ccna90

Remote Authentication Dial-In User Service) RADIUS)

 

  Remote Authentication Dial-In User Service) RADIUS)

در شبکه های بزرگ و پیچیده با توجه به راه اندازي سرويس هاي مختلف، زیاد شدن تعداد Data Base های کاربران و اعمال سياست هاي متنوع برای دسترسي افراد به منابع مختلف بدون شک شاهد افزايش تعداد سرورهاي شبكه خواهیم بود. بگونه ای که پس از مدتي برای اضافه كردن كاربران جديد، نياز به تعريف آنها در چندین سرور مختلف خواهد بود.

با GPO می توان Policy هایی برای  Userها و کامپیوترها تعریف کرد. اما در اینجا این سوال مطرح می گردد که آیا می توان برای Userهایی که ممکن است با هر سیستمی از طریق کابل و یا بصورت Wireless به شبکه متصل می شوند،(درصورت وجود چندین Access point ) احراز هویت را انجام داد؟ آیا می توان به آنها Policy اعمال کرد؟

جهت شرکت در دوره های آموزشی MCSA و MCSE، علاقه مندان میتوانند به صفحه آموزش دوره های تخصصی شبکه های مایکروسافت رجوع کنند.

پراكندگي موجود در این شبکه ها و لزوم اعمال Policy هاي متمركز ، باعث شد تا مديران شبكه تدابيري مؤثرتری را انتخاب کنند. يكي از اين تدابير تعريف و پياده سازي RADIUS است.

RADIUS مخفف کلمه ( Remote Authentication Dial-In User Service ) ،يك پروتكل ارتباطي با ساختار Client-Server است و عملیات های مختلفی از جمله احراز هویت یا Authentication ، تعیین حدود دسترسی یا Authorization و حسابرسی کاربران یا Accounting را انجام می دهد و در سیستم عامل های مختلف وجود دارد و به روش های مختلف و با استفاده از نرم افزارهای زیادی قابل پیاده سازی است.

در ویندوز سرورهای Microsoft از ویندوز سرور 2008 به بالا با عنوان NPS شناخته می شود. Network Policy Server ) NPS ) يكي از اجزاي شبكه‌بندي ويندوز سرور است که برای امنیت کاربران با ایجاد policy امکان تأييد اعتبار درخواست اتصال و مجوز درخواست اتصال به شبكه را فراهم مي‌كند. در صورت وجود چندین RAS server یا (Remote access service) می توان با ایجاد RADIUS Server از طریق NPS ، کار Authentication همه این سرورها و Access point ها را در RADIUS Server با امنیت بالاتر و تنظیمات بیشتر انجام داد.

در شبکه ای که چندین RAS Server  وجود دارد انجام همه عملیات های احراز هویت توسط سرورها منطقی بنظر نمی رسد. در چنین حالتی برای متمرکز سازی عملیات های احراز هویت از NPS یا RADIUS  مایکروسافتی استفاده می شود.

به تجهیزات یا سرویس هایی که عملیات احراز هویت خود را به RADIUS واگذار می کنند در اصطلاح RADIUS Client گفته می شود البته منظور از Client در اینجا Client های ساده ای در که در شبکه User ها با آن کار می کنند، نیست.بلکه منظورAccess Server Network ها یا (NAS) هایی هستند که چندین Client معمولی (User عادی) به آنها متصل می شوند، مانند Dial-up server ، VPN server ،Wireless access point server. عملیات احرازهویت از Client ها در تمام این سرورها به تنهایی انجام می شود،اما این عملیات سه گانه با RADIUS server بصورت متمرکز انجام می گیرد. در RADIUS Server ، عملیات احرازهویت به کمک  Active directory  انجام می پذیرد.

جهت شرکت در دوره های آموزشی MCSA و MCSE، علاقه مندان میتوانند به صفحه آموزش دوره های تخصصی شبکه های مایکروسافت رجوع کنند.

به سرور هایی که در بالا به عنوان RADIUS Client  یاد شدند، Access server نیز می گویند که پیام درخواست ارتباط را از کلاینت ها (Access clients) دریافت می کنند.

وقتی که از NPS به عنوان RADIUS Server  استفاده می کنید،پیام درخواست های AAA از طریق Access server ها برای تمام RADIUS Clientها در شبکه ایجاد می شود.

این  Access serverها برای Authentication , Authorization و Accounting کانفیگ شده اند تا بتواننداز RADIUS استفاده کنند، این Server ها پیام درخواست دسترسی (Access-request message) را ساخته و به RADIUS  سرور می فرستند.

RADIUS Server پس از دریافت پیام درخواست آن را بررسی کرده و در صورت نیاز برای اطمینان از پیام دریافتی، یک پیام Access-Challenge به Access serverمی فرستد

 Access serverاین پیام را پردازش کرده و پیام updated Access-Request را به  RADIUS Serverارسال می کند.

در ادامه RADIUS Server از طریق ارتباطی امن اطلاعات امنیتی کاربر (user credential) و اطلاعات سربرگ Dial-in در properties را در  domain controllerبررسی می کند و درخواست ارتباط براساس سربرگ Dial-in کاربر و network policies ،احراز هویت می شود.

اگر این درخواست ارتباط در دو مرحله ی Authorize و Authenticate تایید شود ،آنگاه RADIUS Server پیام Access-Accept را به Access server ارسال می کند و اگر احراز هویت نشود ، RADIUS Server پیام Access-Reject را به  Access serverارسال می کند.

در این فرآیند Access server ارتباط با کلاینت را کامل کرده و پیام Accounting-Request را به RADIUS Server می فرستد ،توجه داشته باشید که  Access serverهمیشه این پیام را در زمانی که کلاینت با سرور در ارتباط بوده و یا نبوده است و یا زمانی کهAccess server  شروع بکار کرده و یا stop بوده است برای RADIUS Server ارسال می کند.

در ادامه این فرآیند RADIUS Server پیام Accounting-Response را به Access server ارسال می کند.

RADIUS  امكان گرد آوري اطلاعات كاربران شبكه را با Database مركزي فراهم مي آورد و اين Database بين سرورهاي دسترسي راه دور به اشتراك گذاشته می شود.

جهت شرکت در دوره های آموزشی MCSA و MCSE، علاقه مندان میتوانند به صفحه آموزش دوره های تخصصی شبکه های مایکروسافت رجوع کنند.

  RADIUS Server در شبکه ی Wireless

در شبکه های  Wirelessبرای اتصال به شبکه از کاربر رمز عبور شبکه پرسیده می شود و این رمز به صورت مستقیم از روی Access Point شبکه Wireless قابل تنظیم است و البته بسیار آسیب پذیر می باشد و از این طریق ممکن است امنیت شبکه Wireless براحتی توسط یک نفوذگر شکسته شود.

با استفاده از RADIUS Server می توان امنیت شبکه Wireless را تضمین نمود به این صورت که با استفاده از RADIUS می توانیم برای User ها نام کاربری و رمز ورود تعریف کنید و هنگامی که یک User ها بخواهند به شبکه Wireless متصل شوند از آنها نام کاربری و رمز ورود پرسیده می شود.

 در این روش هیچ رمز ورودی بر روی Access Point تنظیم نمی شود و امنیت Access Point روی WPA Enterprise  یا WPA Radius تنظیم می شود و IP آدرس،RADIUS Server را داخل Access Point قرار می گیرد و هنگامی که User ها درخواست اتصال به شبکه را داشته باشند Access Point این درخواست را به RADIUS Server هدایت خواهد کرد و اگر نام کاربری و رمز عبور صحیح باشد Server اجازه اتصال کاربر به Access Point یا شبکه وایرلس را صادر می کند.

 

 آکادمی تخصصی شبکه و امنیت ITperfection

جهت دسترسی به اطلاعات بیشتر میتوانید به صفحه بلاگ آیتی پرفکشن مراجعه کنید.

آیتی پرفکشن تهیه کننده و ارایه دهنده دوره های تخصصی شبکه و امنیت میباشد. از دانشجویان عزیز دعوت میشود جهت شرکت در دوره های آموزشی شبکه و امنیت به صفحه دوره های آموزشی مراجعه کنند.

جهت شرکت در دوره های آموزشی سیسکو به صفحه دوره سیسکو مراجعه کنید.

جهت شرکت در دوره های آموزشی MCSA و MCSE، علاقه مندان میتوانند به صفحه آموزش دوره های تخصصی شبکه های مایکروسافت رجوع کنند.

0 پاسخ به "Remote Authentication Dial-In User Service) RADIUS)"

    ارسال یک پیغام

    نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

    6 + یازده =

    کپی رایت آکادمی ITperfection.