RADIUS-Serverarbeitsablauf

453
FariZ

Ich muss den Netzwerkworkflow der RADIUS-Lösung klären. Fordert der NAS jede einzelne Anforderung zuerst vom RADIUS-Server an? Ich weiß, dass RADIUS Authentifizierung und Abrechnung durchführen kann, aber ich weiß nicht, ob der NAS zuerst jede einzelne Anforderung von RADIUS abfragt oder nicht.

0
Ich hoffe die Frage jetzt klarer FariZ vor 5 Jahren 0
@ TwistyImpersonator. In der Terminologie der RADIUS-Protokollspezifikation bedeutet NAS "Network Access Server". In der RADIUS-Terminologie ist der NAS der RADIUS-Client und der AAA-Server der RADIUS-Server. Diese Verwendung des Akronyms NAS lag wahrscheinlich vor dem Aufkommen von "Network-Attached Storage". Spiff vor 5 Jahren 2
@Spiff danke. Sehr gut zu wissen. Twisty Impersonator vor 5 Jahren 0
* Fordert der NAS jede einzelne Anforderung zuerst vom RADIUS-Server an? * Welche Anforderungen haben Sie? Twisty Impersonator vor 5 Jahren 0

1 Antwort auf die Frage

0
Spiff

Wenn ein Gerät zum ersten Mal eine Verbindung zu einem NAS herstellt, verwendet der NAS RADIUS zur Authentifizierung des Geräts, bevor es dem Gerät erlaubt, eine vollständige Verbindung herzustellen und anderen Datenverkehr zuzulassen. In vielen Setups muss das Verbindungsgerät nur für diese Sitzung authentifiziert werden. Solange das Gerät mit dem NAS verbunden ist (dh, die Sitzung bleibt bestehen), wird es nicht erneut authentifiziert.

Wenn der NAS oder der RADIUS-Server jedoch so konfiguriert ist, dass er während aktiver Sitzungen eine regelmäßige erneute Authentifizierung erfordert, kann dies ebenfalls passieren. Es könnte beispielsweise alle 15 Minuten oder jede Stunde gemacht werden. Das genaue Intervall für die erneute Authentifizierung ist normalerweise eine Einstellung, die der Administrator des NAS oder des RADIUS-Servers konfigurieren kann.

Bei einer früheren Überarbeitung Ihrer Frage klang es, als ob Sie gefragt hätten, ob der NAS das Gerät bei jedem Paket authentifiziert, auf das die Antwort ein starkes "NEIN!" Lautet. Es wäre zu langsam und zu viel Verkehr / Last, um für jedes reale Datenpaket eine Handvoll RADIUS-Pakete austauschen zu müssen. Aus diesem Grund erfolgt die Authentifizierung pro Sitzung (mit möglichen periodischen Neuauthentifizierungsintervallen in der Größenordnung von einigen Minuten bis Stunden) und nicht pro Paket.

Nehmen Sie also an, dass sich 2 Client im Netzwerk authentifiziert und IP erhalten hat und einer von ihnen nach 1 Minute getrennt wurde. Wenn der zweite Client seine IP-Adresse in "Client ohne Verbindung" ändert (ich bin mir nicht sicher, ob der aktuelle Client in diesem Fall vom NEU-Status startet oder nicht) ) Radius fragt erneut nach Anmeldeinformationen oder nicht? oder wird Radius diese IP als bereits authentifizierter Benutzer weiterleiten? FariZ vor 5 Jahren 0
Wenn Sie aus meiner Sicht die IP-Adresse des Geräts manuell ändern, wird STATE in "NEW" geändert. Wenn dies der Fall ist, ist alles klar, der NAS kann im neuen Zustand erneut nach den Berechtigungsnachweisen fragen. Wenn aber nicht der TCP / UDP-Status geändert wird, wie kann NAS diesen Hack also vermeiden? FariZ vor 5 Jahren 0
@FariZ RADIUS authentifiziert Geräte, die Link-Layer-Verbindungen (Layer 2) zum NAS herstellen. IP-Adressen liegen um eine Schicht höher auf der Netzwerkschicht (Schicht 3). Es ist denkbar, dass Sie Ihre IP-Adresse ändern können, ohne Ihre Link-Layer-Sitzung zu beenden, damit keine erneute Authentifizierung ausgelöst wird. Wenn Sie jedoch die Link-Layer-Verbindung zum NAS trennen und wieder herstellen, werden Sie erneut authentifiziert. Spiff vor 5 Jahren 0
@FariZ Wenn diese Frage erfolgreich beantwortet wurde, klicken Sie auf die Umrandung eines Häkchens neben dieser Antwort, um sie als gelöst zu markieren. Spiff vor 5 Jahren 0

Verwandte Probleme