RADIUS-Protokoll

RADIUS (Remote Authentication Dial-In User Service) ist ein Protokoll nach Industriestandard, das in RFC 2865, "Remote Authentication Dial-in User Service (RADIUS)", und RFC 2866, "RADIUS Accounting", beschrieben ist. RADIUS wird für die Authentifizierung, Autorisierung und Kontoführung verwendet. Ein RADIUS-Client (normalerweise ein DFÜ-Server, VPN-Server oder drahtloser Zugriffspunkt) sendet Benutzeranmeldeinformationen und Verbindungsparameter in Form einer RADIUS-Meldung an einen RADIUS-Server. Der RADIUS-Server authentifiziert und autorisiert die Anfrage des RADIUS-Clients und sendet eine RADIUS-Antwortmeldung zurück. RADIUS-Clients senden außerdem RADIUS-Kontoführungsmeldungen an RADIUS-Server. Darüber hinaus unterstützen die RADIUS-Standards die Verwendung von RADIUS-Proxys. Ein RADIUS-Proxy ist ein Computer, der RADIUS-Meldungen zwischen RADIUS-kompatiblen Computern sendet.

RADIUS-Meldungen werden als UDP-Meldungen (User Datagram Protocol) gesendet. Der UDP-Port 1812 wird für RADIUS-Authentifizierungsmeldungen und der UDP-Port 1813 für RADIUS-Kontoführungsmeldungen verwendet. Manche Netzwerkzugriffsserver verwenden jedoch den UDP-Port 1645 für RADIUS-Authentifizierungsmeldungen und den UDP-Port 1646 für RADIUS-Kontoführungsmeldungen. Standardmäßig unterstützt IAS den Empfang von RADIUS-Meldungen, die an beide UDP-Portgruppen gesendet werden. Informationen zum Ändern der von IAS verwendeten UDP-Ports finden Sie unter Konfigurieren der IAS-Portinformationen. Nur eine einzige RADIUS-Meldung ist in der UDP-Nutzlast eines RADIUS-Pakets enthalten.

Die RFCs 2865 und 2866 definieren die folgenden RADIUS-Meldungstypen:

  • Access-Request
    Gesendet von einem RADIUS-Client, um die Authentifizierung und Autorisierung für einen Verbindungsversuch anzufordern.

  • Access-Accept
    Gesendet von einem RADIUS-Server als Antwort auf eine Access-Request-Meldung. Mit dieser Meldung wird der RADIUS-Client informiert, dass der Verbindungsversuch authentifiziert und autorisiert ist.

  • Access-Reject
    Gesendet von einem RADIUS-Server als Antwort auf eine Access-Request-Meldung. Mit dieser Meldung wird der RADIUS-Client informiert, dass der Verbindungsversuch abgelehnt wurde. Ein RADIUS-Server sendet diese Meldung, wenn entweder die Anmeldeinformationen ungültig sind oder wenn der Verbindungsversuch nicht autorisiert ist.

  • Access-Challenge
    Gesendet von einem RADIUS-Server als Antwort auf eine Access-Request-Meldung. Diese Meldung ist eine Abfrage an den RADIUS-Client, der eine Antwort benötigt.

  • Accounting-Request
    Gesendet von einem RADIUS-Client, um Kontoführungsinformationen für eine akzeptierte Verbindung anzugeben.

  • Accounting-Response
    Gesendet von einem RADIUS-Server als Antwort auf eine Accounting-Request-Meldung. Diese Meldung bestätigt, dass die Accounting-Request-Meldung erfolgreich empfangen und verarbeitet wurde.

Eine RADIUS-Meldung besteht aus einem RADIUS-Header und null oder mehr RADIUS-Attributen. Jedes RADIUS-Attribut bezeichnet ein bestimmtes Informationselement des Verbindungsversuchs. Es gibt z. B. RADIUS-Attribute für den Benutzernamen, das Benutzerkennwort, den vom Benutzer angeforderten Diensttyp und die IP-Adresse des Zugriffsservers. Mithilfe von RADIUS-Attributen werden Informationen zwischen RADIUS-Clients, RADIUS-Proxys und RADIUS-Servern übermittelt. Beispielsweise enthält die Attributliste in einer Access-Request-Meldung die Benutzeranmeldeinformationen und die Parameter des Verbindungsversuchs. Dagegen enthält eine Access-Accept-Meldung Informationen zum zulässigen Verbindungstyp, zu Verbindungseinschränkungen und zu herstellerspezifischen Attributen (Vendor Specific Attributes oder VSAs).

Hinweis
Sie können IAS unter Windows Server 2003 Standard Edition konfigurieren, und zwar mit bis zu maximal 50 RADIUS-Clients und mit maximal 2 Remote-RADIUS-Servergruppen. Sie können einen RADIUS-Client definieren, indem Sie einen vollqualifizierten Domänennamen oder eine IP-Adresse verwenden. Allerdings können Sie keine RADIUS-Clientgruppen definieren, indem Sie einen IP-Adressbereich angeben. Wenn der vollqualifizierte Domänenname eines RADIUS-Clients in mehrere IP-Adressen aufgelöst wird, verwendet der IAS-Server die erste in einer DNS-Abfrage zurückgegebene IP-Adresse. Mit IAS unter Windows Server 2003 Enterprise Edition und Windows Server 2003 Datacenter Edition können Sie eine unbegrenzte Anzahl von RADIUS-Clients und Remote-RADIUS-Servergruppen konfigurieren. Sie können darüber hinaus RADIUS-Clients konfigurieren, indem Sie einen IP-Adressbereich angeben.