Протокол RADIUS
Протокол аутентификации Remote Authentication Dial-in User Service (RADIUS) рассматривается как механизм аутентификации и авторизации удаленных пользователей в условиях распределенной сетевой инфраструктуры, предоставляющий централизованные услуги по проверке подлинности и учету для служб удаленного доступа. Протокол RADIUS реализован в составе службы Internet Authentication Service (IAS), обеспечивающей централизованное управление аутентификацией, авторизацией и аудитом доступа на основании информации о пользователях, получаемой от контроллеров домена Windows Server 2003. Протокол RADIUS детально описан в открытых стандартах RFC 2138 и 2139. В рамках стандарта выделяются три компонента протокола) (рис. 14.1).
Клиент RADIUS. Клиент RADIUS принимает от пользователей запросы на аутентификацию. Все принятые запросы переадресовываются серверу RADIUS для последующей аутентификации и авторизации. Как правило, в качестве клиента протокола RADIUS выступает сервер удаленного доступа.
Сервер RADIUS. Основная задача сервера RADIUS заключается в централизованной обработке информации, предоставленной клиентами RADIUS. Один сервер способен обслуживать несколько клиентов RADIUS. Сервер осуществляет проверку подлинности пользователя и его полномочий. При этом в зависимости от реализации сервера RADIUS для проверки подлинности используются различные базы данных учетных записей. Реализованный в рамках службы Internet Authentication Service (IAS) сервер RADIUS способен в процессе проверки подлинности пользователя осуществлять взаимодействие со службой катаюга Active Directory.
Посредник RADIUS. Взаимодействие клиентов и серверов RADIUS осуществляется посредством специальных сообщений. В распределенных сетях клиент и сервер RADIUS могут быть разделены различными сетевыми устройствами (такими, например, как маршрутизатор). Под посредником RADIUS понимается сетевое устройство, способное осуществлять перенаправление сообщений протокола RADIUS.
Рис. 14.1. Компоненты протокола RADIUS
В рамках протокола RADIUS вводится понятие сферы (realm). Сферы используются для логической группировки клиентов RADIUS по некоторому признаку. Каждый клиент RADIUS может быть отнесен только к одной сфере. Информация о сфере RADIUS используется для выбора сервера RADIUS, который должен выполнить аутентификацию пользователя.
Протокол RADIUS является открытым стандартом Интернета. В силу этого он может использоваться для организации процесса аутентификации в гетерогенных сетях. Так, например, для аутентификации на UNIX-системах может использоваться информация об учетных записях пользователей из каталога Active Directory.
Служба проверки подлинности в Интернете
Поддержка функций сервера RADIUS, а также посредника RADIUS реализована в Windows Server 2003 в рамках Службы проверки подлинности в Интернете (Internet Authentication Service, IAS). Эта служба позиционируется как механизм централизованной аутентификации и авторизации пользователей, использующих различные способы подключений к сети. Служба IAS интегрирована с другими базовыми службами Windows Server 2003, такими, как служба маршрутизации и удаленного доступа и служба каталога Active Directory. Служба маршрутизации и удаленного доступа использует службу IAS для аутентификации и авторизации пользователей, подключающихся к сети удаленно. Фактически в случае развертывания в корпоративной сети службы IAS серверы удаленного доступа не выполняют процесс аутентификации пользователей. Все обязанности по проверке подлинности пользователей берет на себя служба IAS. При этом служба каталога рассматривается службой IAS как хранилище информации об учетных записях пользователей.
Преимущество использования IAS для аутентификации и авторизации пользователей особенно очевидно в гетерогенных сетях, реализующих различные механизмы подключений к сети (беспроводной доступ, коммутируемые подключения, а также VPN-подключения). Поддержка этого протокола реализована на многих современных платформах, что позволяет использовать его в межплатформенных решениях.
Рис. 14.2. Окно оснастки Internet Authentication Service
Управление службой IAS осуществляется при помощи оснастки Internet Authentication Service (рис. 14.2). Настройка конфигурации IAS осуществляется через механизм политик удаленного доступа, речь о которых пойдет позже в рамках этой главы.
Развертывание службы IAS
Служба IAS не устанавливается по умолчанию в процессе развертывания Windows Server 2003. В случае необходимости администратор должен выполнить установку службы самостоятельно, используя процедуры, описанные в разд. "Установка дополнительных сетевых компонентов" главы 12.
Содержание раздела