RADIUS

RADIUS (англ. Remote Authentication in Dial-In User Service) в протокол для реализации аутентификации, авторизации и сбора сведений об использованных ресурсах, разработанный для передачи сведений между центральной платформой и оборудованием. Этот протокол использовался для системы тарификации использованных ресурсов конкретным пользователем/абонентом. Центральная платформа и оборудование Dial-Up доступа (NAS ^[1] с системой автоматизированного учета услуг (биллинга),

RADIUS используется как протокол AAA:

• англ. Authentication в процесс, позволяющий аутентифицировать (проверить подлинность) субъекта по его идентификационным данным, например, по логину (имя пользователя, номер телефона и т. д.) и паролю.
• англ. Authorization в процесс, определяющий полномочия идентифицированного субъекта на доступ к определённым объектам или сервисам.
• англ. Accounting в процесс, позволяющий вести сбор сведений (учётных данных) об использованных ресурсах. Первичными данными (то есть, традиционно передаваемых по протоколу RADIUS) являются величины входящего и исходящего трафиков: в байтах/октетах (с недавних пор в гигабайтах). Однако протокол предусматривает передачу данных любого типа, что реализуется посредством VSA (Vendor Specific Attributes).

[править] История

Протокол RADIUS был разработан Карлом Ригни (Carl Rigney) в фирме Livingston Enterprises для их серверов доступа (Network Access Server) серии PortMaster к сети интернет, и позже, в 1997, был опубликован как RFC 2058 и RFC 2059 (текущие версии RFC 2865 и RFC 2866). На данный момент существует несколько коммерческих и свободно распространяемых (open-source) RADIUS-серверов. Они несколько отличаются друг от друга по своим возможностям, но большинство поддерживает списки пользователей в текстовых файлах, LDAP, различных базах данных. Учетные записи пользователей могут храниться в текстовых файлах, различных базах данных, или на внешних серверах. Часто для удаленного мониторинга используется SNMP. Существуют прокси-серверы (proxy/forwarding) для RADIUS, упрощающие централизованное администрирование и/или позволяющие реализовать концепцию интернет-роуминга (internet roaming). Они могут изменять содержимое RADIUS-пакета на лету (в целях безопасности или для выполнения преобразования между диалектами). Популярность RADIUS-протокола, во многом объясняется: открытостью к наполнению новой функциональностью при сохранении работоспособности с устаревающим оборудованием, чрезвычайно высокой реактивностью при обработке запросов ввиду использования UDP в качестве транспорта пакетов, а также хорошо параллелизуемым алгоритмом обработки запросов; способностью функционировать в кластерных (Cluster) архитектурах (например OpenVMS) и мультипроцессорных (SMP) платформах (DEC Alpha, HP Integrity) в как с целью повышения производительности, так и для реализации отказоустойчивости.

В настоящее время (с середины 2003-го года) разрабатывается протокол DIAMETER (текущие версии RFC 3588 и RFC 3589), который призван заменить RADIUS, оставшись обратно совместимым с ним.

[править] Возможности

Будучи частью биллинговой системы RADIUS-сервер является интерфейсом взаимодействия c телекоммуникационной системой/сервером (например маршрутизатором или коммутатором) и может реализовывать для такой системы следующие сервисы:

[править] Общие

• Создание и хранение учётных записей пользователей (абонентов)
• Управление учётной записью пользователя (абонента) из персонального интерфейса (например веб-кабинета)
• Создание карточек доступа (логин/PIN-код) для предоставления услуг, с некоторым лимитом действия (Dial-Up доступа в Интернет и карточной IP-телефонии)
• Ручная и автоматическая блокировка учётной записи абонента по достижению заданного критерия или лимита
• Сбор и анализ статистической информации о сессиях пользователя и всей обслуживаемой системы (в т.ч. CDRов)
• Создание отчётов по различным статистическим параметрам
• Создание, печать и отправка счетов к оплате
• Аутентификация всех запросов в RADIUS-сервер из обслуживаемой системы (поле Secret)

[править] Аутентификация

• Проверка учётных данных пользователя (в т.ч. шифрованных) по запросу обслуживаемой системы

[править] Авторизация

• Выдача состояния блокировки учётной записи пользователя
• Выдача разрешения к той или иной услуге
• Сортировка данных на основе анализа статистической информации (например динамическая маршрутизация) и выдача результата сортировки по запросу

[править] Учёт (Accounting)

• Онлайн-учёт средств абонента: уведомления о начале и конце сессии со стороны обслуживаемой системы
• Промежуточные сообщения о продолжении сессии (Interim-пакеты)
• Автоматическое принудительное завершение действия сессии на обслуживаемой системе в рамках услуги (packet of disconnection)
• BOOT message - специальный пакет, который отправляется телекоммуникационной системой на RADIUS-сервер при запуске (перезапуске) системы, с целью принудительного завершения всех сессий

[править] Стандарты

Определён в

• RFC 2865 Remote Authentication Dial In User Service (RADIUS)
• RFC 2866 RADIUS Accounting

Также имеет отношение к

• RFC 2548 Microsoft Vendor-specific RADIUS Attributes
• RFC 2607 Proxy Chaining and Policy Implementation in Roaming
• RFC 2618 RADIUS Authentication Client MIB
• RFC 2619 RADIUS Authentication Server MIB
• RFC 2620 RADIUS Accounting Client MIB
• RFC 2621 RADIUS Accounting Server MIB
• RFC 2809 Implementation of L2TP Compulsory Tunneling via RADIUS
• RFC 2867 RADIUS Accounting Modifications for Tunnel Protocol Support
• RFC 2868 RADIUS Attributes for Tunnel Protocol Support
• RFC 2869 RADIUS Extensions
• RFC 2882 Network Access Servers Requirements: Extended RADIUS Practices
• RFC 3162 RADIUS and IPv6
• RFC 3575 IANA Considerations for RADIUS
• RFC 3576 Dynamic Authorization Extensions to RADIUS
• RFC 4672 RADIUS Dynamic Authorization Client MIB
• RFC 4673 RADIUS Dynamic Authorization Server MIB
• RFC 3579 RADIUS Support for EAP
• RFC 3580 IEEE 802.1X RADIUS Usage Guidelines
• RFC 4014 RADIUS Attributes Suboption for the DHCP Relay Agent Information Option

[править] Биллинговые системы

Всего насчитывается свыше трёх десятков реализаций RADIUS-серверов, для всего многообразия операционных систем и платформ. Ниже приведены наиболее популярные современные сервера RADIUS.

• FreeRADIUS в бесплатный, под UNIX/Linux
• OpenRADIUS в бесплатный, под UNIX/Linux
• GNU RADIUS в бесплатный, под UNIX/Linux
• ClearBox Enterprise RADIUS Server в платные и бесплатные версии (для Windows!)
• VCS: VOIP Carrier Suite (BillBerry) от JeraSoft в международный коммерческий
• UTM5 ISP Billing от компании NetUp в российский коммерческий, под UNIX/Linux/MS Windows, сертифицирован
• LANBilling в российский коммерческий, сертифицированный

[править] См. также

• DIAMETER
• TACACS
• TACACS+
• PPP
• EAP
• LDAP
• FreeRADIUS
• Prepaid и postpaid

[править] Примечания

Основные протоколы TCP/IP по уровням модели OSI (Список портов TCP и UDP)
Физический	Ethernet RS-232 EIA-422 RS-449 RS-485
Канальный	Ethernet PPPoE PPP L2F 802.11 Wi-Fi 802.16 WiMax Token ring ARCNET FDDI HDLC SLIP ATM DTM X.25 Frame relay SMDS STP
Сетевой	IPv4 IPv6 IPsec ICMP IGMP ARP RARP RIP2 OSPF
Транспортный	TCP UDP SCTP DCCP RUDP RTP GRE
Сеансовый	ADSP H.245 iSNS NetBIOS PAP RPC L2TP PPTP RTCP SMPP SCP SSH ZIP SDP
Представления	XDR SSL TLS
Прикладной	BGP HTTP HTTPS DHCP IRC SNMP DNS DNSSEC NNTP XMPP SIP IPP NTP SNTP Электронная почта (SMTP POP3 IMAP4) Передача файлов (FTP TFTP SFTP) Удалённый доступ (rlogin Telnet RDP)
Другие прикладные	OSCAR CDDB Multicast FTP Multisource FTP BitTorrent Gnutella Skype