محبوبه همتی

RADIUS چیست؟ معرفی ساختار کاری RADIUS مایکروسافت در 8 مرحله

RADIUS مخفف کلمه (RADIUS(Remote Authentication Dial-In User Service است و یک پروتکل برای انجام عملیات های مختلفی از جمله احراز هویت یا Authentication ، تعیین حدود دسترسی یا Authorization و حسابرسی کاربران یا Accounting استفاده می شود. این پروتکل در سیستم عامل های مختلفی که در دنیا وجود دارد با انواع و اقسام روش ها و با استفاده از نرم افزارهای مختلف قابل پیاده سازی می باشد اما در ویندوزها سرور شرکت مایکروسافت نیز با عنوان NPS یا Network Policy Services شناخته می شود.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
برای مشاهده تخفیف های ویژه امروز کلیک کنید

این سرویس را می توانید در ویندوز های سرور 2008 به بالا مشاهده کنید. RADIUS Server به سروری گفته می شود که می تواند عملیات های AAA یا همان سه عملیاتی که اشاره شد را انجام دهد ، در یک شرکت یا سازمانی که ده ها RAS Server وجود دارد منطقی نیست که همه عملیات های احراز هویت توسط سرورها انجام شود در چنین حالتی برای متمرکز سازی این سه عملیات از NPS یا RADIUS مایکروسافتی استفاده می شود. به تجهیزات یا سرویس هایی که می توانند عملیات احراز هویت خود را به گردن RADIUS بیندازند در اصطلاح RADIUS Client گفته می شود که در ویندوزهای سرور موارد زیر را می توانیم به عنوان RADIUS Client داشته باشیم :

  • Dial-Up Server
  • Wireless Access Point
  • VPN Server
  • 802.1X Switch

زمانیکه از طرف RADIUS Client هایی که عنوان کردیم درخواستی برای NPS یا همان RADIUS سرور مایکروسافتی ارسال می شود ، این سرویس در واقع یک مرکز اصلی احراز هویت و تعیین حدود دسترسی برای تمامی درخواست هایی که از RADIUS Client ها ارسال شده ارائه می کند. سرویس NPS می تواند از پایگاه داده هایی مانند Windows NT یا Active Directory و یا Active Directory Domain Services و یا حتی پایگاه داده Local سیستم که همان SAM است برای احراز هویت کاربران استفاده کند.

سرویس NPS از تب Dial-In ای که برای هر کاربر تعریف شده است برای انجام عملیات Authorization استفاده می کند. سرویس Accounting ای که NPS ارائه می دهد به پیچیدگی سرویس های Accounting ای نیست که توسط نرم افزارهای جانبی ویژه اینکار ارائه می شوند و فقط در قالب Log برداری از درخواست های RADUS Client ها در یک فایل Log در پایگاه داده ای مانند SQL می باشد که بعد ها می توان این اطلاعات را آنالیز کرد. در تصویر زیر شما می توانید یک سناریوی کامل از شیوه استفاده از سرویس NPS را مشاهده کنید.

وب سایت توسینسو

در اینجا سرویس NPS به عنوان یک RADIUS Server در شبکه مشغول به کار شده است و انواع و اقسام RADIUS Client های ممکن به آن متصل شده اند ، حتی در اینجا شما می توانید RADIUS Proxy را نیز مشاهده کنید. سرویس NPS در این سناریو از سرویس Active Directory Domain Services برای احراز هویت درخواست های RADIUS Client ها برای دسترسی به شبکه استفاده می کند. زمانیکه شما از NPS به عنوان RADIUS سرور استفاده می کنید ، این پیام ها یا بهتر بگوییم RADIUS Message ها هستند که فرآیند های Authentication Authorization و Accounting را برای دسترسی کاربران به شبکه انجام می دهند ، این فرآیند به شکل زیر انجام می شود :

  1. در مرحله اول درخواست های اتصال به شبکه یا همان Connection Request هایی از طرف RADIUS کلاینت ها مانند RAS سرور ، VPN Server ، Wireless Access Point و هر چیز دیگری که به عنوان RADIUS کلاینت شناخته می شود دریافت می شود ، در این حالت به RADIUS Client ها Access Server هم گفته می شود.
  2. Access Server ها به گونه ای پیکربندی شده اند که پیام های درخواست دسترسی یا Access Request Message ها را برای انجام شدن عملیات های Authentication Authorization و Accounting به سمت سرور NPS ارسال کنند. در این حالت درخواست های کلاینت ها به سمت NPS برای AAA ارسال می شود.
  3. سرور NPS یک برآورد از Access Request Message انجام می دهد ، در صورت نیاز سرور NPS برای Access Server ها یک Access Challenge Message ارسال می کند ، سرورهای Access در این حالت با دریافت این Challenge Message پردازشی را بر روی آنها انجام می دهند و در نهایت یک درخواست بروز شده یا یک Updated Access Request به NPS سرور ارسال می کنند ( البته این در حالی است که شما می خواهید مطمئن شوید درخواست از سرور درستی ارسال شده است )
  4. بعد از این فرآیند نام کاربری و رمز عبور کاربر بررسی می شود و همچنین Properties مربوط به تب Dial-IN نیز برای اطمینان از امکان دسترسی کاربر بصورت ریموت بررسی می شود ، تمامی این فرآیند ها با استفاده از یک ارتباط امن یا Domain Controller انجام می شود.
  5. درخواست ارتباط یا Connection Attempt به صورت همزمان ( در صورت پیکربندی ) هم با تنظیمات تب Dial-In و هم با Network Policies ای که برای کاربر تعریف شده است Authorize می شود.
  6. اگر درخواست ارتباط یا connection Attempt احراز هویت و اعتبارسنجی ( Authenticate و Authorize ) شد ، NPS Server برای سرورهای Access خود یک پیام تایید دسترسی یا Access Accept Message ارسال می کند. اگر در همین حین درخواست ارتباط تایید نشود سرور NPS به سرور Access خود یک پیام رد دسترسی یا Access Reject Message ارسال می کند.
  7. در این حین Access Server فرآیند ارتباط را با Access Client کامل می کند و در نهایت برای NPS Server یک پیام درخواست حسابرسی یا Accounting Request ارسال می کند و این پیام در Log های سرور NPS برای بررسی های بعدی ذخیره می شود.
  8. در آخرین مرحله نیز سرور NPS یک پاسخ با عنوان Accounting Response به Access Server ارسال می کند تا بگوید فرآیند لاگ برداری به درستی انجام شده است.
2 16
محبوبه همتی
محبوبه همتی

كارشناس نرم افزار، كارشناس شبكه هاي مايكروسافتي

نظرات