RADIUS

מתוך ויקיפדיה, האנציקלופדיה החופשית
קפיצה אל: ניווט, חיפוש
Gnome-edit-clear.svg ערך זה זקוק לעריכה: ייתכן שהערך סובל מפגמים טכניים כגון מיעוט קישורים פנימיים, סגנון טעון שיפור או צורך בהגהה, או שיש לעצב אותו.
אתם מוזמנים לסייע ולתקן את הבעיות, אך אנא אל תורידו את ההודעה כל עוד לא תוקן הדף. אם אתם סבורים כי אין בדף בעיה, ניתן לציין זאת בדף השיחה.

RADIUS (ראשי תיבות באנגלית: Remote Authentication Dial In User Service) או רדיוס הוא פרוטוקול תקשורת המספק ניהול מרכזי של אימות, הרשאה, וחשבונאות (באנגלית: Authentication, Authorization, and Accounting ‏(AAA)) עבור משתמשי הרשת. RADIUS פותח על ידי תאגיד לווינגסטון בע"מ (Livingston Enterprises, Inc) בשנת 1991 כפרוטוקול אימות ופיקוח על חשבונות לשרתי גישה ולאחר מכן הפך לתקן בינ"ל בידי ה-IETF (כוח המשימה ההנדסי של האינטרנט). הודות לנוכחותו המקפת והתמיכה הרחבה הניתנת לו, הוא משמש לעתים קרובות אצל ספקיות אינטרנט וארגונים גדולים לבקרת כניסת משתמשים לאינטרנט, רשתות פנימיות ואלחוטיות, ושירותי דואר אלקטרוני, ללא תלות בדרכי ההתקשרות ברשת (בין אם דרך מודמים, VPN, DSL, שרתי ווב וכיוצא בזה). זהו פרוטוקול שרת-לקוח אשר עובר בשכבת היישום מעל UDP. צד הלקוח רץ אצל רכיבי גישה לרשת (כגון נתב או שרת VPN) המבקשים לזהות את הנכנסים בשעריהם. הלקוח פונה לצד השרת הרץ כתהליך-רקע בשרתי חלונות או יוניקס.

פרוטוקול ה-AAA[עריכת קוד מקור | עריכה]

ניתן לחלק את הדרך בה שרתי רדיוס מנהלים גישה לרשתות לשני שלבים של החלפת אינפורמציה והוראות עם המשתמש באמצעות "פעולות AAA". השלב הראשון מכסה את אימות והרשאה המתרחש טרם כניסת המשתמש לרשת וקובע בעצם מיהו המשתמש ומהי הרשת אליה הוא מורשה להיכנס, והשני את ניטור ובקרת (מעין ראיית חשבון) המשתמש בזמן חיבורו. לכל שלב מוקדש תקן נפרד: RFC 2865 ו-RFC 2866 בהתאמה.

אימות והרשאה[עריכת קוד מקור | עריכה]

  1. המשתמש או המכשיר שולח בקשה לשרת גישה מרחוק (RAS - Remote Access Server) - למשל נתב אלחוטי - על מנת לקבל גישה למשאבי רשת מסוימים בעזרת אמצעי-הזיהוי (credentials) שלו. הבקשה מועברת בפרוטוקול שכבת קו כגון PPP עבור ספקי חיוג או DSL, או על ידי פרוטוקול גבוה יותר כמו דף אינטרנט מאובטח (באמצעות פרוטוקול HTTPS). השרת בתורו שולח בקשת גישה לשרת הרדיוס בה הוא מציג את אמצעי הזיהוי של המשתמש ומבקש לאמתם. אמצעים אלו יכולים להיות שם משתמש וסיסמה, או תעודה דיגיטלית החותמת את זהות המשתמש. אליהם יכולים להצטרף לבקשה פרטים נוספים אותם יודע השרת על המשתמש כגון נקודת החיבור הפיזית שלו לרשת, כתובת הרשת או מספר הטלפון שלו.
  2. שרת הרדיוס בודק את המידע שהתקבל באמצעות שיטות אימות כגון: פרוטוקול אימות סיסמה (PAP), פרוטוקול אימות אתגר (CHAP) או פרוטוקול אימות מורחב (EAP). כך ניתן לאמת את זהות המשתמש ובמקרה הצורך אף ניתן לקבל מידע נוסף הקשור לבקשה כפי שהוזכר קודם. לצורך כך זקוק השרת לבסיס נתונים של המשתמשים אשר לעומתו תתבצע השוואת פרטי המשתמש הנכנס. בעבר היה בסיס הנתונים מאוחסן מקומית על גבי השרת, אולם בשרתים מודרניים נהוג לפנות למאגרי נתונים חיצוניים כדוגמת שרתי LDAP ,Active Directory, או SQL. בסיס הנתונים יכול לכלול אישורי / מניעות גישה עבור שירותים ומשאבי רשת מסוימים. כך למשל, ייתכן שמשתמש כלשהו מורשה להיכנס לרשת האלחוטית של הארגון ויחד עם זאת אינו מורשה להשתמש בשירות ה-VPN.
  3. שרת הרדיוס משיב ל-RAS אחת משלוש תשובות: 1) דחייה, 2) אתגר, 3) קבלה. דחייה (Access Reject) פירושה מניעת כל גישה עבור המשתמש לרשת. היא יכולה לנבוע מאמצעי-זיהוי לא מספקים או חשבון משתמש שאינו פעיל. אתגר (Access Challenge) פירושו בקשת פרטים נוספים מהמשתמש כגון סיסמה נוספת או קוד (PIN), על מנת שיהיה ניתן לאמת את זהות המשתמש באמצעות מנגנוני אבטחה נוספים. שימוש נוסף בבקשת אתגר נעשה כאשר תהליך האימות מורכב יותר וכולל העברת מידע בערוץ ישיר ומאובטח בין המשתמש לשרת הרדיוס, באופן שבו אמצעי הזיהוי חבויים משרת ה-RAS. קבלה (Access Accept) פירושה שהמשתמש מאומת ומורשה, דהיינו, הוא אכן מי שהוא טוען שהוא (במובן זה שאמצעי הזיהוי שלו תואמים לחשבון המוגדר במערכת) ועל כן הוא רשאי לגשת למשאבים אותם הוא מבקש. כל אחת מהתשובות הנ"ל עשויה לכלול הסברים נוספים (attributes) עבור המשתמש כמו סיבת הדחייה, שאילתת אתגר או הודעת כניסה, המוצגים כדף אינטרנט. ההסברים הללו משותפים עם שרת ה-RAS לצורך עדכון פרטי המשתמשים. לדוגמה קבלה עשויה לכלול את הפרטים הבאים: כתובת IP או מאגר כתובות המוקצה למשתמש, משך הזמן בו מותר לו לשהות ברשת, פרמטרים ל-VLAN או QoS וכיוצא בזה.

חשבונאות[עריכת קוד מקור | עריכה]

במהלך חיבורו של המשתמש שולח שרת ה-RAS לשרת הרדיוס בקשות חשבונאות (Accounting requests) המכילות מידע על שימוש המשתמש ברשת. שרת הרדיוס מאשר את קבלתן באמצעות תשובות חשבונאות (Accounting responses). מעבר לאיסוף נתונים על המשתמש לצורכי סטטיסטיקה וניטור הרשת, ניתן גם לגבות ממנו תשלום עבור קבלת גישה לרשת, בהתאם לאופי והיקף השימוש בה.

  • כאשר מוענקת למשתמש גישה לרשת, שרת ה-RAS שולח לשרת הרדיוס רשומת התחל חשבונאות (Accounting Start) המודיעה על כניסתו של המשתמש לרשת. רשומת התחל חשבונאות כוללת בדרך-כלל את זהות המשתמש, כתובתו, נקודת התחברותו, ומזהה שיחה ייחודי (session id).
  • שרת ה-RAS עשוי לשלוח רשומות עדכון ביניים (Interim Update) המודיעות על מצב השיחה. רשומות אלו כוללות בדרך-כלל את משך החיבור הנוכחי וכן מידע על שימוש ותעבורת הנתונים של המשתמש.
  • לבסוף, כאשר נסגר חיבור המשתמש לרשת, שרת ה-RAS שולח לשרת הרדיוס רשומת עצור חשבונאות (Accounting Stop), המספקת מידע סופי על שימוש המשתמש ברשת: הזמן, סוגי הנתונים וחבילות המידע, סיבת הניתוק ונתונים נוספים אודות חיבור המשתמש.