פירושה מניעת כל גישה לרשת מהמשתמש. היא יכולה לנבוע מאמצעי-זיהוי לא מספקים או חשבון משתמש לא פעיל. אתגר (Access Challenge) פירושו בקשת פרטים נוספים מהמשתמש כגון ססמה נוספת או קוד (PIN), כך שניתן לאמתו באופן בטוח יותר. בנוסף הוא נשלח כאשר תהליך האימות מורכב יותר וכולל העברת מידע בערוץ מאובטח ישיר בין המשתמש לשרת הרדיוס, כך שאמצעי הזיהוי חבויים מה-RAS. קבלה (Access Accept) פירושה שהמשתמש מאומת ומורשה: הוא אכן מי שהוא טוען שהוא (במובן זה שאמצעי הזיהוי שלו תואמים לחשבון המוגדר במערכת) והוא רשאי לגשת למשאבים אותם הוא בקש. כל אחת מתשובות אילו עשויות לכלול פרטים (attributes) נוספים עבור המשתמש כמו סיבת הדחייה, שאילתת אתגר או הודעת כניסה, כאשר הטקסט שלהם יכול להשלח כדף ווב. אל אילו נוספים פרטים עבור ה-RAS, כך שאף הוא יידע כיצד בדיוק לטפל במשתמש. לדוגמה קבלה עשויה לכלול את הפרטים הבאים: כתובת IP או מאגר כתובות המוקצה למשתמש, משך הזמן בו מותר לו לשהות ברשת, פרמטרים ל-VLAN או QoS וכיוצא בזה.

חשבונאות[עריכת קוד מקור | עריכה]

במהלך חיבורו של המשתמש שולח ה-RAS לשרת הרדיוס בקשות חשבונאות (Accounting request) המכילות מידע על שימוש המשתמש ברשת. שרת הרדיוס מאשר את קבלתן בתשובות חשבונאות (Accounting response). מעבר לאיסוף נתונים על המשתמש לצורכי סטטיסטיקה וניטור הרשת, ניתן גם לגבות ממנו תשלום עבור גישתו לרשת, בהתאם לאופי והיקף השימוש בה.

  • כאשר מוענקת למשתמשת גישה לרשת, ה-RAS שולח לשרת הרדיוס רשומת התחל חשבונאות (Accounting Start) המודיעה על כניסתו של המשתמש לרשת. רשומת ה"התחל" כוללת בדרך-כלל את זהות המשתמש, כתובתו, נקודת התחברותו, ומזהה שיחה (session) ייחודי.
  • ה-RAS עשוי לשלוח באופן קצוב עדכון ביניים (Interim Update) המודיע על מצב השיחה. רשומות אלו כוללות בדרך-כלל את משך החיבור הנוכחי וכן מידע על שימוש ותעבורת הנתונים של המשתמש.
  • לבסוף, כאשר נסגר חיבור המשתמש לרשת, ה-RAS מוציא לשרת הרדיוס רשומת עצור חשבונאות (Accounting Stop), המספקת מידע סופי על שימוש המשתמש ברשת - הזמן, סוגי הנתונים והחבילות, סיבת הניתוק ואי-אילו נתונים נוספים אודות חיבור המשתמש.