You are on page 1of 11

Remote Authentication Dial In User Service (RADIUS) is an AAA (authentication,

authorization and accounting) protocol for applications such as network access or IP


mobility. It is intended to work in both local and roaming situations.

Many networks services (including corporate networks and public ISPs using modem,
DSL, or wireless 802.11 technologies) require you to present security credentials (such as
a username and password or security certificate) in order to connect on to the network.
Before access to the network is granted, this information is passed to a Network Access
Server (NAS) device over the link-layer protocol (for example, Point-to-Point Protocol
(PPP) in the case of many dialup or DSL providers), then to a RADIUS server over the
RADIUS protocol. The RADIUS server checks that the information is correct using
authentication schemes like PAP, CHAP or EAP. If accepted, the server will then indicate
to the NAS that you are authoried to access the network. RADIUS also allows the
authentication server to supply the NAS with additional parameters, such as

• The specific IP address to be assigned to the user


• The address pool from which the user's IP should be chosen
• The maximum length that the user may remain connected
• An access list, priority queue or other restrictions on a user's access
• L2TP parameters
• etc

In general, the RADIUS protocol does not transmit passwords in cleartext between the
NAS and RADIUS server, but in hidden, using a rather complex operation instead, which
involves MD5 hashing and shared secret, as described in references.

RADIUS is also commonly used for accounting purposes. The NAS can use RADIUS
accounting packets to notify the RADIUS server of events such as

• The user's session start


• The user's session end
• Total packets transferred during the session
• Volume of data transferred during the session
• Reason for session ending

The primary purpose of this data is so that the user can be billed accordingly; the data is
also commonly used for statistical purposes and for general network monitoring.

Additionally RADIUS is widely used by VoIP service providers. It is used to pass login
credentials of a SIP end point (like a broadband phone) to a SIP Registrar using digest
authentication, and then to RADIUS server using RADIUS. Sometimes it is also used to
collect call detail records (CDRs) later used, for instance, to bill customers for
international long distance.

RADIUS was originally specified in an RFI by Merit Network in 1991 to control dial-in
access to NSFnet. Livingston Enterprises responded to the RFI with a description of a
RADIUS server. Merit Network awarded the contract to Livingston Enterprises that
delivered their PortMaster series of Network Access Servers and the initial RADIUS
server to Merit. RADIUS was later (1997) published as RFC 2058 and RFC 2059
(current versions are RFC 2865 and RFC 2866). Now, several commercial and open-
source RADIUS servers exist. Features can vary, but most can look up the users in text
files, LDAP servers, various databases, etc. Accounting records can be written to text
files, various databases, forwarded to external servers, etc. SNMP is often used for
remote monitoring. RADIUS proxy servers are used for centralized administration and
can rewrite RADIUS packets on the fly (for security reasons, or to convert between
vendor dialects).

RADIUS is a common authentication protocol utilized by the 802.1X security standard


(often used in wireless networks). Although RADIUS was not initially intended to be a
wireless security authentication method, it improves the WEP encryption key standard, in
conjunction with other security methods such as EAP-PEAP.

RADIUS is extensible; many vendors of RADIUS hardware and software implement


their own variants using Vendor-Specific Attributes (VSAs).

RADIUS uses UDP ports 1812 or 1645 for Authentication and 1813 or 1646 for
Accounting. For example, Microsoft RADIUS servers default to the higher ports but
Cisco devices default to the lower ports. Juniper Networks' RADIUS servers also defaults
to the lower ports. The official IETF port number assignment is the higher port numbers
1812 and 1813.

The DIAMETER protocol is the planned replacement for RADIUS. DIAMETER uses
SCTP or TCP while RADIUS uses UDP as the transport layer.

Remote Authentication Dial-In User Service (RADIUS) is a client/server protocol and


software that enables remote access servers to communicate with a central server to
authenticate dial-in users and authorize their access to the requested system or service.
RADIUS allows a company to maintain user profiles in a central database that all remote
servers can share. It provides better security, allowing a company to set up a policy that
can be applied at a single administered network point. Having a central service also
means that it's easier to track usage for billing and for keeping network statistics. Created
by Livingston (now owned by Lucent), RADIUS is a de facto industry standard used by a
number of network product companies and is a proposed IETF standard.
1.3 Cài đặt và cấu hình một Authentication Server

Microsoft sử dụng một authentication server riêng như Internet Authentication Service 
(IAS) cho mục đích xác nhận. Ngoài nhiệm vụ chính là cung cấp một dịch vụ thẩm định 
trung tâm, IAS cũng cung cấp quyền hạn và account cho remote VPN clients. IAS dùng 
giao thức RADIUS để quản lý tập trung tất cả các yêu cầu từ xa gửi đến bất chấp nền của 
client hay môi trường mạng. 

Thuận lợi chính của việc triển khai IAS servers là nó cung cấp dịch vụ quản lý tập trung 
cho nhiều remote access servers. Theo cách này, một remote access server, như  một VPN 
server chẳng hạn, bớt căng thẳng hơn trong nhiệm vụ thẩm định người dùng. 

Các đặt điểm của IAS

Microsoft IAS đưa ra nhiều đặc điểm cho việc triển khai cơ sở hạ tầng của thẩm định 
quyền, quyền hạn, trương mục được đơn giản và dễ dàng hơn. Một số đặc điểm quan 
trọng của IAS bao gồm: 

• Centralized authentication of remote requests. 
• Centralized authorization of remote requests. 
• Centralized accounting of resource usage. 
• Integration with Windows 2000 RRAS. 
• Control of outsourced dialing. 
• Simpler administration. 
• Scalability and extendibility. 

Cấu hình và cài đặt một IAS

Lần lượt theo các bước sau: 

1. Chọn Start, Programs, Administrative Tools, Routing and Remote Access để mở 
Microsoft Management Console (MMC). 
2. Ở cây console (khung bên trái), nhấp chuột phải vào server mà bạn muốn cấu hình 
RADIUS authentication. Một menu tắt xuất hiện. Chọn Properties để mở bảng 
server's Property. 
3. Hoạt hóa tab Security của bảng Properties. Từ danh sách Authentication provider 
xổ suống, chọn RADIUS Authentication, như hình 8­63.
Figure 8­63: Configuring RADIUS authentication on IAS.

4. Nhấp Configure để mở hộp thoại RADIUS Authentication, xem hình 8­64. 

Figure 8­64: The RADIUS Authentication dialog box.

5. Nhấp Add để mở hộp thoại Add RADIUS Server, xem hình 8­65. 
Figure 8­65: The Add RADIUS server dialog box.

6. Chỉ định tên của RADIUS server trong hộp Server name. Nhấp Change để chỉ 
định secret được chia sẽ nào sẽ được dùng cho việc bảo mật thông tin giữa VPN 
server (RAS) và RADIUS server, như hình 8­66. 

Figure 8­66: Specifying the shared secret information to be used between the 
RADIUS server and the IAS server.

7. Nhấp OK để đóng hộp thoại Change Secret. Tiếp theo, nhấp OK để đóng hộp 
thoại Add RADIUS server và quay trở về hộp thoại RADIUS Authentication. Bây 
giờ bạn đã cấu hình xong RADIUS authentication trên IAS server, như hình 8­67. 
Figure 8­67: The successfully configured RADIUS­based IAS server.

8. Nhấp OK để đóng hộp thoại RADIUS Authentication. Một thông điệp thông báo 
sẽ xuất hiện, như hình 8­68. Nhấp OK để đóng hộp thông báo và trở về bảng 
Property. 

Figure 8­68: The successfully configured RADIUS­based IAS server.

9. Hoạt hóa tab Security của Property sheet, nếu cần thiết. Từ danh sách Accounting 
provider sổ xuống, chọn RADIUS Accounting và sau đó nhấp Configure để mở 
hộp thoại RADIUS Accounting, xem hình 8­69. 
Figure 8­69: The RADIUS Accounting dialog box.

10. Nhấp Add… để mở hộp thoại Add RADIUS Server và cấu hình những thiết lập 
cho RADIUS Accounting server, xem hình 8­70. 

Figure 8­70: Adding the RADIUS server.

11. Nhấp OK để trở về hộp thoại RADIUS Accounting. Một lần nữa, Nhấp OK. Một 
thông điệp thông báo xuất hiện. Nhấp OK để đóng hộp thông báo và trở về cửa sổ 
MMC. 
12. Bạn có thể được nhắc nhở nhập vào bất kỳ ứng dụng nào mà bạn muốn chạy khi 
người dùng kết nối vào. Nhấp Next để tiếp tục. 
Cấu hình IAS Clients dựa trên RADIUS

Bao gồm các bước sau: 

1. Nhấp Start, Programs, Administrative Tools, Internet Authentication Service để 
mở cửa sổ Internet Authentication Service, xem hình 8­71. 

Figure 8­71: The Internet Authentication Service window.

2. Ở ô bên trái, nhấp chuột phải Clients. Một menu tắt sẽ xuất hiện. Chọn New 
Client để mở hộp thoại Add Client,  xem hình 8­72. 

Figure 8­72: The Add Client dialog box.

3. Ở hộp Friendly name, nhập vào một tên mô tả của client mà bạn đang cấu hình. 
Trong danh sách Protocol sổ xuống, đảm bảo rằng RADIUS được chọn.  Xem 
hình 8­73. Nhấp Next để tiếp tục. 
Figure 8­73: Supplying client details.

4. Trong hộp Client address (IP or DNS), nhập vào tên DNS hoặc địa chỉ IP của 
client. Nếu bạn đã chỉ định rõ tên DNS, nhấp Verify. Hộp thoại Resolve DNS 
Name sẽ xuất hiện, như hình 8­74. 

Figure 8­74: The Resolve DNS Name dialog box.

5. Nhấp Resolve và sau đó chọn địa chỉ IP từ danh sách Search results mà bạn muốn 
kết hợp với tên đó. Kế tiếp, nhấp Use this IP để trở về cửa sổ Add RADIUS 
Client. 
6. Nếu bạn đang đăng ký một NAS client đến một IAS server, từ danh sách Client 
Vendor sổ xuống chọn tên nhà sản xuất. Nếu bạn không biết tên nhà sản xuất hoặc 
tên không có trong danh sách, chọn RADIUS Standard, như hình 8­75. 
Figure 8­75: Configuring an NAS as a client.

7. Nếu NAS hổ trợ chữ ký điện tử trong việc xác nhận, chọn tùy chọn “Client must 
always send the signature attribute in the request”. Tuy nhiên, nếu NAS không hổ 
trợ chữ ký điện tử, không chọn tùy chọn này. Nhấp OK xữ lý. 
8. Nhấp Finish để hoàn thành quá trình đăng ký client và trở về cửa sổ Internet 
Authentication Service. registered client sẽ xuất hiện ở ô bên trái của cửa sổ, như 
hình 8­76. 

Figure 8­76: The registered client appears in the right pane of the window.

Sao chép cấu hình của một IAS đến một Server khác

Để sao chép cấu hình của một IAS server đến nơi khác, bạn cần thực hiện các công việc 
sau :
1. Mở command prompt và nhập vào netsh aaaa show configuration <đường dẫn tập 
tin văn bản>. Lệnh này dùng để lưu giữ thông tin vào một tập tin văn bản xác 
định. 
2. Sao chép tập tin văn bản mà bạn vừa tạo ra ở bước 1 đến máy đích. 
3. Tại command prompt của máy đích, nhập lệnh netsh exec <đường dẫn của tập tin 
vừa lưu trữ>. Một thông điệp sẽ hiện ra để thông báo lệnh thành công hay thất bại. 
Nếu thông báo thành công, bạn đã sao chéo cấu hình của một IAS server đến nơi 
khác. 

Chú ý:

Trong bước đầu tiên, nếu lệnh “netsh aaaa show configuration” không hoạt động, bạn có 
thể dùng lệnh “netsh aaaa dump configuration”. Tương tự, dùng lệnh “netsh ras aaaa” nếu 
lệnh “netsh aaaa” không làm việc. 

Bạn không cần phải dừng IAS server đích để chạy lệnh netsh exec. IAS tự động được làm 
tươi và cấu hình những thay đổi khi chạy lệnh này. 

2 Cấu hình nâng cao VPN