Использование службы RADIUS для аутентификации ЕАР

Одним из наиболее привлекательных качеств протокола ЕАР является его способность добавлять RADIUS в качестве службы удаленной (back-end) аутентификации . При использовании RADIUS-сервера, аутентификация ЕАР несколько отличается от традиционной RADIUS-аутентификации. В традиционной службе аутентификации RADIUS сервер доступа к сети (Network Access Server — NAS) запрашивает у пользователя метод аутентификации, который будет использоваться. Когда клиент отвечает на запрос сервера NAS, последний создает пакет запроса на доступ, который будет отправлен серверу RADIUS путем трансляции этого метода аутентификации в соответствующий RADIUS-атрибут для сервера. Сервер RADIUS отвечает ответным пакетом, содержащим либо разрешение на доступ либо отказ в нем. Когда сервер NAS получает ответ, он интерпретирует результаты согласно выбранному методу аутентификации и отправляет их клиенту, принимая или отвергая аутентификацию пользователя. Такой способ несколько отличается от использования ЕАР в качестве механизма аутентификации.

В тех случаях, когда сервер NAS использует RADIUS в качестве удаленного сервера для ЕАР-аутентификации, от самого NAS не требуется поддерживать используемый метод аутентификации. В этом случае NAS функционирует как прокси-сервер для аутентификации между клиентом и сервером RADIUS и прозрачно передает сообщение аутентификации между клиентом и удаленным сервером. Сервер NAS больше не участвует в процессе аутентификации. Он функционирует в режиме прокси-сервера, поддерживая обмен ЕАР-сообщениями двух удаленных одноранговых устройств. Эта общая платформа аутентификации в настоящее время позволяет производителям разрабатывать и использовать различные методы аутентификации, которые понятны и клиенту, и серверу, не заботясь об их поддержке сервером NAS, который требуется только для того, чтобы объединить ЕАР-сообщения и отправить их RADIUS-серверу.

Для поддержки протокола ЕАР были добавлены два новых атрибута службы RADIUS. Совместно они обеспечивают поддержку службой RADIUS протокола ЕАР.

Первый атрибут представляет собой ЕАР-сообщение (EAP-Message). Он используется для отправки информации протокола ЕАР от клиента к серверу и наоборот. Сервер NAS может посылать информацию в одном или нескольких ЕАР-сообщениях. Он может также использовать данный атрибут для ответа на пакеты вызова, согласия или отказа. Предполагается, что этот метод аутентификации будет использоваться для усиленной криптографии и для других чувствительных методов аутентификации.

Вторым добавленным RADIUS-атрибутом является атрибут "сообщение- аутентификатор" (Message-Authenticator). Этот атрибут поддерживает целостность пакетов службы RADIUS и отражает попытки атак на RADIUS-сервер ЕАР путем защиты данных, находящихся внутри пакета. Этот атрибут должен использоваться каждый раз, когда в RADIUS-пакетах запроса, согласия или вызова имеется атрибут EAP-Message. Если имеется атрибут "ЕАР-сообщение", а атрибут "сообщение- аутентификатор" отсутствует, то пакет должен быть отброшен, потому что целостность пакета проверить в этом случае невозможно. В табл. 26.1 описаны два новых атрибута RADIUS и приведены их номера согласно IETF.

Типичное обсуждение аутентификации

Теперь, когда есть понимание того, как функционирует протокол ЕАР и стала ясна роль удаленного RADIUS-сервера в процессе аутентификации, следует рассмотреть типичное обсуждение аутентификации с клиентом протокола ЕАР, сервером NAS и сервером RADIUS. В разных сетевых структурах используются различные реализации протокола ЕАР. Каждая реализация следует основным базовым предпосылкам для потока аутентификационных данных. На рис. 26.2 показан основной поток пакетов аутентификации для RADIUS ЕАР, включая клиента, NAS-сервер и RADIUS-сервер.

Рис. 26.2 Поток аутентификационных пакетов протокола ЕАР RADIUS

Литература:

Руководство по технологиям объединенных сетей, 4-е издание. : Пер. с англ. — М.: Издательский дом «Вильяме», 2005. — 1040 с.: ил. – Парал. тит. англ.

Вы можете следить за любыми ответами на эту запись через RSS 2.0 ленту. Вы можете оставить ответ, или trackback с вашего собственного сайта.

Оставьте отзыв

XHTML: Вы можете использовать следующие теги: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

 
Rambler's Top100