عنوان
|
نويسنده
|
مشاهده
|
RADIUS و IAS |
مديريت آموزش |
14180 |
با توجه به جایگاه داده در عصر حاضر و لزوم نگاه جامع به این مقوله مهم ، بر آن شدیم تا محوریت فعالیت های خود را بر روی این موضوع متمرکز نمائیم . از این رو گروه فابک با شعار فناوری اطلاعات برای کسب وکار شکل گرفت و خدمات خود را از طریق سایت www.fabak.ir به مخاطبان محترم عرضه می نماید
 |
RADIUS و IAS
RADIUS و IAS
ارائه دهندگان سرويس اينترنت (
ISPs ) و ساير شركت های بزرگ همواره با اين چالش جدی مواجه هستند كه چگونه
انواع دستيابی به شبكه و accounting را از يك نقطه
صرفنظر از نوع تجهيزات استفاده شده برای دستيابی به شبكه ، مديريت نمايند .
با اين كه برخی سيستم های عامل دارای امكانات خاصی در اين رابطه می باشند ، در اغلب
شركت های بزرگ می بايست از يك زيرساخت اختصاصی برای تائيد و مديريت دستيابی به شبكه
استفاده گردد .
پروتكل RADIUS ( برگرفته شده از Remote
Authentication Dial-In User Service ) ، استانداردی برای طراحی و
پياده سازی سرويس دهندگانی است كه مسئوليت تائيد و مديريت كاربران را برعهده خواهند
گرفت.مشخصات و نحوه عملكرد پروتكل RADIUS در
RFC 2865 و RFC 2866 تعريف
شده است .
پروتكل RADIUS از يك معماری سرويس گيرنده - سرويس دهنده
برای تائيد و accounting استفاده می نمايد . پروتكل فوق
اطلاعات accounting ، پيكربندی ، تائيد و مجوزها
را بين يك سرويس گيرنده RADIUS و يك سرويس دهنده
RADIUS حمل می نمايد . سرويس گيرنده
RADIUS می تواند يك سرويس دهنده دستيابی شبكه (
NAS ، برگرفته شده از network access server ) و يا هر
نوع دستگاه مشابه ديگری باشد كه نيازمند تائيد و
accounting است .
همانگونه كه اشاره گرديد NAS به عنوان يك سرويس گيرنده
RADIUS عمل می نمايد . سرويس گيرنده مسئول ارسال اطلاعات
كاربر برای سرويس دهنده RADIUS است تا بر اساس
نتايج برگردانده شده توسط سرويس دهنده ، در خصوص كاربر تعيين تكليف گردد . سرويس
دهندگان RADIUS مسئول دريافت درخواست ارتباط كاربر ،
تائيد وی و ارسال اطلاعات پيكربندی مورد نياز برای سرويس گيرنده به منظور عرضه
سرويس به كاربر می باشند . يك سرويس دهنده RADIUS می
تواند به عنوان يك سرويس گيرنده پراكسی به ساير سرويس دهندگان
RADIUS و يا ساير سرويس دهندگان تائيد نيز عمل نمايد .
سرويس گيرندگان RADIUS از طريق پورت های 1812 و 1813
پروتكل حمل UDP ( برگرفته شده از User Datagram Protocol
) با يك سرويس دهنده RADIUS ارتباط برقرار می نمايند .
در نسخه های اوليه پروتكل RADIUS از پورت های 1646 و
1645 پروتكل UDP استفاده می گرديد . پروتكل
RADIUS از پروتكل حمل TCP (
برگرفته شده از Transmission Control Protocol ) حمايت نمی نمايد .
RADIUS
و سرويس دهنده IAS
با استفاده از پروتكل RADIUS می توان
دستگاهی نظير يك NAS را بگونه ای پيكربندی نمود تا يك
كاربر را برای استفاده از يك سرويس خاص تائيد نمايد . به عنوان نمونه ، يك
ISP می بايست كاربر يك پورت شبكه
dial-in را تائيد نمايد تا اين اطمينان ايجاد گردد كه وی مجاز به
استفاده از پورت مورد نظر می باشد . در چنين مواردی لازم است كه
NAS اطلاعات مورد نياز برای اين ارتباط را دريافت نمايد . اطلاعات فوق توسط
يك سرويس دهنده RADIUS در اختيار وی گذاشته می شود . پس
از ايجاد ارتباط ، دستگاه NAS ممكن است در صورت نياز
اطلاعات accounting را به منظور اهداف مالی و شارژ كاربر
تامين و ارائه نمايد .
شكل 1 نحوه تعامل بين يك سرويس گيرنده
RADIUS ( نظير يك دستگاه NAS
) و يك سرويس دهنده RADIUS ( نظير Internet
Authentication Service ) را نشان می دهد .
شكل 1 : نحوه ارتباط بين يك سرويس دهنده و سرويس گيرنده
RADIUS
به منظور حمايت از معماری های پيچيده تر شبكه ، می
توان از يك RADIUS Proxy استفاده نمود كه اطلاعات
RADIUS را از يك سرويس گيرنده RADIUS
دريافت و آن را برای يك سرويس دهنده RADIUS رله می
نمايد . پاسخ سرويس دهنده RADIUS از طريق
RADIUS proxy ارسال می گردد .در چنين مواردی اطلاعات
مربوط به تائيد و مجوزها می تواند با استفاده از يك RADIUS
proxy ارسال گردد .
شكل 2 نحوه عملكرد RADIUS proxy را نشان می دهد .

شكل 2 : نحوه عملكرد RADIUS proxy
در ويندوز 2003 ( نسخه های سرويس دهنده ) ،
IAS ( برگرفته شده از Internet Authentication
Service ) مطابق استاندارد تعريف شده در RFC 2865
و RFC 2866 به عنوان يك سرويس دهنده
RADIUS و پراكسی پياده سازی شده است . در نسخه های سرويس دهنده ويندوز 2000
، شركت مايكروسافت صرفا" ويژگی سرويس دهنده RADIUS را
پياده سازی كرده بود . علاوه بر اين ، در نسخه های سرويس دهنده ويندوز 2003 كه بر
روی آنها سرويس RRAS ( برگرفته شده از Routing and
Remote Access service) اجراء شده است را می توان به عنوان يك سرويس گيرنده
RADIUS پيكربندی كرد . بدين ترتيب امكان تائيد سرويس
گيرندگان dial-in و يا VPN (
برگرفته شده از Virtual Private Networks ) از طريق يك سرويس دهنده
RADIUS فراهم می گردد .
عناصر سرويس دهنده RADIUS در IAS
قادر به تائيد درخواست های سرويس گيرندگان RADIUS
از طريق يك بانك اطلاعاتی محلی و يا اكتيو دايركتوری می باشند .
IAS جزئيات اطلاعات accounting ارائه شده توسط
سرويس گيرنده RADIUS را در يك فايل متن و يا يك بانك
اطلاعاتی رابطه ای ذخيره می نمايد . ويژگی RADIUS proxy
تعبيه شده در IAS قادر به ارسال پيام های تائيد و
accounting برای ساير سرويس دهندگان
RADIUS می باشد .
پيكربندی IAS را می توان بگونه ای انجام داد كه وی قادر
به انجام فرآيند تائيد و عمليات مربوط به accounting
باشد . همچنين می توان سرويس گيرندگان RADIUS و يا
RADIUS Proxy را به منظور استفاده از سرويس دهندگان
اضافی پيكربندی نمود .
IAS امكان دستيابی به اطلاعات
accounting كاربران ، نگهداری شده بر روی سرويس دهنده
IAS و يا يك كنترل كننده domain را دارد (
در صورتی كه سرويس دهنده IAS عضوی از يك
domain باشد ).
تراكنش های دستيابی و accounting بين سرويس گيرنده و
سرويس دهنده با استفاده از يك رمز محرمانه به اشتراك گذاشته شده صورت می پذيرد .
رمز فوق هرگز بر روی شبكه ارسال نخواهد شد و از آن به همراه فيلد تائيد كننده و به
منظور ارائه يك سطح امنيتی مناسب بر روی پيام های RADIUS استفاده
می گردد . در صورت نياز به يك سطح بالاتر امنيتی ، سرويس دهنده و سرويس گيرنده
RADIUS می توانند از IPSec
برای رمزنگاری پيام های RADIUS استفاده نمايند (
اين موضوع خارج از حوزه پروتكل RADIUS می باشد ) .