Komponenten einer RADIUS-Infrastruktur

Eine RADIUS-Infrastruktur für die Authentifizierung, Autorisierung und Kontoführung besteht aus den folgenden Komponenten:

  • Zugriffsclients
  • Zugriffsserver (RADIUS-Clients)
  • RADIUS-Proxys
  • RADIUS-Server
  • Benutzerkontendatenbanken

 

Zugriffsclients

Ein Zugriffsclient ist ein Gerät, das einen bestimmten Zugriff auf ein größeres Netzwerk benötigt. Beispiele für Zugriffsclients sind DFÜ- oder VPN-Clients, drahtlose Clients oder LAN-Clients, die mit einem Switch verbunden sind.

Zugriffsserver (RADIUS-Clients)

Ein Zugriffsserver ist ein Gerät, das einen bestimmten Zugriff auf ein größeres Netzwerk anbietet. Als Zugriffsserver, der eine RADIUS-Infrastruktur verwendet, zählt auch ein RADIUS-Client, der Verbindungsanforderungen und Kontoführungsmeldungen an einen RADIUS-Server sendet. Beispiele für Zugriffsserver:

  • Netzwerkzugriffsserver (Network Access Server oder NAS), die den Remotezugriff auf das Netzwerk einer Organisation oder das Internet ermöglichen. Ein Beispiel hierfür ist ein Computer unter Windows 2000, auf dem der Routing- und RAS-Dienst ausgeführt wird und der den traditionellen DFÜ- oder den VPN-Remotezugriff auf das Intranet einer Organisation bereitstellt.

  • Drahtlose Zugriffspunkte, die mithilfe drahtloser Übertragungs- und Empfangstechnologie den Zugriff auf das Netzwerk einer Organisation ermöglichen.

  • Switches, die mithilfe traditioneller LAN-Technologie (z. B. Ethernet) den Zugriff auf das Netzwerk einer Organisation ermöglichen.

RADIUS-Proxys

Ein RADIUS-Proxy ist ein Gerät, das RADIUS-Verbindungsanforderungen und -Kontoführungsmeldungen zwischen RADIUS-Clients (und RADIUS-Proxys) und RADIUS-Servern (oder RADIUS-Proxys) weiterleitet oder routet. Der RADIUS-Proxy verwendet Informationen in der RADIUS-Meldung, z. B. die RADIUS-Attribute User-Name oder Called-Station-ID, zum Weiterleiten der RADIUS-Meldung an den entsprechenden RADIUS-Server.

Ein RADIUS-Proxy kann als Weiterleitungsinstanz für RADIUS-Meldungen verwendet werden, wenn die Authentifizierung, Autorisierung und Kontoführung auf mehreren RADIUS-Servern in verschiedenen Organisationen erfolgen muss.

RADIUS-Server

Ein RADIUS-Server ist ein Gerät, das Verbindungsanforderungen oder Kontoführungsmeldungen, die von RADIUS-Clients oder -Proxys gesendet wurden, empfängt und verarbeitet. Für Verbindungsanforderungen verarbeitet der RADIUS-Server die Liste der RADIUS-Attribute in der Verbindungsanforderung. Anhand eines Regelsatzes und der Informationen in der Benutzerkontendatenbank authentifiziert und autorisiert der RADIUS-Server die Verbindung und sendet eine Access-Accept-Meldung oder eine Access-Reject-Meldung zurück. Die Access-Accept-Meldung kann Verbindungseinschränkungen enthalten, die der Zugriffsserver für die Dauer der Verbindung implementiert.

Benutzerkontendatenbanken

Die Benutzerkontendatenbank ist eine Liste mit Benutzerkonten und deren Eigenschaften. Ein RADIUS-Server kann mithilfe dieser Benutzerkontendatenbank die Anmeldeinformationen für die Authentifizierung und die Benutzerkonteneigenschaften, die Informationen zu Autorisierungs- und Verbindungsparametern enthalten, überprüfen.

IAS kann als Benutzerkontendatenbank die lokale Sicherheitskontenverwaltung (Security Accounts Manager oder SAM), eine Microsoft Windows NT 4.0-Domäne oder den Active Directory-Verzeichnisdienst verwenden. Für Active Directory unterstützt IAS die Authentifizierung und Autorisierung für Benutzer- oder Computerkonten in der Domäne, der der IAS-Server angehört, in Domänen mit bidirektionaler Vertrauensstellung und in vertrauenswürdigen Gesamtstrukturen mit Domänencontrollern unter Windows Server 2003 Standard Edition, Windows Server 2003 Enterprise Edition und Windows Server 2003 Datacenter Edition.

Falls die Benutzerkonten für die Authentifizierung in einem anderen Datenbanktyp gespeichert sind, kann IAS als RADIUS-Proxy zum Weiterleiten der Authentifizierungsanforderung an einen RADIUS-Server, der Zugriff auf die Benutzerkontendatenbank hat, konfiguriert werden. Andere Datenbanktypen für Active Directory umfassen nicht vertrauenswürdige Gesamtstrukturen, nicht vertrauenswürdige Domänen oder Domänen mit unidirektionaler Vertrauensstellung.

Hinweis
Sie können IAS unter Windows Server 2003 Standard Edition konfigurieren, und zwar mit bis zu maximal 50 RADIUS-Clients und mit maximal 2 Remote-RADIUS-Servergruppen. Sie können einen RADIUS-Client definieren, indem Sie einen vollqualifizierten Domänennamen oder eine IP-Adresse verwenden. Allerdings können Sie keine RADIUS-Clientgruppen definieren, indem Sie einen IP-Adressbereich angeben. Wenn der vollqualifizierte Domänenname eines RADIUS-Clients in mehrere IP-Adressen aufgelöst wird, verwendet der IAS-Server die erste in einer DNS-Abfrage zurückgegebene IP-Adresse. Mit IAS unter Windows Server 2003 Enterprise Edition und Windows Server 2003 Datacenter Edition können Sie eine unbegrenzte Anzahl von RADIUS-Clients und Remote-RADIUS-Servergruppen konfigurieren. Sie können darüber hinaus RADIUS-Clients konfigurieren, indem Sie einen IP-Adressbereich angeben.