tayebeh
چهارشنبه 04 شهریور 1383, 12:03 عصر
باسلام........... دراین مقاله به بررسی ساختار این پروتکل می پردازیم.
ساختار accounting,authorize,authenticate پروتکل radius درزیرآمده است:
اجزا ی این پروتکل عبارتنداز:
access clients
access servers(radius clients)
radius proxies
radius servers
user account databases
تعاریف :
Access clients:
سرویس گیرنده ایست که میخواهد با عبور از چند سطح ، به یک شبکه بزرگ دسترسی پیدا کند. بعنوان مثال سرویس گیرنده های یک شبکه vpn،یا یک شبکه dial up ،یا سرویس گیرندهای یک شبکه بی سیم،یا سرویس گیرندگان یک شبکه محلی که به یک سوئیچ متصل هستند میباشند.
Access servers(radius clients):
مانند یک providr عمل می کند و برای رسیدن به یک شبکه بزرگ پیامها را به سرور radius تحویل میدهد. access serverنقش یک سرویس گیرنده radius را همچنین به عهده دارد.پیامهای request و accounting را به سرور radius ارسال می کند.نمونه هائی از access serverها عبارتنداز:
• Network Access Server (NAS):
به منظور دسترسی به اینترنت یا یک شبکه سازمان یافته،یک اتصال راه دور ایجاد می کند.
بعنوان مثال یک کامپیوتر ویندوز2000 که سرویس RRas را اجرا می کند و در واقع سرویس راه دور یک سرور vpn یاسرور dial up رو در یک اینترانت بعهده دارد.
• Wireless access points:
باعث دستیابی یک شبکه بی سیم به لایه فیزیکی یک شبکه (مثلا یک LAN)می شود درحالیکه از انتقال برمبنای بی سیم و تکنولوژیهای پذیرفته شده دراین زمینه استفاده می کند.
• Switches:
باعث دستیابی یک اترنت به لایه فیزیکی یک شبکه(مثلا یک LAN)می شود.درحالیکه ازتکنولوژی شبکه هایئ مانند اترنت استفاده می کند.
Radius Proxies:
ابزاریست برای جلو بردن و مسیریابی درخواستهای اتصال و همین طور پیامهای accounting میان سرویس گیرندگان radius (یا پروکسیهای radius) و سرور )radius یا پروکسیهای (radius.
پروکسیهای radius از اطلاعات پیامهای radius مانند:نام کاربر یا خصیصه called station id برای مسیریابی و پیامهای radius به منظور رسیدن به سرور radius مورد نظر استفاده می کند.
زمانیکه چند سرور radius وجود دارد یک پروکسی radius مانند یک forwarding point عمل می کند و پیام radius را به سرور موردنظر جهت authenticate،authorize و accounting می فرستد.
Radius Servers:
این سرور درخواستهای اتصال و پیامهای accounting فرستاده شده توسط سرویس گیرندگان و پروکسی های radius را دریافت کرده و پردازش می کند.
زمانیکه یک درخواست به منظور ایجاد اتصال می آید،لیست خصیصه های این درخواست،مورد پردازش قرار می گیرد.
براساس یک مجموعه از قوانین و اطلاعاتی که در بانک اطلاعاتی کاربران وجود دارد،سرور این درخواست را authenticate و authorize کرده و سپس یک access accept یا یک access reject می فرستد.
پیام access accept می تواند شامل یکسری محدودیتهایی باشد که توسط access server درطول برقراری اتصال ،اعمال می شود.
User Account Databases:
این بانک اطلاعاتی شامل لیستی از account های کاربران و ویژگیهای دیگری می شود که توسط سرور radius به منظور بررسی مجوزهای تصدیق هویت و همینطور خصیصه account کاربر هم بخاطر تعیین حدود اختیارات کاربر چک میشود.
بانکهای اطلاعاتی که IAS،میتوانداز آنها استفاده کندعبارتند از:
بانک اطلاعاتی محلیIAS (((Security Accounts Manager(SAM،بانک اطلاعاتی دومین ویندوزNT 4.0 یا بانک اطلاعاتی سرویس active directory .
ازIAS به منظور authenticate و authorize یک account کاربری یا کامپیوتر دریک domain استفاده می شود.
سرور IAS باید با دومینهائی که با آنها ارتباط دارد و به آنها سرویس می دهد trust دوطرفه داشته باشد.
اگر accountهائی که برای احراز هویت می آیند مربوط به بانک اطلاعاتی دیگری باشد،IAS مانند یک پروکسی radius،درخواست را به سرور radius که به بانک اطلاعاتی مربوطه دسترسی دارد می فرستد.
ساختار accounting,authorize,authenticate پروتکل radius درزیرآمده است:
اجزا ی این پروتکل عبارتنداز:
access clients
access servers(radius clients)
radius proxies
radius servers
user account databases
تعاریف :
Access clients:
سرویس گیرنده ایست که میخواهد با عبور از چند سطح ، به یک شبکه بزرگ دسترسی پیدا کند. بعنوان مثال سرویس گیرنده های یک شبکه vpn،یا یک شبکه dial up ،یا سرویس گیرندهای یک شبکه بی سیم،یا سرویس گیرندگان یک شبکه محلی که به یک سوئیچ متصل هستند میباشند.
Access servers(radius clients):
مانند یک providr عمل می کند و برای رسیدن به یک شبکه بزرگ پیامها را به سرور radius تحویل میدهد. access serverنقش یک سرویس گیرنده radius را همچنین به عهده دارد.پیامهای request و accounting را به سرور radius ارسال می کند.نمونه هائی از access serverها عبارتنداز:
• Network Access Server (NAS):
به منظور دسترسی به اینترنت یا یک شبکه سازمان یافته،یک اتصال راه دور ایجاد می کند.
بعنوان مثال یک کامپیوتر ویندوز2000 که سرویس RRas را اجرا می کند و در واقع سرویس راه دور یک سرور vpn یاسرور dial up رو در یک اینترانت بعهده دارد.
• Wireless access points:
باعث دستیابی یک شبکه بی سیم به لایه فیزیکی یک شبکه (مثلا یک LAN)می شود درحالیکه از انتقال برمبنای بی سیم و تکنولوژیهای پذیرفته شده دراین زمینه استفاده می کند.
• Switches:
باعث دستیابی یک اترنت به لایه فیزیکی یک شبکه(مثلا یک LAN)می شود.درحالیکه ازتکنولوژی شبکه هایئ مانند اترنت استفاده می کند.
Radius Proxies:
ابزاریست برای جلو بردن و مسیریابی درخواستهای اتصال و همین طور پیامهای accounting میان سرویس گیرندگان radius (یا پروکسیهای radius) و سرور )radius یا پروکسیهای (radius.
پروکسیهای radius از اطلاعات پیامهای radius مانند:نام کاربر یا خصیصه called station id برای مسیریابی و پیامهای radius به منظور رسیدن به سرور radius مورد نظر استفاده می کند.
زمانیکه چند سرور radius وجود دارد یک پروکسی radius مانند یک forwarding point عمل می کند و پیام radius را به سرور موردنظر جهت authenticate،authorize و accounting می فرستد.
Radius Servers:
این سرور درخواستهای اتصال و پیامهای accounting فرستاده شده توسط سرویس گیرندگان و پروکسی های radius را دریافت کرده و پردازش می کند.
زمانیکه یک درخواست به منظور ایجاد اتصال می آید،لیست خصیصه های این درخواست،مورد پردازش قرار می گیرد.
براساس یک مجموعه از قوانین و اطلاعاتی که در بانک اطلاعاتی کاربران وجود دارد،سرور این درخواست را authenticate و authorize کرده و سپس یک access accept یا یک access reject می فرستد.
پیام access accept می تواند شامل یکسری محدودیتهایی باشد که توسط access server درطول برقراری اتصال ،اعمال می شود.
User Account Databases:
این بانک اطلاعاتی شامل لیستی از account های کاربران و ویژگیهای دیگری می شود که توسط سرور radius به منظور بررسی مجوزهای تصدیق هویت و همینطور خصیصه account کاربر هم بخاطر تعیین حدود اختیارات کاربر چک میشود.
بانکهای اطلاعاتی که IAS،میتوانداز آنها استفاده کندعبارتند از:
بانک اطلاعاتی محلیIAS (((Security Accounts Manager(SAM،بانک اطلاعاتی دومین ویندوزNT 4.0 یا بانک اطلاعاتی سرویس active directory .
ازIAS به منظور authenticate و authorize یک account کاربری یا کامپیوتر دریک domain استفاده می شود.
سرور IAS باید با دومینهائی که با آنها ارتباط دارد و به آنها سرویس می دهد trust دوطرفه داشته باشد.
اگر accountهائی که برای احراز هویت می آیند مربوط به بانک اطلاعاتی دیگری باشد،IAS مانند یک پروکسی radius،درخواست را به سرور radius که به بانک اطلاعاتی مربوطه دسترسی دارد می فرستد.