Bosh sahifa Wiki RADIUS

RADIUS

RADIUS (Remote Authentication Dial-In User Service) — tarmoqqa kirishni markaziy autentifikatsiya, avtorizatsiya va accounting orqali boshqaradigan client-server protokol. Wi‑Fi access point, VPN gateway, network switch yoki NAS RADIUS client bo‘lib, foydalanuvchi credentialini RADIUS serverga yuboradi. Server siyosat asosida ruxsat, rad etish yoki qo‘shimcha challenge qaytaradi.

AAA modeli

Authentication foydalanuvchi yoki qurilma identity’sini tekshiradi. Authorization qaysi VLAN, ACL, session timeout yoki xizmat berilishini belgilaydi. Accounting sessiya qachon boshlangan, tugagan va qancha trafik ishlatilganini qayd etadi.

Vazifa RADIUS misoli
Authentication Access-Request va Access-Accept/Reject
Authorization VLAN ID yoki ACL atributi
Accounting Start, Interim-Update va Stop

AAA qismlari bir serverda yoki alohida backendlar bilan ishlashi mumkin. RADIUS server LDAP, Active Directory, certificate authority yoki token xizmatiga murojaat qilishi mumkin.

Paket almashinuvi

RADIUS client Access-Request yuboradi. Server Access-Accept, Access-Reject yoki Access-Challenge qaytaradi. Challenge EAP kabi ko‘p bosqichli autentifikatsiyani tashishi mumkin. Request Authenticator va shared secret ayrim maydonlarni himoyalash hamda javobni tekshirishda ishlatiladi.

An’anaviy transport UDP bo‘lib, authentication odatda 1812, accounting 1813 portda ishlaydi. Eski portlar 1645 va 1646 ham uchraydi. UDP retry va timeout client tomonidan boshqariladi; duplicate request identifier va authenticator bilan taniladi.

802.1X va enterprise Wi‑Fi

WPA-Enterprise muhitida foydalanuvchi qurilmasi supplicant, access point authenticator, RADIUS server esa authentication server rolida ishlaydi. Access point EAP xabarlarini RADIUS ichida tashiydi. EAP-TLS client sertifikati bilan kuchli mutual authentication beradi.

PEAP yoki tunneled usulda server certificate’i tekshirilmasa evil twin access point credentialni ushlashi mumkin. Client trust store va server name validation to‘g‘ri sozlanadi.

Atributlar

RADIUS Attribute-Value Pair’lar user name, NAS identity, IP, VLAN, session va vendor parametrlarini tashiydi. Standard atributlar interoperabilty beradi; Vendor-Specific Attribute qurilmaga xos siyosatni ifodalaydi.

Bir xil vendor atributi model va firmware bo‘yicha farq qilishi mumkin. Dictionary versioni server konfiguratsiyasi bilan mos bo‘ladi. Authorization atributi client qurilmada amalda qo‘llanganini test qilish kerak.

Xavfsizlik

Klassik RADIUS barcha paket payloadini to‘liq shifrlamaydi; shared secret asosidagi himoya va ayrim password obfuscation ishlatiladi. Management tarmoq, IPsec yoki RADIUS over TLS kabi himoyalangan transport qo‘llanadi. Shared secret uzun, har client yoki guruh uchun alohida va secret managerda saqlanadi.

RADIUS client source IP bo‘yicha ro‘yxatdan o‘tadi. NAT va dynamic IP identity’ni murakkablashtiradi. RadSec TLS sertifikatlari orqali client/server authentication va ishonchli transport beradi.

Yuqori mavjudlik

NAS bir nechta RADIUS server manziliga ega bo‘ladi. Timeout va retry juda uzun bo‘lsa login sekinlashadi; juda qisqa bo‘lsa vaqtinchalik jitter serverni o‘lik deb ko‘rsatadi. Serverlar bir xil user store va policy versioniga ega bo‘lishi kerak.

Accounting paketlari yo‘qolsa billing yoki audit yozuvi to‘liq bo‘lmaydi. Interim update, local buffering va reconciliation qo‘llanadi. Session ID duplicate yozuvlarni bog‘lashga yordam beradi.

Kuzatuv

Accept/reject nisbati, response latency, timeout, unknown client, EAP failure va accounting backlog kuzatiladi. Reject ko‘payishi hujum, expired certificate yoki identity backend uzilishi bo‘lishi mumkin; error code va NAS bo‘yicha ajratiladi.

Bog‘liq tushunchalar

AAA, 802.1X, EAP, WPA-Enterprise, Network Access Server, RadSec, Accounting