RADIUS 协议
远程身份验证拨入用户服务 (RADIUS) 是 RFC 2865“远程身份验证拨入用户服务 (RADIUS)”和 RFC 2866“RADIUS 记帐”中描述的业界标准协议。RADIUS 用于提供身份验证、授权和记帐服务。RADIUS 客户端(通常为拨号服务器、VPN 服务器或无线访问点)以 RADIUS 消息的形式向 RADIUS 服务器发送用户凭据和连接参数信息。RADIUS 服务器对 RADIUS 客户端请求进行身份验证和授权,并发回 RADIUS 消息响应。RADIUS 客户端也向 RADIUS 服务器发送 RADIUS 记帐消息。另外,RADIUS 标准支持使用 RADIUS 代理。RADIUS 代理是在启用 RADIUS 的计算机之间转发 RADIUS 消息的计算机。
RADIUS 消息作为用户数据报协议 (UDP) 消息被发送。UDP 端口 1812 用于发送 RADIUS 身份验证消息,UDP 端口 1813 用于发送 RADIUS 记帐消息。有些网络访问服务器可能会使用 UDP 端口 1645 发送 RADIUS 身份验证消息,而使用 UDP 端口 1646 发送 RADIUS 记帐消息。默认情况下,IAS 支持接收发送到这两个 UDP 端口的 RADIUS 消息。有关更改 IAS 所使用的 UDP 端口的信息,请参阅配置 IAS 端口信息.RADIUS 数据包的 UDP 负载中只包含一则 RADIUS 消息。
RFCs 2865 和 2866 定义了以下 RADIUS 消息类型:
• |
访问 - 请求
由 RADIUS 客户端发送请求对连接尝试进行身份验证和授权。
|
• |
访问 - 接收
由 RADIUS 服务器发送,以响应“访问 - 请求”消息。此消息通知 RADIUS 客户端已对连接尝试进行身份验证和授权。
|
• |
访问 - 拒绝
由 RADIUS 服务器发送,以响应“访问 - 请求”消息。此消息通知 RADIUS 客户端连接尝试被拒绝。如果凭据未被验证或连接尝试未被授权,RADIUS 服务器将发送此消息。
|
• |
访问 - 质询
由 RADIUS 服务器发送,以响应“访问 - 请求”消息。此消息是对需要响应的 RADIUS 客户端的质询。
|
• |
记帐 - 请求
由 RADIUS 客户端发送,为接受的连接指定记帐信息。
|
• |
记帐 - 响应
由 RADIUS 服务器发送,以响应“记帐 - 请求”消息。此消息确认对记帐请求消息的成功接受和处理。
|
RADIUS 消息由一个 RADIUS 头和零或多个 RADIUS 属性组成。每个 RADIUS 属性指定一则有关连接尝试的信息。例如,存在用户名称、用户密码、用户请求的服务类型和访问服务器的 IP 地址的 RADIUS 属性。RADIUS 属性用于传送 RADIUS 客户端、RADIUS 代理和 RADIUS 服务器之间的信息。例如,“访问 - 请求”消息中的属性列表包含有关用户凭据和连接尝试的参数的信息。相反,“访问 - 接受”消息包含有关可创建的连接类型、连接限制和特定供应商属性 (VSA) 的信息。
注意
• |
您可以在 Windows Server 2003 Standard Edition 中配置 IAS,最多配置 50 个 RADIUS 客户端和 2 个远程 RADIUS 服务器组。您可以采用完全合格的域名或 IP 地址定义 RADIUS 客户端,但不能通过指定 IP 地址范围定义 RADIUS 客户端组。如果将 RADIUS 客户端的完全合格的域名解析为多个 IP 地址,则 IAS 服务器采用 DNS 查询中返回的第一个 IP 地址。使用 Windows Server 2003 Enterprise Edition 和 Windows Server 2003 Datacenter Edition 中的 IAS,可以配置无限多个 RADIUS 客户端和远程 RADIUS 服务器组。另外,您可以通过指定 IP 地址范围来配置 RADIUS 客户端。
|