RADIUS 協議
遠程身份驗證撥入用戶服務 (RADIUS) 是 RFC 2865“遠程身份驗證撥入用戶服務 (RADIUS)”和 RFC 2866“RADIUS 記帳”中描述的業界標準協議。RADIUS 用于提供身份驗證、授權和記帳服務。RADIUS 客戶端(通常為撥號服務器、VPN 服務器或無線訪問點)以 RADIUS 消息的形式向 RADIUS 服務器發送用戶憑據和連接參數信息。RADIUS 服務器對 RADIUS 客戶端請求進行身份驗證和授權,并發回 RADIUS 消息響應。RADIUS 客戶端也向 RADIUS 服務器發送 RADIUS 記帳消息。另外,RADIUS 標準支持使用 RADIUS 代理。RADIUS 代理是在啟用 RADIUS 的計算機之間轉發 RADIUS 消息的計算機。
RADIUS 消息作為用戶數據報協議 (UDP) 消息被發送。UDP 端口 1812 用于發送 RADIUS 身份驗證消息,UDP 端口 1813 用于發送 RADIUS 記帳消息。有些網絡訪問服務器可能會使用 UDP 端口 1645 發送 RADIUS 身份驗證消息,而使用 UDP 端口 1646 發送 RADIUS 記帳消息。默認情況下,IAS 支持接收發送到這兩個 UDP 端口的 RADIUS 消息。有關更改 IAS 所使用的 UDP 端口的信息,請參閱配置 IAS 端口信息.RADIUS 數據包的 UDP 負載中只包含一則 RADIUS 消息。
RFCs 2865 和 2866 定義了以下 RADIUS 消息類型:
| ? |
訪問 - 請求
由 RADIUS 客戶端發送請求對連接嘗試進行身份驗證和授權。
|
| ? |
訪問 - 接收
由 RADIUS 服務器發送,以響應“訪問 - 請求”消息。此消息通知 RADIUS 客戶端已對連接嘗試進行身份驗證和授權。
|
| ? |
訪問 - 拒絕
由 RADIUS 服務器發送,以響應“訪問 - 請求”消息。此消息通知 RADIUS 客戶端連接嘗試被拒絕。如果憑據未被驗證或連接嘗試未被授權,RADIUS 服務器將發送此消息。
|
| ? |
訪問 - 質詢
由 RADIUS 服務器發送,以響應“訪問 - 請求”消息。此消息是對需要響應的 RADIUS 客戶端的質詢。
|
| ? |
記帳 - 請求
由 RADIUS 客戶端發送,為接受的連接指定記帳信息。
|
| ? |
記帳 - 響應
由 RADIUS 服務器發送,以響應“記帳 - 請求”消息。此消息確認對記帳請求消息的成功接受和處理。
|
RADIUS 消息由一個 RADIUS 頭和零或多個 RADIUS 屬性組成。每個 RADIUS 屬性指定一則有關連接嘗試的信息。例如,存在用戶名稱、用戶密碼、用戶請求的服務類型和訪問服務器的 IP 地址的 RADIUS 屬性。RADIUS 屬性用于傳送 RADIUS 客戶端、RADIUS 代理和 RADIUS 服務器之間的信息。例如,“訪問 - 請求”消息中的屬性列表包含有關用戶憑據和連接嘗試的參數的信息。相反,“訪問 - 接受”消息包含有關可創建的連接類型、連接限制和特定供應商屬性 (VSA) 的信息。
注意
| ? |
您可以在 Windows Server?2003 Standard Edition 中配置 IAS,最多配置 50 個 RADIUS 客戶端和 2 個遠程 RADIUS 服務器組。您可以采用完全合格的域名或 IP 地址定義 RADIUS 客戶端,但不能通過指定 IP 地址范圍定義 RADIUS 客戶端組。如果將 RADIUS 客戶端的完全合格的域名解析為多個 IP 地址,則 IAS 服務器采用 DNS 查詢中返回的第一個 IP 地址。使用 Windows Server?2003 Enterprise Edition 和 Windows Server?2003 Datacenter Edition 中的 IAS,可以配置無限多個 RADIUS 客戶端和遠程 RADIUS 服務器組。另外,您可以通過指定 IP 地址范圍來配置 RADIUS 客戶端。
|