RADIUS (англ. Remote Authentication in Dial-In User Service) — протокол для реализации аутентификации, авторизации и сбора сведений об использованных ресурсах, разработанный для передачи сведений между центральной платформой и оборудованием. Этот протокол применялся для системы тарификации использованных ресурсов конкретным пользователем/абонентом. Центральная платформа и оборудование Dial-Up доступа (Network Access Server (NAS, не путать с хранилищем) с системой автоматизированного учёта услуг (биллинга)), RADIUS используется как протокол AAA:
англ. Authentication — процесс, позволяющий аутентифицировать (проверить подлинность) субъекта по его идентификационным данным, например, по логину (имя пользователя, номер телефона и т. д.) и паролю.
англ. Authorization — процесс, определяющий полномочия идентифицированного субъекта на доступ к определённым объектам или сервисам.
англ. Accounting — процесс, позволяющий вести сбор сведений (учётных данных) об использованных ресурсах. Первичными данными (то есть, традиционно передаваемых по протоколу RADIUS) являются величины входящего и исходящего трафиков: в байтах/октетах (с недавних пор в гигабайтах). Однако протокол предусматривает передачу данных любого типа, что реализуется посредством VSA (Vendor Specific Attributes).
История
Протокол RADIUS был разработан Карлом Ригни (англ. Carl Rigney) в фирме Livingston Enterprises для их серверов доступа (Network Access Server) серии PortMaster к сети интернет, и позже, в 1997, был опубликован как RFC 2058 и RFC 2059 (текущие версии RFC 2865 и RFC 2866). На данный момент существует несколько коммерческих и свободно распространяемых RADIUS-серверов. Они несколько отличаются друг от друга по своим возможностям, но большинство поддерживает списки пользователей в текстовых файлах, LDAP, различных базах данных. Учётные записи пользователей могут храниться в текстовых файлах, различных базах данных, или на внешних серверах. Часто для удаленного мониторинга используется SNMP. Существуют Прокси-серверы для RADIUS, упрощающие централизованное администрирование и/или позволяющие реализовать концепцию интернет-роуминга. Они могут изменять содержимое RADIUS-пакета на лету (в целях безопасности или для выполнения преобразования между диалектами). Популярность RADIUS-протокола, во многом объясняется: открытостью к наполнению новой функциональностью при сохранении работоспособности с устаревающим оборудованием, чрезвычайно высокой реактивностью при обработке запросов ввиду использования UDP в качестве транспорта пакетов, а также хорошо параллелизуемым алгоритмом обработки запросов; способностью функционировать в кластерных (Cluster) архитектурах (например OpenVMS) и мультипроцессорных (SMP) платформах (DEC Alpha, HP Integrity) — как с целью повышения производительности, так и для реализации отказоустойчивости.
В настоящее время очень распространен Open Source сервер протокола Radius – Authentik.
В настоящее время разрабатывается протокол DIAMETER (текущие версии RFC 3588 и RFC 3589), который призван заменить RADIUS, предоставляя механизм миграции.
TACACS, RADIUS и Diameter – это протоколы аутентификации и авторизации, которые используются для управления доступом пользователей к сетевым ресурсам. Ниже приведено сравнение этих протоколов:
1. TACACS (Terminal Access Controller Access-Control System) – это устаревший протокол, который был разработан компанией Cisco для управления доступом к сетевому оборудованию. Он предоставляет централизованную аутентификацию и авторизацию пользователей, позволяя администраторам управлять доступом на уровне командного интерфейса устройства.
2. RADIUS (Remote Authentication Dial-In User Service) – это более распространенный протокол, который используется для удаленной аутентификации пользователей и управления доступом. Он обычно применяется в сетях с использованием TCP/IP протоколов, таких как Ethernet. RADIUS также предоставляет возможность аудита и учета действий пользователей.
3. Diameter – это более современный и расширенный протокол, который является последователем RADIUS. Он предоставляет более безопасные и эффективные механизмы аутентификации и авторизации, обеспечивая более высокий уровень безопасности и производительности. Diameter также поддерживает более широкий спектр приложений и сервисов.
В целом, TACACS, RADIUS и Diameter являются протоколами, разработанными для обеспечения безопасности и управления доступом к сетевым ресурсам. Выбор конкретного протокола зависит от конкретных потребностей организации и уровня безопасности, который она хочет обеспечить.