Komponenten einer RADIUS-Infrastruktur Eine RADIUS-Infrastruktur für die Authentifizierung, Autorisierung und Kontoführung besteht aus den folgenden Komponenten:
Zugriffsclients Ein Zugriffsclient ist ein Gerät, das einen bestimmten Zugriff auf ein größeres Netzwerk benötigt. Beispiele für Zugriffsclients sind DFÜ- oder VPN-Clients, drahtlose Clients oder LAN-Clients, die mit einem Switch verbunden sind. Zugriffsserver (RADIUS-Clients) Ein Zugriffsserver ist ein Gerät, das einen bestimmten Zugriff auf ein größeres Netzwerk anbietet. Als Zugriffsserver, der eine RADIUS-Infrastruktur verwendet, zählt auch ein RADIUS-Client, der Verbindungsanforderungen und Kontoführungsmeldungen an einen RADIUS-Server sendet. Beispiele für Zugriffsserver:
RADIUS-Proxys Ein RADIUS-Proxy ist ein Gerät, das RADIUS-Verbindungsanforderungen und -Kontoführungsmeldungen zwischen RADIUS-Clients (und RADIUS-Proxys) und RADIUS-Servern (oder RADIUS-Proxys) weiterleitet oder routet. Der RADIUS-Proxy verwendet Informationen in der RADIUS-Meldung, z. B. die RADIUS-Attribute User-Name oder Called-Station-ID, zum Weiterleiten der RADIUS-Meldung an den entsprechenden RADIUS-Server. Ein RADIUS-Proxy kann als Weiterleitungsinstanz für RADIUS-Meldungen verwendet werden, wenn die Authentifizierung, Autorisierung und Kontoführung auf mehreren RADIUS-Servern in verschiedenen Organisationen erfolgen muss. RADIUS-Server Ein RADIUS-Server ist ein Gerät, das Verbindungsanforderungen oder Kontoführungsmeldungen, die von RADIUS-Clients oder -Proxys gesendet wurden, empfängt und verarbeitet. Für Verbindungsanforderungen verarbeitet der RADIUS-Server die Liste der RADIUS-Attribute in der Verbindungsanforderung. Anhand eines Regelsatzes und der Informationen in der Benutzerkontendatenbank authentifiziert und autorisiert der RADIUS-Server die Verbindung und sendet eine Access-Accept-Meldung oder eine Access-Reject-Meldung zurück. Die Access-Accept-Meldung kann Verbindungseinschränkungen enthalten, die der Zugriffsserver für die Dauer der Verbindung implementiert. Benutzerkontendatenbanken Die Benutzerkontendatenbank ist eine Liste mit Benutzerkonten und deren Eigenschaften. Ein RADIUS-Server kann mithilfe dieser Benutzerkontendatenbank die Anmeldeinformationen für die Authentifizierung und die Benutzerkonteneigenschaften, die Informationen zu Autorisierungs- und Verbindungsparametern enthalten, überprüfen. IAS kann als Benutzerkontendatenbank die lokale Sicherheitskontenverwaltung (Security Accounts Manager oder SAM), eine Microsoft Windows NT 4.0-Domäne oder den Active Directory-Verzeichnisdienst verwenden. Für Active Directory unterstützt IAS die Authentifizierung und Autorisierung für Benutzer- oder Computerkonten in der Domäne, der der IAS-Server angehört, in Domänen mit bidirektionaler Vertrauensstellung und in vertrauenswürdigen Gesamtstrukturen mit Domänencontrollern unter Windows Server 2003 Standard Edition, Windows Server 2003 Enterprise Edition und Windows Server 2003 Datacenter Edition. Falls die Benutzerkonten für die Authentifizierung in einem anderen Datenbanktyp gespeichert sind, kann IAS als RADIUS-Proxy zum Weiterleiten der Authentifizierungsanforderung an einen RADIUS-Server, der Zugriff auf die Benutzerkontendatenbank hat, konfiguriert werden. Andere Datenbanktypen für Active Directory umfassen nicht vertrauenswürdige Gesamtstrukturen, nicht vertrauenswürdige Domänen oder Domänen mit unidirektionaler Vertrauensstellung.
|