RADIUS 協(xié)議
遠程身份驗證撥入用戶服務 (RADIUS) 是 RFC 2865“遠程身份驗證撥入用戶服務 (RADIUS)”和 RFC 2866“RADIUS 記帳”中描述的業(yè)界標準協(xié)議��。RADIUS 用于提供身份驗證��、授權(quán)和記帳服務�����。RADIUS 客戶端(通常為撥號服務器、VPN 服務器或無線訪問點)以 RADIUS 消息的形式向 RADIUS 服務器發(fā)送用戶憑據(jù)和連接參數(shù)信息���。RADIUS 服務器對 RADIUS 客戶端請求進行身份驗證和授權(quán),并發(fā)回 RADIUS 消息響應���。RADIUS 客戶端也向 RADIUS 服務器發(fā)送 RADIUS 記帳消息。另外�����,RADIUS 標準支持使用 RADIUS 代理�����。RADIUS 代理是在啟用 RADIUS 的計算機之間轉(zhuǎn)發(fā) RADIUS 消息的計算機��。
RADIUS 消息作為用戶數(shù)據(jù)報協(xié)議 (UDP) 消息被發(fā)送。UDP 端口 1812 用于發(fā)送 RADIUS 身份驗證消息,UDP 端口 1813 用于發(fā)送 RADIUS 記帳消息�����。有些網(wǎng)絡訪問服務器可能會使用 UDP 端口 1645 發(fā)送 RADIUS 身份驗證消息,而使用 UDP 端口 1646 發(fā)送 RADIUS 記帳消息�����。默認情況下���,IAS 支持接收發(fā)送到這兩個 UDP 端口的 RADIUS 消息�����。有關(guān)更改 IAS 所使用的 UDP 端口的信息,請參閱配置 IAS 端口信息.RADIUS 數(shù)據(jù)包的 UDP 負載中只包含一則 RADIUS 消息�����。
RFCs 2865 和 2866 定義了以下 RADIUS 消息類型:
| ? |
訪問 - 請求
由 RADIUS 客戶端發(fā)送請求對連接嘗試進行身份驗證和授權(quán)�����。
|
| ? |
訪問 - 接收
由 RADIUS 服務器發(fā)送���,以響應“訪問 - 請求”消息�����。此消息通知 RADIUS 客戶端已對連接嘗試進行身份驗證和授權(quán)。
|
| ? |
訪問 - 拒絕
由 RADIUS 服務器發(fā)送,以響應“訪問 - 請求”消息。此消息通知 RADIUS 客戶端連接嘗試被拒絕���。如果憑據(jù)未被驗證或連接嘗試未被授權(quán),RADIUS 服務器將發(fā)送此消息。
|
| ? |
訪問 - 質(zhì)詢
由 RADIUS 服務器發(fā)送���,以響應“訪問 - 請求”消息。此消息是對需要響應的 RADIUS 客戶端的質(zhì)詢。
|
| ? |
記帳 - 請求
由 RADIUS 客戶端發(fā)送���,為接受的連接指定記帳信息。
|
| ? |
記帳 - 響應
由 RADIUS 服務器發(fā)送,以響應“記帳 - 請求”消息���。此消息確認對記帳請求消息的成功接受和處理�����。
|
RADIUS 消息由一個 RADIUS 頭和零或多個 RADIUS 屬性組成��。每個 RADIUS 屬性指定一則有關(guān)連接嘗試的信息。例如,存在用戶名稱�����、用戶密碼��、用戶請求的服務類型和訪問服務器的 IP 地址的 RADIUS 屬性���。RADIUS 屬性用于傳送 RADIUS 客戶端���、RADIUS 代理和 RADIUS 服務器之間的信息��。例如,“訪問 - 請求”消息中的屬性列表包含有關(guān)用戶憑據(jù)和連接嘗試的參數(shù)的信息�����。相反��,“訪問 - 接受”消息包含有關(guān)可創(chuàng)建的連接類型���、連接限制和特定供應商屬性 (VSA) 的信息�����。
注意
| ? |
您可以在 Windows Server?2003 Standard Edition 中配置 IAS,最多配置 50 個 RADIUS 客戶端和 2 個遠程 RADIUS 服務器組��。您可以采用完全合格的域名或 IP 地址定義 RADIUS 客戶端���,但不能通過指定 IP 地址范圍定義 RADIUS 客戶端組��。如果將 RADIUS 客戶端的完全合格的域名解析為多個 IP 地址��,則 IAS 服務器采用 DNS 查詢中返回的第一個 IP 地址。使用 Windows Server?2003 Enterprise Edition 和 Windows Server?2003 Datacenter Edition 中的 IAS���,可以配置無限多個 RADIUS 客戶端和遠程 RADIUS 服務器組。另外�����,您可以通過指定 IP 地址范圍來配置 RADIUS 客戶端��。
|