RADIUS ist ein Verfahren zum Einloggen in Computernetzwerke, WLAN oder Server-Dienste. Es steht für Remote Authentication Dial-In User Service (zu Deutsch: „Authentifizierungsdienst für sich einwählende Benutzer“). Zusammenfassen lassen sich die Aufgaben des RADIUS-Protokolls als sogenannte Triple-A-Services (AAA): Authentifizierung, Autorisierung und Accounting.
Genutzt wird dies zum Beispiel um sich in WLAN-Netzwerken anzumelden, aber auch bei Einwahlverbindungen per Modem, ISDN, VPN und DSL.
RADIUS wird üblicherweise verwendet, um jeden Nutzer eigene WLAN-Zugangsdaten zu geben. So können einzelne Nutzer einfach angelegt, oder aus dem WLAN ausgeschlossen werden.
RADIUS AAA
Das Radius-Protokoll besteht aus Authentifizierung, Autorisierung und Accounting.
-
Authentifizierung: Hierbei wird festgestellt, um welchen Benutzer es sich handelt. Dafür werden Benutzernamen und Passwörter geprüft. Hier können auch als MFA Schlüssel, Token oder andere Sicherheitsmaßnahmen verwendet werden.
-
Autorisierung: Ist der Benutzer authentifiziert, werden ihm nun die passenden Nutzerrechte zugeteilt. So hat er Zugriff auf bestimmte Daten oder Leistungen. Bei diesem Schritt wird dem Nutzer auch eine IP-Adresse zugeteilt.
-
Accounting: Nun kann der Nutzer die Services verwenden, die nun für eine Abrechnung erfasst und nach dem jeweiligen Tarif verrechnet werden. Zum Beispiel ist dies bei Datenvolumen oder Einwahlminuten der Fall.
RADIUS Komponenten
Um sich einwählen zu können, benötigt das RADIUS-Protokoll meist drei Komponenten: RADIUS-Client, Authenticator / NAS und RADIUS-Server.
-
RADIUS-Client: Der RADIUS-Client ist auf dem einwählenden Gerät installiert, also zum Beispiel dem Modem. Hier wird der Einwahlwunsch in Form eines Access-Request-Pakets an den Authenticator geschickt.
-
Authenticator: Der Authenticator, zum Beispiel der Access Point, leitet das Paket über das Netzwerk an den RADIUS-Server weiter. Selbst besitzt er keine Informationen über den Nutzer.
-
RADIUS-Server: Der RADIUS-Server bearbeitet das Paket und antwortet entweder mit Access-Accept (für Erlaubnis) oder Access-Reject (für Ablehnung). Hier wird das AAA-Service angewandt.
( Artikel veröffentlicht: 03.11.2020 )