RADIUS

Remote Authentication Dial In User Service (RADIUS) é um protocolo de rede que fornece gerenciamento centralizado de Autenticação, Autorização e Contabilização (Accounting em inglês) para usuários que conectam-se a e utilizam um serviço de rede. O RADIUS foi desenvolvido pela Livingston Enterprises Ic. em 1991 como um protocolo de autenticação e contabilização de servidor de acesso, sendo mais tarde introduzido como padrão do Internet Engineering Task Force (IETF).^[1]

Por causa do amplo apoio e da forte presença do protocolo RADIUS, ele é muito usado por ISP's nas empresas no gerenciamento de acesso a internet ou intranet, e também é integrado a serviços de e-mail. Algumas dessas redes podem incorporar o protocolo em suas implementações. Como por exemplo modens, DSL, ponto de acesso wireless, VPN's, servidores WEB e etc.^[2]

RADIUS é um protocolo do tipo cliente/servidor que roda como um protocolo da camada de aplicação, usa como apoio o protocolo de transferência UDP. Tanto Servidores de Acesso Remoto (RAS), como servidores de Redes Virtuais Privadas (VPNs) e Servidores de Acesso a Rede (NAS), e todos os gateways que controlam o acesso a rede possuem um componente cliente do protocolo RADIUS que se comunica com o servidor RADIUS. Este servidor normalmente é um processo de background rodando no UNIX ou Microsoft Windows server.^[3]

O servidor RADIUS possui três funções básicas:

autenticação de usuários ou dispositivos antes da concessão de acesso a rede.
autorização de outros usuários ou dispositivos a usar determinados serviços providos pela rede.
para informar sobre o uso de outros serviços.

O protocolo RADIUS é resumidamente, um serviço baseado em UDP de pergunta e resposta. As requisições e respostas seguem uma padrão de tabelas (variável=valor).

A variável não possui um nome e sim um número. A relação entre este número e seu nome é obtida através de dicionários. Exemplo de dicionário padrão:

ATTRIBUTE       User-Name               1       string
ATTRIBUTE       Password                2       string
ATTRIBUTE       CHAP-Password           3       string
ATTRIBUTE       NAS-IP-Address          4       ipaddr
ATTRIBUTE       NAS-Port-Id             5       integer
ATTRIBUTE       Service-Type            6       integer
ATTRIBUTE       Framed-Protocol         7       integer
ATTRIBUTE       Framed-IP-Address       8       ipaddr
ATTRIBUTE       Framed-IP-Netmask       9       ipaddr

O valor tem um tipo definido no dicionário, e os tipos comuns são: string, inteiro (numero), octeto ou ipaddr (endereço IP: 4 bytes) e tipo estendido (usado para transportar parâmetros personalizados de fabricantes de equipamentos).

O RADIUS tem uma porta para autenticação (UDP 1645 ou UDP 1812) e outra para contabilidade (UDP 1646 ou UDP 1813).

Numa rede que usa RADIUS, há funções distintas para os equipamentos:
Cliente: é o host que deseja usufruir de um recurso da rede, como por exemplo, uma estação que deseja se associar a um Access Point.
NAS (Network Autentication Server): é o host que recebe uma solicitação do cliente (o Access Point por exemplo) e autentica esse pedido no servidor RADIUS.
Servidor RADIUS: é o host que validará o pedido do NAS. A resposta do pedido de autenticação pode ser positiva (Access-Accept) acompanhada da tabela de parâmetros de resposta ou negativa (Access-Reject) sem nenhum parâmetro.
Nas respostas positivas (Access-Accept) os parâmetros de resposta são usados para orientar o NAS de como tratar o cliente.
Numa rede wireless, nos parâmetros podem constar por exemplo, o tempo máximo de conexão permitida, ou a chave de criptografia que deverá ser usada no canal de comunicação entre o cliente e o NAS.
O serviço RADIUS é amplamente usado em provedores de acesso a internet. No Brasil por exemplo, a Oi (empresa de telecomunicações) usa RADIUS no seu produto ADSL chamado Velox. No sistema Velox, o cliente inicia um pedido de conexão via protocolo PPPoE, um roteador Cisco série 7000 atende o pedido e envia o nome de usuário e senha para o servidor RADIUS (localizado num datacenter no Rio de Janeiro), o RADIUS por sua vez confere as credênciais em seu banco de dados e retorna para o roteador se o cliente pode se conectar ou não. Se a resposta for positiva, o cliente receberá um IP público e poderá navegar, caso a resposta seja negativa, o acesso é negado.

Referências

↑ John Vollbrecht (2006). «The Beginnings and History of RADIUS» (PDF). Interlink Networks. Consultado em 15 de abril de 2009
↑ Brien Posey (31 de agosto de 2006). «SolutionBase: RADIUS deployment scenarios» (PDF). TechRepublic. Consultado em 15 de abril de 2009. Arquivado do original (PDF) em 1 de abril de 2010
↑ «How Does RADIUS Work?». Cisco. 19 de janeiro de 2006. Consultado em 15 de abril de 2009

Ligações externas editar

(em inglês) FreeRADIUS - Software gratuito para construção de servidores RADIUS
(em português) Tutorial de instalação do Freeradius
(em português) Trabalho sobre RADIUS feito pelo aluno Hugo Carvalho da UFRJ

Este artigo sobre redes de computadores é um esboço. Você pode ajudar a Wikipédia expandindo-o.

[Vollbrecht2006-1] John Vollbrecht (2006). «The Beginnings and History of RADIUS» (PDF). Interlink Networks. Consultado em 15 de abril de 2009

[2] Brien Posey (31 de agosto de 2006). «SolutionBase: RADIUS deployment scenarios» (PDF). TechRepublic. Consultado em 15 de abril de 2009. Arquivado do original (PDF) em 1 de abril de 2010

[3] «How Does RADIUS Work?». Cisco. 19 de janeiro de 2006. Consultado em 15 de abril de 2009

[1]

[2]

[3]