Remote Authentication Dial In User Service (RADIUS) is an AAA (authentication, authorization and accounting) protocol for applications such

as network access or IP mobility. It is intended to work in both local and roaming situations. Many networks services (including corporate networks and public ISPs using modem, DSL, or wireless 802.11 technologies) require you to present security credentials (such as a username and password or security certificate) in order to connect on to the network. Before access to the network is granted, this information is passed to a Network Access Server (NAS) device over the link-layer protocol (for example, Point-to-Point Protocol (PPP) in the case of many dialup or DSL providers), then to a RADIUS server over the RADIUS protocol. The RADIUS server checks that the information is correct using authentication schemes like PAP, CHAP or EAP. If accepted, the server will then indicate to the NAS that you are authoried to access the network. RADIUS also allows the authentication server to supply the NAS with additional parameters, such as
• • • • • •

The specific IP address to be assigned to the user The address pool from which the user's IP should be chosen The maximum length that the user may remain connected An access list, priority queue or other restrictions on a user's access L2TP parameters etc

In general, the RADIUS protocol does not transmit passwords in cleartext between the NAS and RADIUS server, but in hidden, using a rather complex operation instead, which involves MD5 hashing and shared secret, as described in references. RADIUS is also commonly used for accounting purposes. The NAS can use RADIUS accounting packets to notify the RADIUS server of events such as
• • • • •

The user's session start The user's session end Total packets transferred during the session Volume of data transferred during the session Reason for session ending

The primary purpose of this data is so that the user can be billed accordingly; the data is also commonly used for statistical purposes and for general network monitoring. Additionally RADIUS is widely used by VoIP service providers. It is used to pass login credentials of a SIP end point (like a broadband phone) to a SIP Registrar using digest authentication, and then to RADIUS server using RADIUS. Sometimes it is also used to collect call detail records (CDRs) later used, for instance, to bill customers for international long distance. RADIUS was originally specified in an RFI by Merit Network in 1991 to control dial-in access to NSFnet. Livingston Enterprises responded to the RFI with a description of a

RADIUS server. Merit Network awarded the contract to Livingston Enterprises that delivered their PortMaster series of Network Access Servers and the initial RADIUS server to Merit. RADIUS was later (1997) published as RFC 2058 and RFC 2059 (current versions are RFC 2865 and RFC 2866). Now, several commercial and opensource RADIUS servers exist. Features can vary, but most can look up the users in text files, LDAP servers, various databases, etc. Accounting records can be written to text files, various databases, forwarded to external servers, etc. SNMP is often used for remote monitoring. RADIUS proxy servers are used for centralized administration and can rewrite RADIUS packets on the fly (for security reasons, or to convert between vendor dialects). RADIUS is a common authentication protocol utilized by the 802.1X security standard (often used in wireless networks). Although RADIUS was not initially intended to be a wireless security authentication method, it improves the WEP encryption key standard, in conjunction with other security methods such as EAP-PEAP. RADIUS is extensible; many vendors of RADIUS hardware and software implement their own variants using Vendor-Specific Attributes (VSAs). RADIUS uses UDP ports 1812 or 1645 for Authentication and 1813 or 1646 for Accounting. For example, Microsoft RADIUS servers default to the higher ports but Cisco devices default to the lower ports. Juniper Networks' RADIUS servers also defaults to the lower ports. The official IETF port number assignment is the higher port numbers 1812 and 1813. The DIAMETER protocol is the planned replacement for RADIUS. DIAMETER uses SCTP or TCP while RADIUS uses UDP as the transport layer. Remote Authentication Dial-In User Service (RADIUS) is a client/server protocol and software that enables remote access servers to communicate with a central server to authenticate dial-in users and authorize their access to the requested system or service. RADIUS allows a company to maintain user profiles in a central database that all remote servers can share. It provides better security, allowing a company to set up a policy that can be applied at a single administered network point. Having a central service also means that it's easier to track usage for billing and for keeping network statistics. Created by Livingston (now owned by Lucent), RADIUS is a de facto industry standard used by a number of network product companies and is a proposed IETF standard.

1.3 Cài đặt và cấu hình một Authentication Server Microsoft sử dụng một authentication server riêng như Internet Authentication Service  (IAS) cho mục đích xác nhận. Ngoài nhiệm vụ chính là cung cấp một dịch vụ thẩm định  trung tâm, IAS cũng cung cấp quyền hạn và account cho remote VPN clients. IAS dùng  giao thức RADIUS để quản lý tập trung tất cả các yêu cầu từ xa gửi đến bất chấp nền của  client hay môi trường mạng.  Thuận lợi chính của việc triển khai IAS servers là nó cung cấp dịch vụ quản lý tập trung  cho nhiều remote access servers. Theo cách này, một remote access server, như  một VPN  server chẳng hạn, bớt căng thẳng hơn trong nhiệm vụ thẩm định người dùng.  Các đặt điểm của IAS Microsoft IAS đưa ra nhiều đặc điểm cho việc triển khai cơ sở hạ tầng của thẩm định  quyền, quyền hạn, trương mục được đơn giản và dễ dàng hơn. Một số đặc điểm quan  trọng của IAS bao gồm: 
• • • • • • •

Centralized authentication of remote requests.  Centralized authorization of remote requests.  Centralized accounting of resource usage.  Integration with Windows 2000 RRAS.  Control of outsourced dialing.  Simpler administration.  Scalability and extendibility. 

Cấu hình và cài đặt một IAS Lần lượt theo các bước sau:  1. Chọn Start, Programs, Administrative Tools, Routing and Remote Access để mở  Microsoft Management Console (MMC).  2. Ở cây console (khung bên trái), nhấp chuột phải vào server mà bạn muốn cấu hình  RADIUS authentication. Một menu tắt xuất hiện. Chọn Properties để mở bảng  server's Property.  3. Hoạt hóa tab Security của bảng Properties. Từ danh sách Authentication provider  xổ suống, chọn RADIUS Authentication, như hình 8­63.

Figure 8­63: Configuring RADIUS authentication on IAS. 4. Nhấp Configure để mở hộp thoại RADIUS Authentication, xem hình 8­64. 

Figure 8­64: The RADIUS Authentication dialog box. 5. Nhấp Add để mở hộp thoại Add RADIUS Server, xem hình 8­65. 

Figure 8­65: The Add RADIUS server dialog box. 6. Chỉ định tên của RADIUS server trong hộp Server name. Nhấp Change để chỉ  định secret được chia sẽ nào sẽ được dùng cho việc bảo mật thông tin giữa VPN  server (RAS) và RADIUS server, như hình 8­66. 

Figure 8­66: Specifying the shared secret information to be used between the  RADIUS server and the IAS server. 7. Nhấp OK để đóng hộp thoại Change Secret. Tiếp theo, nhấp OK để đóng hộp  thoại Add RADIUS server và quay trở về hộp thoại RADIUS Authentication. Bây  giờ bạn đã cấu hình xong RADIUS authentication trên IAS server, như hình 8­67. 

Figure 8­67: The successfully configured RADIUS­based IAS server. 8. Nhấp OK để đóng hộp thoại RADIUS Authentication. Một thông điệp thông báo  sẽ xuất hiện, như hình 8­68. Nhấp OK để đóng hộp thông báo và trở về bảng  Property. 

Figure 8­68: The successfully configured RADIUS­based IAS server. 9. Hoạt hóa tab Security của Property sheet, nếu cần thiết. Từ danh sách Accounting  provider sổ xuống, chọn RADIUS Accounting và sau đó nhấp Configure để mở  hộp thoại RADIUS Accounting, xem hình 8­69. 

Figure 8­69: The RADIUS Accounting dialog box. 10. Nhấp Add… để mở hộp thoại Add RADIUS Server và cấu hình những thiết lập  cho RADIUS Accounting server, xem hình 8­70. 

Figure 8­70: Adding the RADIUS server. 11. Nhấp OK để trở về hộp thoại RADIUS Accounting. Một lần nữa, Nhấp OK. Một  thông điệp thông báo xuất hiện. Nhấp OK để đóng hộp thông báo và trở về cửa sổ  MMC.  12. Bạn có thể được nhắc nhở nhập vào bất kỳ ứng dụng nào mà bạn muốn chạy khi  người dùng kết nối vào. Nhấp Next để tiếp tục. 

Cấu hình IAS Clients dựa trên RADIUS Bao gồm các bước sau:  1. Nhấp Start, Programs, Administrative Tools, Internet Authentication Service để  mở cửa sổ Internet Authentication Service, xem hình 8­71. 

Figure 8­71: The Internet Authentication Service window. 2. Ở ô bên trái, nhấp chuột phải Clients. Một menu tắt sẽ xuất hiện. Chọn New  Client để mở hộp thoại Add Client,  xem hình 8­72. 

Figure 8­72: The Add Client dialog box. 3. Ở hộp Friendly name, nhập vào một tên mô tả của client mà bạn đang cấu hình.  Trong danh sách Protocol sổ xuống, đảm bảo rằng RADIUS được chọn.  Xem  hình 8­73. Nhấp Next để tiếp tục. 

Figure 8­73: Supplying client details. 4. Trong hộp Client address (IP or DNS), nhập vào tên DNS hoặc địa chỉ IP của  client. Nếu bạn đã chỉ định rõ tên DNS, nhấp Verify. Hộp thoại Resolve DNS  Name sẽ xuất hiện, như hình 8­74. 

Figure 8­74: The Resolve DNS Name dialog box. 5. Nhấp Resolve và sau đó chọn địa chỉ IP từ danh sách Search results mà bạn muốn  kết hợp với tên đó. Kế tiếp, nhấp Use this IP để trở về cửa sổ Add RADIUS  Client.  6. Nếu bạn đang đăng ký một NAS client đến một IAS server, từ danh sách Client  Vendor sổ xuống chọn tên nhà sản xuất. Nếu bạn không biết tên nhà sản xuất hoặc  tên không có trong danh sách, chọn RADIUS Standard, như hình 8­75. 

Figure 8­75: Configuring an NAS as a client. 7. Nếu NAS hổ trợ chữ ký điện tử trong việc xác nhận, chọn tùy chọn “Client must  always send the signature attribute in the request”. Tuy nhiên, nếu NAS không hổ  trợ chữ ký điện tử, không chọn tùy chọn này. Nhấp OK xữ lý.  8. Nhấp Finish để hoàn thành quá trình đăng ký client và trở về cửa sổ Internet  Authentication Service. registered client sẽ xuất hiện ở ô bên trái của cửa sổ, như  hình 8­76. 

Figure 8­76: The registered client appears in the right pane of the window. Sao chép cấu hình của một IAS đến một Server khác Để sao chép cấu hình của một IAS server đến nơi khác, bạn cần thực hiện các công việc  sau :

1. Mở command prompt và nhập vào netsh aaaa show configuration <đường dẫn tập  tin văn bản>. Lệnh này dùng để lưu giữ thông tin vào một tập tin văn bản xác  định.  2. Sao chép tập tin văn bản mà bạn vừa tạo ra ở bước 1 đến máy đích.  3. Tại command prompt của máy đích, nhập lệnh netsh exec <đường dẫn của tập tin  vừa lưu trữ>. Một thông điệp sẽ hiện ra để thông báo lệnh thành công hay thất bại.  Nếu thông báo thành công, bạn đã sao chéo cấu hình của một IAS server đến nơi  khác.  Chú ý: Trong bước đầu tiên, nếu lệnh “netsh aaaa show configuration” không hoạt động, bạn có  thể dùng lệnh “netsh aaaa dump configuration”. Tương tự, dùng lệnh “netsh ras aaaa” nếu  lệnh “netsh aaaa” không làm việc.  Bạn không cần phải dừng IAS server đích để chạy lệnh netsh exec. IAS tự động được làm  tươi và cấu hình những thay đổi khi chạy lệnh này.  2 Cấu hình nâng cao VPN