radius协议详解

竭诚为您提供优质文档/双击可除

radius协议详解

篇一：Radius远程用户拨号认证系统详解

Radius远程用户拨号认证系统

Radius：Remoteauthenticationdialinuserservice，远程用户拨号认证系统由RFc2865，RFc2866定义，是目前应用最广泛的（aaa是authentication（认证）、authorization（授权）和accounting（计费）的简称）基本概念

aaaauthentication、authorization、accounting

验证、授权、记费

pappasswordauthenticationprotocol口令验证协议

chapchallenge-handshakeauthenticationprotocol盘问握手验证协议

nasnetworkaccessserver网络接入服务器

RadiusRemoteauthenticationdialinuserservice

远程验证拨入用户服务（拨入用户的远程验证服务）

tcptransmissioncontrolprotocol传输控制协议

udpuserdatagramprotocol用户数据报协议

aaa实现途径

1.在网络接入服务器nas端：在nas端进行认证、授权和计费；

2.通过协议进行远程的认证、授权和记帐。实现aaa的协议有Radius

Radius是Remoteauthenticationdialinuserservice的简称，ma5200、isn8850和md5500上目前使用Radius完成对ppp用户的认证、授权和计费。

当用户想要通过某个网络(如电话网)与nas建立连接从而获得访问其他网络的权利时，nas可以选择在nas上进行本地认证计费，或把用户信息传递给Radius服务器，由Radius进行认证计费；Radius协议规定了nas与Radius服务器之间如何传递用户信息和记账信息；Radius服务器负责接收用户的连接请求，完成验证，并把传递服务给用户所需的配置信息返回给nas。

本地（nas）验证——pap方式

pap（passwordauthenticationprotocol）是密码验证协议的简称，是认证协议的一种。用户以明文的形式把用户名和他的密码传递给nas，nas根据用户名在nas端查找本地数据库，如果存在相同的用户名和密码表明验证通过,否

则表明验证未通过。

本地（nas）验证——chap方式

chap（challengehandshakeauthenticationprotocol）是查询握手验证协议的简称，是我们使用的另一种认证协议。secretpassword=md5（chapid+password+challenge）相比pap，chap密码使用的是md5加密验证的一种方式。

当用户请求上网时，服务器产生一个16字节的随机码（challenge）给用户（同时还有一个id号，本地路由器的hostname）。用户端得到这个包后使用自己独用的设备或软

件对传来的各域进行加密，生成一个(radius协议详

解)secretpassword传给nas。nas根据用户名查找自己本地的数据库，得到和用户端进行加密所用的一样的密码，然后根据原来的16字节的随机码进行加密，将其结果与secretpassword作比较，如果相同表明验证通过，如果不相同表明验证失败。

采用chap验证：当用户请求上网时，nas产生一个16

字节的随机码给用户（同时还有一个id号，本地路由器的hostname）。用户端得到这个包后使用自己独有的设备或软

件对传来的各域进行加密，生成一个response传给nas，nas 把传回来的chapid和Response分别作为用户名和密码，并把原来的16字节随机码传给Radius服务器。Radius根据用户名在服务器端查找数据库，得到和用户端进行加密所用的

一样的密码，然后根据传来的16字节的随机码进行加密，将其结果与传来的password作比较，如果相同表明验证通过，如果不相同表明验证失败。另外如果验证成功，Radius 服务器同样也可以生成一个16字节的随机码对用户进行询问（challenge）

kerberos

kerberos这一名词来源于希腊神话“三个头的狗——地狱之门守护者”

kerberos是一种网络认证协议，其设计目标是通过系统为客户机/服务器提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证，无需基于主机地址的信任，不要求网络上所有主机的物理安全，并假定网络上传送的数据包可以被任意地读取、修改和插入数据。在以上情况下，kerberos作为一种可信任的第三方认证服务，是通过传统的密码技术（如：共享密钥）执行认证服务的。

tacacs-终端访问控制器访问控制系统terminalaccesscontrolleraccess-controlsystem tacacs（终端访问控制器访问控制系统）对于unix网络来说是一个比较老的认证协议，它允许远程访问服务器传送用户登陆密码给认证服务器，认证服务器决定该用户是否可以登陆系统

tacacs+其实是一个全新的协议。tacacs+和Radius在

现有网络里已经取代了早期的协议。tacacs+应用传输控制协议（tcp），而Radius使用用户数据报协议（udp）。一些管理员推荐使用tacacs+协议，因为tcp更可靠些。Radius 从用户角度结合了认证和授权，而tacacs+分离了这两个操作。

我对authentication已经比较了解，但是对authoriztion还比较模糊,这次测试tacacs+,使我对authorization也开始了解了.授权简单的说就是给用户开

放某些资源.

我们目前支持exec授权,即给用户执行某些命令的权利,在这里的命令就是我们的clicommand.我们可以详细的配置一个用户可以执行某些clicommand,不能执行某些clicommand.确实可以管理得非常严格.当每次执行command 时都会到tacacs+server上去进行授权.不过当我们允许用户配置某一项,而它的subconfig中如果还有很多command,我们也许要逐项添加,也有点麻烦.但可以对命令和参数进

行这么详细的管理,感觉还挺有用的,不用担心有的用户乱

操作了.这个功能只限于cli,在webui上是没有用的,它的作用又显得不太重要了.

Radius协议

Raidus（Remoteauthenticationdialinuserservice）是对远端拨号接入用户的认证服务，Radius服务分客户端和