Для поддержки процесса аутентификации и аудита сервер удаленного доступа и сервер защиты RADIUS обмениваются четырьмя типами пакетов:
Access-Request - запрос доступа;
Access-Accept – подтверждение доступа;
Access-Reject – отказ доступа;
Access-Challenge - доступ-вызов.
Рассмотрим этапы взаимодействия сервера сетевого доступа и сервера защиты RADIUS.
1. Пользователь посылает запрос на соединение PPP к серверу сетевого доступа.
2. Сервер сетевого доступа запрашивает у пользователя имя и пароль.
3. Сервер сетевого доступа посылает серверу защиты RADIUS пакет Access-Request с именем пользователя, зашифрованным паролем и атрибутами.
4. Сервер защиты RADIUS выполняет аутентификацию пользователя, устанавливает параметры авторизации и выдает один из ответов:
Access-Accept – положительная аутентификация.
Access-Reject – отрицательная аутентификация. Либо запрашивается другой пароль, либо запрещается доступ.
Access-Challenge – требуется посылка дополнительных данных о пользователе.
5. Сервер сетевого доступа разрешает использовать службы на основе результатов аутентификации.
|
|
6. Сервер защиты RADIUS периодически посылает Access-Challenge для повторного ввода пароля пользователем или проверки состояния сервера сетевого доступа.
Аудит RADIUS
Протокол RADIUS обеспечивает доставку информации аудита от сервера сетевого доступа к серверу защиты RADIUS через UDP-порт 1813. Для этого используется пакет Accounting-Request (аудит-запрос) с соответствующим набором пар "атрибут/значение".
Сервер защиты RADIUS принимает запрос и отвечает пакетом типа Accounting-Response (аудит-ответ).
Рассмотрим этапы взаимодействия сервера сетевого доступа и сервера защиты RADIUS.
1. После завершения процесса аутентификации сервер удаленного доступа посылает серверу защиты старт-пакет Accounting-Request.
2. Сервер защиты подтверждает получение старт-пакета, отправляя пакет Accounting-Response.
3. После окончания использования ресурса, сервер удаленного доступа посылает серверу защиты стоп-пакет Accounting-Request.
4. Сервер защиты подтверждает получение стоп-пакета, отправляя пакет Accounting-Response.
Настройка ААА