त्रिज्या: Difference between revisions
From Vigyanwiki
No edit summary |
|||
| Line 1: | Line 1: | ||
{{IPstack}} | {{IPstack}} | ||
दूरस्थ प्रमाणीकरण अंकपट्ट में उपयोगकर्ता सेवा (RADIUS) एक संजाल नवाचार है जो नेटवर्क सेवा से जुड़ने और उपयोग करने वाले उपयोगकर्ताओं के लिए केंद्रीकृत प्रमाणीकरण, प्राधिकरण और लेखा (AAA) कंप्यूटर सुरक्षा प्रबंधन प्रदान करता है। त्रिज्या को लिविंगस्टन एंटरप्राइजेज द्वारा 1991 में एक एक्सेस सर्वर प्रमाणीकरण और लेखा नवाचार के रूप में विकसित किया गया था। इसे बाद में आईईईई 802 और इंटरनेट इंजीनियरिंग टास्क फोर्स मानकों में लाया गया। | |||
त्रिज्या एक क्लाइंट/सर्वर नवाचार है जो एप्लिकेशन लेयर में चलता है, और ट्रांसमिशन कंट्रोल नवाचार या यूजर डेटाग्राम नवाचार का उपयोग कर सकता है। नेटवर्क एक्सेस सर्वर, जो नेटवर्क तक पहुंच को नियंत्रित करते हैं, में आमतौर पर एक रैडियस क्लाइंट घटक होता है जो रैडियस सर्वर के साथ संचार करता है।<ref name="ciscohow" />त्रिज्या अक्सर बैक-एंड डेटाबेस होता है | 802.1X प्रमाणीकरण के लिए पसंद का बैक-एंड।<ref name="Brown2006">{{cite book|author=Edwin Lyle Brown|title=802.1X पोर्ट-आधारित प्रमाणीकरण|url=https://books.google.com/books?id=nlbrC3KLvCAC&pg=PA17|year=2006|publisher=Taylor & Francis|isbn=978-1-4200-4465-2|page=17}}</ref> एक त्रिज्या सर्वर आमतौर पर UNIX या Microsoft Windows पर चलने वाली एक पृष्ठभूमि प्रक्रिया है।<ref name="ciscohow">{{cite web |url=http://www.cisco.com/en/US/tech/tk59/technologies_tech_note09186a00800945cc.shtml |title=रेडियस कैसे काम करता है?|publisher=[[Cisco]] |date=2006-01-19 |access-date=2009-04-15}}</ref> | |||
== | ==नवाचार घटक == | ||
त्रिज्या एक AAA_ (कंप्यूटर_सुरक्षा) (प्रमाणीकरण, प्राधिकरण और लेखा) नवाचार है जो नेटवर्क एक्सेस का प्रबंधन करता है। त्रिज्या पूर्ण AAA प्रक्रिया को प्रबंधित करने के लिए दो प्रकार के नेटवर्क पैकेट का उपयोग करता है: एक्सेस-अनुरोध, जो प्रमाणीकरण और प्राधिकरण का प्रबंधन करता है; और लेखा-अनुरोध, जो लेखांकन का प्रबंधन करता है। प्रमाणीकरण और प्राधिकरण को RFC 2865 में परिभाषित किया गया है जबकि लेखांकन का वर्णन RFC 2866 द्वारा किया गया है। | |||
=== प्रमाणीकरण और प्राधिकरण === | === प्रमाणीकरण और प्राधिकरण === | ||
उपयोगकर्ता या मशीन एक्सेस क्रेडेंशियल्स का उपयोग करके किसी विशेष नेटवर्क संसाधन तक पहुंच प्राप्त करने के लिए नेटवर्क एक्सेस सर्वर (एनएएस) को अनुरोध भेजता है। लिंक-लेयर | उपयोगकर्ता या मशीन एक्सेस क्रेडेंशियल्स का उपयोग करके किसी विशेष नेटवर्क संसाधन तक पहुंच प्राप्त करने के लिए नेटवर्क एक्सेस सर्वर (एनएएस) को अनुरोध भेजता है। लिंक-लेयर नवाचार के माध्यम से एनएएस डिवाइस को क्रेडेंशियल पास किए जाते हैं - उदाहरण के लिए, कई डायलअप या डीएसएल प्रदाताओं के मामले में पॉइंट-टू-पॉइंट नवाचार (पीपीपी) या HTTPS सुरक्षित वेब फॉर्म में पोस्ट किया गया। | ||
बदले में, NAS | बदले में, NAS त्रिज्या नवाचार के माध्यम से पहुँच प्रदान करने के लिए प्राधिकरण का अनुरोध करते हुए त्रिज्या सर्वर को त्रिज्या एक्सेस अनुरोध संदेश भेजता है।<ref name="rfc2865">RFC 2865 Remote Authentication Dial In User Service (RADIUS)</ref> | ||
इस अनुरोध में एक्सेस क्रेडेंशियल शामिल हैं, आमतौर पर उपयोगकर्ता नाम और पासवर्ड या उपयोगकर्ता द्वारा प्रदान किए गए सुरक्षा प्रमाणपत्र के रूप में। इसके अतिरिक्त, अनुरोध में अन्य जानकारी शामिल हो सकती है जो NAS उपयोगकर्ता के बारे में जानता है, जैसे कि उसका नेटवर्क पता या फोन नंबर, और उपयोगकर्ता के NAS के साथ लगाव के भौतिक बिंदु के बारे में जानकारी। | इस अनुरोध में एक्सेस क्रेडेंशियल शामिल हैं, आमतौर पर उपयोगकर्ता नाम और पासवर्ड या उपयोगकर्ता द्वारा प्रदान किए गए सुरक्षा प्रमाणपत्र के रूप में। इसके अतिरिक्त, अनुरोध में अन्य जानकारी शामिल हो सकती है जो NAS उपयोगकर्ता के बारे में जानता है, जैसे कि उसका नेटवर्क पता या फोन नंबर, और उपयोगकर्ता के NAS के साथ लगाव के भौतिक बिंदु के बारे में जानकारी। | ||
त्रिज्या सर्वर यह जाँचता है कि पासवर्ड प्रमाणीकरण नवाचार, चैलेंज-हैंडशेक प्रमाणीकरण नवाचार या एक्स्टेंसिबल ऑथेंटिकेशन नवाचार जैसी प्रमाणीकरण योजनाओं का उपयोग करके जानकारी सही है। वैकल्पिक रूप से, अनुरोध से संबंधित अन्य जानकारी, जैसे उपयोगकर्ता का नेटवर्क पता या फ़ोन नंबर, खाता स्थिति, और विशिष्ट नेटवर्क सेवा एक्सेस विशेषाधिकार के साथ, उपयोगकर्ता के पहचान के प्रमाण को सत्यापित किया जाता है। ऐतिहासिक रूप से, त्रिज्या सर्वर ने स्थानीय रूप से संग्रहीत फ्लैट फ़ाइल डेटाबेस के विरुद्ध उपयोगकर्ता की जानकारी की जाँच की। आधुनिक त्रिज्या सर्वर ऐसा कर सकते हैं, या उपयोगकर्ता के क्रेडेंशियल्स को सत्यापित करने के लिए बाहरी स्रोतों-आमतौर पर SQL, Kerberos (नवाचार), LDAP, या सक्रिय निर्देशिका सर्वरों को संदर्भित कर सकते हैं। | |||
[[File:Drawing RADIUS 1812.svg|thumb|350px|त्रिज्या प्रमाणीकरण और प्राधिकरण प्रवाह]] | [[File:Drawing RADIUS 1812.svg|thumb|350px|त्रिज्या प्रमाणीकरण और प्राधिकरण प्रवाह]]त्रिज्या सर्वर तब NAS को तीन प्रतिक्रियाओं में से एक देता है: 1) एक्सेस रिजेक्ट, 2) एक्सेस चैलेंज, या 3) एक्सेस एक्सेप्ट। | ||
; एक्सेस रिजेक्ट: उपयोगकर्ता को बिना शर्त सभी अनुरोधित नेटवर्क संसाधनों तक पहुंच से वंचित कर दिया जाता है। कारणों में पहचान का प्रमाण प्रदान करने में विफलता या कोई अज्ञात या निष्क्रिय उपयोगकर्ता खाता शामिल हो सकता है। | ; एक्सेस रिजेक्ट: उपयोगकर्ता को बिना शर्त सभी अनुरोधित नेटवर्क संसाधनों तक पहुंच से वंचित कर दिया जाता है। कारणों में पहचान का प्रमाण प्रदान करने में विफलता या कोई अज्ञात या निष्क्रिय उपयोगकर्ता खाता शामिल हो सकता है। | ||
; एक्सेस चैलेंज: यूजर से सेकेंडरी पासवर्ड, पिन, टोकन या कार्ड जैसी अतिरिक्त जानकारी का अनुरोध करता है। एक्सेस चैलेंज का उपयोग अधिक जटिल प्रमाणीकरण संवादों में भी किया जाता है जहां उपयोगकर्ता मशीन और रेडियस सर्वर के बीच एक सुरक्षित सुरंग स्थापित की जाती है ताकि एक्सेस क्रेडेंशियल NAS से छिपे हों। | ; एक्सेस चैलेंज: यूजर से सेकेंडरी पासवर्ड, पिन, टोकन या कार्ड जैसी अतिरिक्त जानकारी का अनुरोध करता है। एक्सेस चैलेंज का उपयोग अधिक जटिल प्रमाणीकरण संवादों में भी किया जाता है जहां उपयोगकर्ता मशीन और रेडियस सर्वर के बीच एक सुरक्षित सुरंग स्थापित की जाती है ताकि एक्सेस क्रेडेंशियल NAS से छिपे हों। | ||
; पहुंच स्वीकार करें: उपयोगकर्ता को पहुंच प्रदान की जाती है। एक बार जब उपयोगकर्ता प्रमाणित हो जाता है, तो | ; पहुंच स्वीकार करें: उपयोगकर्ता को पहुंच प्रदान की जाती है। एक बार जब उपयोगकर्ता प्रमाणित हो जाता है, तो त्रिज्या सर्वर अक्सर जाँच करेगा कि उपयोगकर्ता अनुरोधित नेटवर्क सेवा का उपयोग करने के लिए अधिकृत है। किसी दिए गए उपयोगकर्ता को कंपनी के वायरलेस नेटवर्क का उपयोग करने की अनुमति दी जा सकती है, लेकिन इसकी वीपीएन सेवा नहीं, उदाहरण के लिए। फिर से, यह जानकारी त्रिज्या सर्वर पर स्थानीय रूप से संग्रहीत की जा सकती है, या किसी बाहरी स्रोत जैसे LDAP या सक्रिय निर्देशिका में देखी जा सकती है। | ||
इन तीन | इन तीन त्रिज्या प्रतिक्रियाओं में से प्रत्येक में एक उत्तर-संदेश विशेषता शामिल हो सकती है जो अस्वीकृति का कारण, चुनौती के लिए संकेत, या स्वीकार करने के लिए एक स्वागत संदेश दे सकती है। विशेषता में पाठ उपयोगकर्ता को रिटर्न वेब पेज में पास किया जा सकता है। | ||
प्राधिकरण त्रिज्या मान NAS को दी जाने वाली पहुंच की शर्तों को निर्धारित करता है। उदाहरण के लिए, निम्नलिखित प्राधिकरण विशेषताओं को एक्सेस-स्वीकृति में शामिल किया जा सकता है: | प्राधिकरण त्रिज्या मान NAS को दी जाने वाली पहुंच की शर्तों को निर्धारित करता है। उदाहरण के लिए, निम्नलिखित प्राधिकरण विशेषताओं को एक्सेस-स्वीकृति में शामिल किया जा सकता है: | ||
* उपयोगकर्ता को निर्दिष्ट किया जाने वाला विशिष्ट आईपी पता | * उपयोगकर्ता को निर्दिष्ट किया जाने वाला विशिष्ट आईपी पता | ||
* पता पूल जिससे उपयोगकर्ता का आईपी पता चुना जाना चाहिए | * पता पूल जिससे उपयोगकर्ता का आईपी पता चुना जाना चाहिए | ||
| Line 36: | Line 33: | ||
* सेवा की गुणवत्ता (क्यूओएस) पैरामीटर | * सेवा की गुणवत्ता (क्यूओएस) पैरामीटर | ||
जब क्लाइंट को | जब क्लाइंट को त्रिज्या का उपयोग करने के लिए कॉन्फ़िगर किया जाता है, तो क्लाइंट का कोई भी उपयोगकर्ता क्लाइंट को प्रमाणीकरण जानकारी प्रस्तुत करता है। यह एक अनुकूलन योग्य लॉगिन प्रॉम्प्ट के साथ हो सकता है, जहां उपयोगकर्ता से अपना उपयोगकर्ता नाम और पासवर्ड दर्ज करने की अपेक्षा की जाती है। वैकल्पिक रूप से, उपयोगकर्ता पॉइंट-टू-पॉइंट नवाचार (पीपीपी) जैसे लिंक फ़्रेमिंग नवाचार का उपयोग कर सकता है, जिसमें प्रमाणीकरण पैकेट होते हैं जो इस जानकारी को ले जाते हैं। | ||
एक बार क्लाइंट को ऐसी जानकारी प्राप्त हो जाने के बाद, वह | एक बार क्लाइंट को ऐसी जानकारी प्राप्त हो जाने के बाद, वह त्रिज्या का उपयोग करके प्रमाणित करना चुन सकता है। ऐसा करने के लिए, क्लाइंट एक एक्सेस-अनुरोध बनाता है जिसमें उपयोगकर्ता का नाम, उपयोगकर्ता का पासवर्ड, क्लाइंट की आईडी और उपयोगकर्ता द्वारा एक्सेस की जा रही पोर्ट आईडी जैसे गुण होते हैं। जब कोई पासवर्ड मौजूद होता है, तो उसे RSA Message Digest Algorithm MD5 पर आधारित एक विधि का उपयोग करके छिपा दिया जाता है। | ||
===लेखा === | ===लेखा === | ||
[[File:Drawing RADIUS 1813.svg|thumb|350px|right|त्रिज्या लेखा प्रवाह]]लेखांकन RFC 2866 में वर्णित है। | [[File:Drawing RADIUS 1813.svg|thumb|350px|right|त्रिज्या लेखा प्रवाह]]लेखांकन RFC 2866 में वर्णित है। | ||
जब नेटवर्क एक्सेस सर्वर द्वारा उपयोगकर्ता को नेटवर्क एक्सेस प्रदान किया जाता है, तो एक अकाउंटिंग स्टार्ट (एक रेडियस अकाउंटिंग रिक्वेस्ट पैकेट जिसमें वैल्यू स्टार्ट के साथ एक्ट-स्टेटस-टाइप एट्रिब्यूट होता है) NAS द्वारा रैडियस सर्वर को शुरू होने का संकेत देने के लिए भेजा जाता है। उपयोगकर्ता की नेटवर्क पहुंच। प्रारंभ रिकॉर्ड में आमतौर पर उपयोगकर्ता की पहचान, नेटवर्क पता, अनुलग्नक बिंदु और एक अद्वितीय सत्र पहचानकर्ता होता है।<ref>RFC 2866 RADIUS Accounting</ref> | जब नेटवर्क एक्सेस सर्वर द्वारा उपयोगकर्ता को नेटवर्क एक्सेस प्रदान किया जाता है, तो एक अकाउंटिंग स्टार्ट (एक रेडियस अकाउंटिंग रिक्वेस्ट पैकेट जिसमें वैल्यू स्टार्ट के साथ एक्ट-स्टेटस-टाइप एट्रिब्यूट होता है) NAS द्वारा रैडियस सर्वर को शुरू होने का संकेत देने के लिए भेजा जाता है। उपयोगकर्ता की नेटवर्क पहुंच। प्रारंभ रिकॉर्ड में आमतौर पर उपयोगकर्ता की पहचान, नेटवर्क पता, अनुलग्नक बिंदु और एक अद्वितीय सत्र पहचानकर्ता होता है।<ref>RFC 2866 RADIUS Accounting</ref> | ||
समय-समय पर, अंतरिम अपडेट रिकॉर्ड (एक | समय-समय पर, अंतरिम अपडेट रिकॉर्ड (एक त्रिज्या अकाउंटिंग अनुरोध पैकेट जिसमें एक Acct-Status-Type विशेषता होती है, जिसमें मान अंतरिम-अद्यतन होता है) NAS द्वारा त्रिज्या सर्वर को भेजा जा सकता है, इसे सक्रिय सत्र की स्थिति पर अपडेट करने के लिए। अंतरिम रिकॉर्ड आम तौर पर वर्तमान सत्र की अवधि और वर्तमान डेटा उपयोग की जानकारी देते हैं। | ||
अंत में, जब उपयोगकर्ता का नेटवर्क एक्सेस बंद हो जाता है, तो NAS | अंत में, जब उपयोगकर्ता का नेटवर्क एक्सेस बंद हो जाता है, तो NAS त्रिज्या सर्वर को एक अंतिम अकाउंटिंग स्टॉप रिकॉर्ड (एक त्रिज्या अकाउंटिंग रिक्वेस्ट पैकेट जिसमें एक Acct-Status-Type विशेषता होती है) त्रिज्या सर्वर को जारी करता है, जो अंतिम उपयोग के बारे में जानकारी प्रदान करता है। समय, पैकेट ट्रांसफर, डेटा ट्रांसफर, डिस्कनेक्ट करने का कारण और उपयोगकर्ता के नेटवर्क एक्सेस से संबंधित अन्य जानकारी। | ||
आम तौर पर, क्लाइंट लेखांकन-अनुरोध पैकेट भेजता है जब तक कि उसे कुछ पुनर्प्रयास अंतराल का उपयोग करके लेखा-प्रतिक्रिया पावती प्राप्त न हो जाए। | आम तौर पर, क्लाइंट लेखांकन-अनुरोध पैकेट भेजता है जब तक कि उसे कुछ पुनर्प्रयास अंतराल का उपयोग करके लेखा-प्रतिक्रिया पावती प्राप्त न हो जाए। | ||
| Line 53: | Line 50: | ||
== रोमिंग == | == रोमिंग == | ||
[[File:Drawing Roaming RADIUS.png|thumb|350px|एक प्रॉक्सी | [[File:Drawing Roaming RADIUS.png|thumb|350px|एक प्रॉक्सी त्रिज्या AAA सर्वर का उपयोग करके रोमिंग।]]त्रिज्या का उपयोग आमतौर पर इंटरनेट सेवा प्रदाताओं के बीच रोमिंग की सुविधा के लिए किया जाता है, जिसमें निम्न शामिल हैं: | ||
* कंपनियां जो एक वैश्विक साख प्रदान करती हैं जो कई सार्वजनिक नेटवर्क पर प्रयोग करने योग्य हैं; | * कंपनियां जो एक वैश्विक साख प्रदान करती हैं जो कई सार्वजनिक नेटवर्क पर प्रयोग करने योग्य हैं; | ||
* स्वतंत्र, लेकिन सहयोगी, संस्थान अपने स्वयं के उपयोगकर्ताओं को अपने स्वयं के क्रेडेंशियल जारी करते हैं, जो एक से दूसरे आगंतुक को उनके गृह संस्थान द्वारा प्रमाणित करने की अनुमति देते हैं, जैसे कि eduroam में। | * स्वतंत्र, लेकिन सहयोगी, संस्थान अपने स्वयं के उपयोगकर्ताओं को अपने स्वयं के क्रेडेंशियल जारी करते हैं, जो एक से दूसरे आगंतुक को उनके गृह संस्थान द्वारा प्रमाणित करने की अनुमति देते हैं, जैसे कि eduroam में। | ||
त्रिज्या इसे क्षेत्र के उपयोग द्वारा सुगम बनाता है, जो यह पहचानते हैं कि त्रिज्या सर्वर को प्रसंस्करण के लिए AAA अनुरोधों को कहाँ अग्रेषित करना चाहिए। | |||
=== क्षेत्र === | === क्षेत्र === | ||
एक दायरे को आमतौर पर एक उपयोगकर्ता के उपयोगकर्ता नाम के साथ जोड़ा जाता है और एक '@' चिन्ह के साथ सीमांकित किया जाता है, जो एक ईमेल पता डोमेन नाम जैसा दिखता है। इसे दायरे के लिए पोस्टफ़िक्स नोटेशन के रूप में जाना जाता है। एक अन्य सामान्य उपयोग उपसर्ग संकेतन है, जिसमें उपयोगकर्ता नाम के दायरे को पूर्वनिर्धारित करना और एक सीमांकक के रूप में '\' का उपयोग करना शामिल है। | एक दायरे को आमतौर पर एक उपयोगकर्ता के उपयोगकर्ता नाम के साथ जोड़ा जाता है और एक '@' चिन्ह के साथ सीमांकित किया जाता है, जो एक ईमेल पता डोमेन नाम जैसा दिखता है। इसे दायरे के लिए पोस्टफ़िक्स नोटेशन के रूप में जाना जाता है। एक अन्य सामान्य उपयोग उपसर्ग संकेतन है, जिसमें उपयोगकर्ता नाम के दायरे को पूर्वनिर्धारित करना और एक सीमांकक के रूप में '\' का उपयोग करना शामिल है। | ||
आधुनिक | आधुनिक त्रिज्या सर्वर किसी भी वर्ण को एक वास्तविक सीमांकक के रूप में उपयोग करने की अनुमति देते हैं, हालांकि व्यवहार में '@' और '\' आमतौर पर उपयोग किए जाते हैं। | ||
जटिल रोमिंग परिदृश्यों की अनुमति देने के लिए, प्रीफ़िक्स और पोस्टफ़िक्स नोटेशन दोनों का उपयोग करके स्थानों को भी संयोजित किया जा सकता है; उदाहरण के लिए, somedomain.com\username@anotherdomain.com दो क्षेत्रों वाला एक मान्य उपयोगकर्ता नाम हो सकता है। | जटिल रोमिंग परिदृश्यों की अनुमति देने के लिए, प्रीफ़िक्स और पोस्टफ़िक्स नोटेशन दोनों का उपयोग करके स्थानों को भी संयोजित किया जा सकता है; उदाहरण के लिए, somedomain.com\username@anotherdomain.com दो क्षेत्रों वाला एक मान्य उपयोगकर्ता नाम हो सकता है। | ||
| Line 68: | Line 65: | ||
=== प्रॉक्सी संचालन === | === प्रॉक्सी संचालन === | ||
जब एक | जब एक त्रिज्या सर्वर एक उपयोगकर्ता नाम के लिए AAA अनुरोध प्राप्त करता है जिसमें एक क्षेत्र होता है, तो सर्वर कॉन्फ़िगर किए गए स्थानों की एक तालिका का संदर्भ देगा। यदि क्षेत्र ज्ञात है, तो सर्वर उस डोमेन के लिए कॉन्फ़िगर किए गए होम सर्वर के लिए अनुरोध को प्रॉक्सी करेगा। अनुरोध (स्ट्रिपिंग) से दायरे को हटाने के संबंध में प्रॉक्सी सर्वर का व्यवहार अधिकांश सर्वरों पर कॉन्फ़िगरेशन-निर्भर है। इसके अलावा, प्रॉक्सी सर्वर को एएए अनुरोधों को जोड़ने, हटाने या फिर से लिखने के लिए कॉन्फ़िगर किया जा सकता है जब वे समय के साथ फिर से प्रॉक्सी हो जाते हैं। | ||
त्रिज्या में प्रॉक्सी चेनिंग संभव है और प्रमाणीकरण/प्राधिकरण और अकाउंटिंग पैकेट आमतौर पर प्रॉक्सी की एक श्रृंखला के माध्यम से NAS डिवाइस और होम सर्वर के बीच रूट किए जाते हैं। प्रॉक्सी श्रृंखलाओं का उपयोग करने के कुछ लाभों में मापनीयता में सुधार, नीति कार्यान्वयन और क्षमता समायोजन शामिल हैं। लेकिन रोमिंग परिदृश्यों में, NAS, प्रॉक्सी और होम सर्वर को आमतौर पर विभिन्न प्रशासनिक संस्थाओं द्वारा प्रबंधित किया जा सकता है। इसलिए, ऐसे इंटर-डोमेन अनुप्रयोगों के तहत प्रॉक्सी के बीच विश्वास कारक अधिक महत्व प्राप्त करता है। इसके अलावा, त्रिज्या में एंड टू एंड सुरक्षा की अनुपस्थिति शामिल प्रॉक्सी के बीच विश्वास की गंभीरता को जोड़ती है। प्रॉक्सी जंजीरों को rfc:2607 में समझाया गया है। | |||
=== सुरक्षा === | === सुरक्षा === | ||
रैडियस के साथ रोमिंग करने से उपयोगकर्ताओं को विभिन्न सुरक्षा और गोपनीयता चिंताओं का सामना करना पड़ता है। अधिक आम तौर पर, कुछ रोमिंग पार्टनर | रैडियस के साथ रोमिंग करने से उपयोगकर्ताओं को विभिन्न सुरक्षा और गोपनीयता चिंताओं का सामना करना पड़ता है। अधिक आम तौर पर, कुछ रोमिंग पार्टनर त्रिज्या सर्वर के बीच एक सुरक्षित सुरंग स्थापित करते हैं ताकि यह सुनिश्चित किया जा सके कि इंटरनेट पर प्रॉक्सी होने के दौरान उपयोगकर्ताओं की साख को बाधित नहीं किया जा सकता है। यह एक चिंता का विषय है क्योंकि त्रिज्या में निर्मित MD5 हैश को असुरक्षित माना जाता है।<ref>{{cite web |url=http://www.win.tue.nl/hashclash/rogue-ca/ |title=MD5 आज हानिकारक माना जाता है - एक दुष्ट CA प्रमाणपत्र बनाना|publisher=[[Technische Universiteit Eindhoven]] |author1=Alexander Sotirov |author2=Marc Stevens |author3=Jacob Appelbaum |author4=Arjen Lenstra |author5=David Molnar |author6=Dag Arne Osvik |author7=Benne de Weger |date=2008-12-08 |access-date=2009-04-19}}</ref> | ||
==पैकेट संरचना== | ==पैकेट संरचना== | ||
[[File:RADIUS packet format.svg|thumb|350px| | [[File:RADIUS packet format.svg|thumb|350px|त्रिज्या पैकेट डेटा स्वरूप।]]त्रिज्या को पोर्ट (कंप्यूटर नेटवर्किंग) 1812 और 1813 पर UDP/IP पर ले जाया जाता है।<ref>{{cite web |title=एनपीएस यूडीपी पोर्ट जानकारी कॉन्फ़िगर करें|url=https://docs.microsoft.com/en-us/windows-server/networking/technologies/nps/nps-udp-ports-configure |date=2020-08-07 |publisher=[[Microsoft]] |access-date=2021-06-20}}</ref> | ||
त्रिज्या नेटवर्क पैकेट डेटा स्वरूप दाईं ओर दिखाया गया है। कोड, पहचानकर्ता, लंबाई, प्रमाणक और विशेषताओं से शुरू होने वाले फ़ील्ड को बाएं से दाएं प्रेषित किया जाता है। | |||
असाइन किए गए | असाइन किए गए त्रिज्या कोड (दशमलव) में निम्नलिखित शामिल हैं:<ref>{{cite web |title=त्रिज्या के लिए IANA विचार (उपयोगकर्ता सेवा में दूरस्थ प्रमाणीकरण डायल)|url=https://datatracker.ietf.org/doc/html/rfc3575 |publisher=Internet Engineering Task Force (IETF) |access-date=8 May 2021 |date=July 2003}}</ref> | ||
{| class="wikitable" | {| class="wikitable" | ||
| Line 119: | Line 116: | ||
पहचानकर्ता फ़ील्ड अनुरोधों और उत्तरों के मिलान में सहायता करता है। | पहचानकर्ता फ़ील्ड अनुरोधों और उत्तरों के मिलान में सहायता करता है। | ||
लंबाई फ़ील्ड कोड, पहचानकर्ता, लंबाई, प्रमाणक और वैकल्पिक विशेषता फ़ील्ड सहित पूरे | लंबाई फ़ील्ड कोड, पहचानकर्ता, लंबाई, प्रमाणक और वैकल्पिक विशेषता फ़ील्ड सहित पूरे त्रिज्या पैकेट की लंबाई को इंगित करता है। | ||
प्रमाणक का उपयोग | प्रमाणक का उपयोग त्रिज्या सर्वर से उत्तर को प्रमाणित करने के लिए किया जाता है, और पासवर्ड को एन्क्रिप्ट करने में उपयोग किया जाता है; इसकी लंबाई 16 बाइट्स है। | ||
=== विशेषता मूल्य जोड़े === | === विशेषता मूल्य जोड़े === | ||
[[File:RADIUS AVP layout.svg|thumb|350px|त्रिज्या एवीपी लेआउट]] | [[File:RADIUS AVP layout.svg|thumb|350px|त्रिज्या एवीपी लेआउट]]त्रिज्या एट्रिब्यूट वैल्यू पेयर (AVP) प्रमाणीकरण, प्राधिकरण और लेखा लेनदेन के अनुरोध और प्रतिक्रिया दोनों में डेटा ले जाता है। एवीपी के अंत को निर्धारित करने के लिए त्रिज्या पैकेट की लंबाई का उपयोग किया जाता है। | ||
{|class="wikitable collapsible collapsed" | {|class="wikitable collapsible collapsed" | ||
| Line 506: | Line 503: | ||
==विक्रेता-विशिष्ट विशेषताएँ== | ==विक्रेता-विशिष्ट विशेषताएँ== | ||
त्रिज्या एक्स्टेंसिबल है; | त्रिज्या एक्स्टेंसिबल है; त्रिज्या हार्डवेयर और सॉफ़्टवेयर के कई विक्रेता विक्रेता-विशिष्ट विशेषताओं (VSAs) का उपयोग करके अपने स्वयं के वेरिएंट को लागू करते हैं। माइक्रोसॉफ्ट ने अपने कुछ वीएसए प्रकाशित किए हैं।<ref>RFC 2548</ref> कई अन्य कंपनियों की VSA परिभाषाएँ मालिकाना और/या तदर्थ बनी हुई हैं, फिर भी कई VSA शब्दकोश खुले स्रोत त्रिज्या कार्यान्वयन के स्रोत कोड को डाउनलोड करके प्राप्त किए जा सकते हैं, उदाहरण के लिए FreeRADIUS। | ||
== सुरक्षा == | == सुरक्षा == | ||
त्रिज्या नवाचार एक साझा रहस्य और MD5 हैशिंग एल्गोरिथम का उपयोग करके अस्पष्ट पासवर्ड प्रसारित करता है। चूंकि यह विशेष कार्यान्वयन उपयोगकर्ता के क्रेडेंशियल्स की केवल कमजोर सुरक्षा प्रदान करता है,<ref>[http://www.untruth.org/~josh/security/radius/radius-auth.html An Analysis of the RADIUS Authentication Protocol]</ref> अतिरिक्त सुरक्षा, जैसे कि IPsec टनल या भौतिक रूप से सुरक्षित डेटा-सेंटर नेटवर्क, का उपयोग NAS डिवाइस और त्रिज्या सर्वर के बीच त्रिज्या ट्रैफ़िक की सुरक्षा के लिए किया जाना चाहिए। इसके अतिरिक्त, उपयोगकर्ता के सुरक्षा क्रेडेंशियल केवल त्रिज्या द्वारा संरक्षित भाग हैं, फिर भी अन्य उपयोगकर्ता-विशिष्ट विशेषताएँ जैसे कि टनल-ग्रुप आईडी या VLAN सदस्यता त्रिज्या के ऊपर पारित संवेदनशील (हमलावर के लिए सहायक) या निजी (पहचानने के लिए पर्याप्त) माना जा सकता है। व्यक्तिगत ग्राहक) जानकारी भी।{{Citation needed|date=April 2009}} रैडसेक नवाचार उपरोक्त सुरक्षा मुद्दों को हल करने का दावा करता है। | |||
==इतिहास== | ==इतिहास== | ||
जैसा कि अधिक डायल-अप ग्राहक NSFNET का उपयोग करते हैं, मेरिट नेटवर्क द्वारा 1991 में उनके विभिन्न मालिकाना प्रमाणीकरण, प्राधिकरण और लेखा प्रणालियों को मजबूत करने के लिए प्रस्ताव के लिए अनुरोध भेजा गया था। शुरुआती उत्तरदाताओं में लिविंगस्टन एंटरप्राइजेज था और रैडियस का शुरुआती संस्करण एक बैठक के बाद लिखा गया था। प्रारंभिक | जैसा कि अधिक डायल-अप ग्राहक NSFNET का उपयोग करते हैं, मेरिट नेटवर्क द्वारा 1991 में उनके विभिन्न मालिकाना प्रमाणीकरण, प्राधिकरण और लेखा प्रणालियों को मजबूत करने के लिए प्रस्ताव के लिए अनुरोध भेजा गया था। शुरुआती उत्तरदाताओं में लिविंगस्टन एंटरप्राइजेज था और रैडियस का शुरुआती संस्करण एक बैठक के बाद लिखा गया था। प्रारंभिक त्रिज्या सर्वर UNIX ऑपरेटिंग सिस्टम पर स्थापित किया गया था। लिविंगस्टन एंटरप्राइजेज को ल्यूसेंट द्वारा अधिग्रहित किया गया था और एक नवाचार के रूप में रैडियस के लिए उद्योग स्वीकृति प्राप्त करने के लिए मेरिट कदम उठाए गए थे। दोनों कंपनियों ने बिना किसी शुल्क के त्रिज्या सर्वर की पेशकश की।<ref>{{Cite book|title= RADIUS: निजी संसाधनों तक सार्वजनिक पहुंच को सुरक्षित करना|author =Jonathan Hassell |publisher= O'Reilly Media |year=2003 |isbn= 9780596003227|pages=15–16}}</ref> 1997 में त्रिज्या को RFC 2058 और RFC 2059 के रूप में प्रकाशित किया गया था, वर्तमान संस्करण RFC 2865 और RFC 2866 हैं।<ref name="Vollbrecht2006">{{cite web|url=http://www.interlinknetworks.com/app_notes/History%20of%20RADIUS.pdf|title=त्रिज्या की शुरुआत और इतिहास|author=John Vollbrecht|year=2006|publisher=Interlink Networks|access-date=2009-04-15}}</ref> | ||
मूल | मूल त्रिज्या मानक निर्दिष्ट करता है कि त्रिज्या स्टेटलेस नवाचार है और इसे उपयोगकर्ता डेटाग्राम नवाचार (UDP) पर चलाना चाहिए। प्रमाणीकरण के लिए यह परिकल्पना की गई थी कि रैडियस को पॉइंट-टू-पॉइंट नवाचार पर पासवर्ड ऑथेंटिकेशन नवाचार (PAP) और चैलेंज-हैंडशेक ऑथेंटिकेशन नवाचार (CHAP) का समर्थन करना चाहिए। पैकेट के MD5 हैश और एक साझा रहस्य को लेकर पासवर्ड छिपाए जाते हैं, और फिर उस हैश को पासवर्ड से XORing किया जाता है। मूल त्रिज्या ने 50 से अधिक विशेषता-मूल्य जोड़े भी प्रदान किए, जिसमें विक्रेताओं को अपने स्वयं के जोड़े को कॉन्फ़िगर करने की संभावना थी।<ref>{{Cite book|title= त्रिज्या: निजी संसाधनों तक सार्वजनिक पहुंच सुरक्षित करना|author =Jonathan Hassell |publisher= O'Reilly Media |year=2003 |isbn= 9780596003227|pages=16}}</ref> | ||
एंड-टू-एंड एन्क्रिप्शन के बजाय हॉप-बाय-हॉप सुरक्षा मॉडल की पसंद का मतलब है कि यदि कई प्रॉक्सी रैडियस सर्वर उपयोग में हैं, तो प्रत्येक सर्वर को जांच करनी चाहिए, तर्क करना चाहिए और अनुरोध में सभी डेटा पास करना चाहिए। यह हर हॉप पर पासवर्ड और सर्टिफिकेट जैसे डेटा को उजागर करता है। प्राधिकरण जारी होने के बाद | एंड-टू-एंड एन्क्रिप्शन के बजाय हॉप-बाय-हॉप सुरक्षा मॉडल की पसंद का मतलब है कि यदि कई प्रॉक्सी रैडियस सर्वर उपयोग में हैं, तो प्रत्येक सर्वर को जांच करनी चाहिए, तर्क करना चाहिए और अनुरोध में सभी डेटा पास करना चाहिए। यह हर हॉप पर पासवर्ड और सर्टिफिकेट जैसे डेटा को उजागर करता है। प्राधिकरण जारी होने के बाद त्रिज्या सर्वर में संसाधनों तक पहुंच को रोकने की क्षमता भी नहीं थी। RFC 3576 और इसके उत्तराधिकारी RFC 5176 जैसे बाद के मानकों ने त्रिज्या सर्वरों को उपयोगकर्ता प्राधिकरण को गतिशील रूप से बदलने या उपयोगकर्ता को पूरी तरह से डिस्कनेक्ट करने की अनुमति दी।<ref name=rfc5176>{{cite web |title=रिमोट ऑथेंटिकेशन डायल इन यूजर सर्विस (RADIUS) के लिए डायनेमिक ऑथराइजेशन एक्सटेंशन|url=https://datatracker.ietf.org/doc/html/rfc5176 |publisher=Internet Engineering Task Force |access-date=8 May 2021 |date=January 2008}}</ref> | ||
अब, कई वाणिज्यिक और ओपन-सोर्स रैडियस सर्वर मौजूद हैं। विशेषताएं अलग-अलग हो सकती हैं, लेकिन अधिकांश उपयोगकर्ताओं को पाठ फ़ाइलों, लाइटवेट डायरेक्ट्री एक्सेस | अब, कई वाणिज्यिक और ओपन-सोर्स रैडियस सर्वर मौजूद हैं। विशेषताएं अलग-अलग हो सकती हैं, लेकिन अधिकांश उपयोगकर्ताओं को पाठ फ़ाइलों, लाइटवेट डायरेक्ट्री एक्सेस नवाचार सर्वर, विभिन्न डेटाबेस आदि में देख सकते हैं। अक्सर त्रिज्या सर्वर की रिमोट मॉनिटरिंग और कीप-अलाइव चेकिंग के लिए उपयोग किया जाता है। त्रिज्या प्रॉक्सी सर्वर केंद्रीकृत प्रशासन के लिए उपयोग किए जाते हैं और सुरक्षा कारणों से या विक्रेता बोलियों के बीच रूपांतरण के लिए त्रिज्या पैकेट को फिर से लिख सकते हैं। | ||
व्यास ( | व्यास (नवाचार) नवाचार का उद्देश्य रेडियस के प्रतिस्थापन के रूप में था। जबकि दोनों प्रमाणीकरण, प्राधिकरण, और लेखा (एएए) नवाचार हैं, दो नवाचार के लिए उपयोग-मामले तब से अलग हो गए हैं। डायमीटर का उपयोग बड़े पैमाने पर 3जी स्पेस में किया जाता है। त्रिज्या कहीं और प्रयोग किया जाता है। व्यास को त्रिज्या बदलने में सबसे बड़ी बाधाओं में से एक यह है कि नेटवर्क स्विच और वायरलेस एक्सेस प्वाइंट आमतौर पर त्रिज्या को लागू करते हैं, लेकिन व्यास को नहीं। डायमीटर स्ट्रीम कंट्रोल ट्रांसमिशन नवाचार या ट्रांसमिशन कंट्रोल नवाचार का उपयोग करता है जबकि त्रिज्या आमतौर पर ट्रांसपोर्ट लेयर के रूप में यूजर डेटाग्राम नवाचार का उपयोग करता है। 2012 तक, त्रिज्या सुरक्षा के लिए ट्रांसपोर्ट लेयर सिक्योरिटी के साथ ट्रांसपोर्ट लेयर के रूप में TCP का उपयोग कर सकता है। | ||
==मानक दस्तावेज == | ==मानक दस्तावेज == | ||
त्रिज्या नवाचार वर्तमान में निम्नलिखित IETF RFC दस्तावेज़ों में परिभाषित है। | |||
{| class="wikitable" | {| class="wikitable" | ||
| Line 528: | Line 525: | ||
| RFC 2058 || Remote Authentication Dial In User Service (RADIUS) || January 1997 || RADIUS || Obsoleted by RFC 2138 || | | RFC 2058 || Remote Authentication Dial In User Service (RADIUS) || January 1997 || RADIUS || Obsoleted by RFC 2138 || | ||
|- | |- | ||
| RFC 2059 || | | RFC 2059 || त्रिज्या Accounting || January 1997 || RADIUS || Obsoleted by RFC 2139 || | ||
|- | |- | ||
| RFC 2138 || Remote Authentication Dial In User Service (RADIUS) || April 1997 || RADIUS || Obsoleted by RFC 2865 || | | RFC 2138 || Remote Authentication Dial In User Service (RADIUS) || April 1997 || RADIUS || Obsoleted by RFC 2865 || | ||
|- | |- | ||
| RFC 2139 || | | RFC 2139 || त्रिज्या Accounting || April 1997 || RADIUS || Obsoleted by RFC 2866 || | ||
|- | |- | ||
| RFC 2548 || Microsoft Vendor-specific | | RFC 2548 || Microsoft Vendor-specific त्रिज्या Attributes || March 1999 || RADIUS || || | ||
|- | |- | ||
| RFC 2607 || Proxy Chaining and Policy Implementation in Roaming || June 1999 || || || | | RFC 2607 || Proxy Chaining and Policy Implementation in Roaming || June 1999 || || || | ||
|- | |- | ||
| RFC 2618 || | | RFC 2618 || त्रिज्या Authentication Client MIB|| || [[Management information base]] || Obsoleted by RFC 4668 || | ||
|- | |- | ||
| RFC 2619 || | | RFC 2619 || त्रिज्या Authentication Server MIB|| || [[Management information base]] || Obsoleted by RFC 4669 || | ||
|- | |- | ||
| RFC 2620 || | | RFC 2620 || त्रिज्या Accounting Client MIB || June 1999 || [[Management information base]] || Obsoleted by RFC 4670 || | ||
|- | |- | ||
| RFC 2621 || | | RFC 2621 || त्रिज्या Accounting Server MIB || June 1999 || [[Management information base]] || Obsoleted by RFC 4671 || | ||
|- | |- | ||
| RFC 2809 || Implementation of [[L2TP]] Compulsory Tunneling via RADIUS || April 2000 || || || | | RFC 2809 || Implementation of [[L2TP]] Compulsory Tunneling via RADIUS || April 2000 || || || | ||
|- | |- | ||
| RFC 2865 || Remote Authentication Dial In User Service (RADIUS) || June 2000 || RADIUS || Updated by RFC 2868, RFC 3575, RFC 5080 || This standard describes | | RFC 2865 || Remote Authentication Dial In User Service (RADIUS) || June 2000 || RADIUS || Updated by RFC 2868, RFC 3575, RFC 5080 || This standard describes त्रिज्या authentication and authorization between a Network Access Server (NAS) and a shared त्रिज्या authentication server. This protocol is also used to carry configuration information from the त्रिज्या server to the NAS. | ||
|- | |- | ||
| RFC 2866 || | | RFC 2866 || त्रिज्या Accounting || June 2000 || RADIUS || || This standard describes how accounting information is carried from the NAS to a shared त्रिज्या accounting server. | ||
|- | |- | ||
| RFC 2867 || | | RFC 2867 || त्रिज्या Accounting Modifications for Tunnel Protocol Support || June 2000 || RADIUS || Updates RFC 2866 || | ||
|- | |- | ||
| RFC 2868 || | | RFC 2868 || त्रिज्या Attributes for Tunnel Protocol Support || June 2000 || || Updates RFC 2865 || | ||
|- | |- | ||
| RFC 2869 || | | RFC 2869 || त्रिज्या Extensions || June 2000 || || Updated by RFC 3579, RFC 5080 || | ||
|- | |- | ||
| RFC 2882 || Network Access Servers Requirements: Extended | | RFC 2882 || Network Access Servers Requirements: Extended त्रिज्या Practices || July 2000 || || || | ||
|- | |- | ||
| RFC 3162 || | | RFC 3162 || त्रिज्या and [[IPv6]] || August 2001 || || || | ||
|- | |- | ||
| RFC 3575 || IANA Considerations for RADIUS || July 2003 || || || | | RFC 3575 || IANA Considerations for RADIUS || July 2003 || || || | ||
| Line 566: | Line 563: | ||
| RFC 3576 || Dynamic Authorization Extensions to RADIUS || July 2003 || || Obsoleted by RFC 5176 || | | RFC 3576 || Dynamic Authorization Extensions to RADIUS || July 2003 || || Obsoleted by RFC 5176 || | ||
|- | |- | ||
| RFC 3579 || | | RFC 3579 || त्रिज्या Support for EAP || September 2003 || [[Extensible Authentication Protocol]] || Updates RFC 2869 || | ||
|- | |- | ||
| RFC 3580 || IEEE 802.1X | | RFC 3580 || IEEE 802.1X त्रिज्या Usage Guidelines || September 2003 || [[802.1X]] || || | ||
|- | |- | ||
| RFC 4014 || | | RFC 4014 || त्रिज्या Attributes Suboption for the DHCP Relay Agent Information Option || February 2005 || || || | ||
|- | |- | ||
| RFC 4372 || Chargeable User Identity || January 2006 || || || | | RFC 4372 || Chargeable User Identity || January 2006 || || || | ||
|- | |- | ||
| RFC 4590 || | | RFC 4590 || त्रिज्या Extension for Digest Authentication || July 2006 || || Obsoleted by RFC 5090 || | ||
|- | |- | ||
| RFC 4668 || | | RFC 4668 || त्रिज्या Authentication Client MIB for IPv6 || August 2006 || [[Management information base]] || || | ||
|- | |- | ||
| RFC 4669 || | | RFC 4669 || त्रिज्या Authentication Server MIB for IPv6 || August 2006 || [[Management information base]] || || | ||
|- | |- | ||
| RFC 4670 || | | RFC 4670 || त्रिज्या Accounting Client MIB for IPv6 || August 2006 || [[Management information base]] || || | ||
|- | |- | ||
| RFC 4671 || | | RFC 4671 || त्रिज्या Accounting Server MIB for IPv6 || August 2006 || [[Management information base]] || || | ||
|- | |- | ||
| RFC 4675 || | | RFC 4675 || त्रिज्या Attributes for Virtual LAN and Priority Support || September 2006 || || || | ||
|- | |- | ||
| RFC 4679 || DSL Forum Vendor-Specific | | RFC 4679 || DSL Forum Vendor-Specific त्रिज्या Attributes || September 2006 || || || | ||
|- | |- | ||
| RFC 4818 || | | RFC 4818 || त्रिज्या Delegated-IPv6-Prefix Attribute || April 2007 || || || | ||
|- | |- | ||
| RFC 4849 || | | RFC 4849 || त्रिज्या Filter Rule Attribute || April 2007 || || || | ||
|- | |- | ||
| RFC 5080 || Common | | RFC 5080 || Common त्रिज्या Implementation Issues and Suggested Fixes || December 2007 || || Updates RFC 3579 || | ||
|- | |- | ||
| RFC 5090 || | | RFC 5090 || त्रिज्या Extension for Digest Authentication || February 2008 || || || | ||
|- | |- | ||
| RFC 5176 || Dynamic Authorization Extensions to RADIUS || January 2008 || || || | | RFC 5176 || Dynamic Authorization Extensions to RADIUS || January 2008 || || || | ||
|- | |- | ||
| RFC 5607 || | | RFC 5607 || त्रिज्या Authorization for NAS Management || July 2009 || || || | ||
|- | |- | ||
| RFC 5997 || Use of Status-Server Packets in the | | RFC 5997 || Use of Status-Server Packets in the त्रिज्या Protocol || August 2010 || || Updates RFC 2866 || | ||
|- | |- | ||
| RFC 6158 || | | RFC 6158 || त्रिज्या Design Guidelines || March 2011 || || || | ||
|- | |- | ||
| RFC 6218 || Cisco Vendor-Specific | | RFC 6218 || Cisco Vendor-Specific त्रिज्या Attributes for the Delivery of Keying Material|| April 2011 || || || | ||
|- | |- | ||
| RFC 6421 || Crypto-Agility Requirements for Remote Authentication Dial-In User Service (RADIUS)|| November 2011 || || || | | RFC 6421 || Crypto-Agility Requirements for Remote Authentication Dial-In User Service (RADIUS)|| November 2011 || || || | ||
|- | |- | ||
| RFC 6613 || | | RFC 6613 || त्रिज्या over TCP || May 2012 || || Experimental || | ||
|- | |- | ||
| RFC 6614 || Transport Layer Security (TLS) Encryption for RADIUS || May 2012 || || Experimental || | | RFC 6614 || Transport Layer Security (TLS) Encryption for RADIUS || May 2012 || || Experimental || | ||
|- | |- | ||
| RFC 6911 || | | RFC 6911 || त्रिज्या Attributes for IPv6 Access Networks || April 2013 || || Standards track || | ||
|- | |- | ||
| RFC 6929 || Remote Authentication Dial-In User Service (RADIUS) Protocol Extensions || April 2013 || || Updates RFC 2865, RFC 3575, RFC 6158 || | | RFC 6929 || Remote Authentication Dial-In User Service (RADIUS) Protocol Extensions || April 2013 || || Updates RFC 2865, RFC 3575, RFC 6158 || | ||
| Line 627: | Line 624: | ||
| RFC 8044 || Data Types in RADIUS || January 2017 || || Updates: 2865, 3162, 4072, 6158, 6572, 7268 || | | RFC 8044 || Data Types in RADIUS || January 2017 || || Updates: 2865, 3162, 4072, 6158, 6572, 7268 || | ||
|- | |- | ||
| RFC 8559 || Dynamic Authorization Proxying in the | | RFC 8559 || Dynamic Authorization Proxying in the त्रिज्या Protocol || April 2019 || || Standards track || | ||
|- | |- | ||
|} | |} | ||
| Line 654: | Line 651: | ||
==बाहरी संबंध== | ==बाहरी संबंध== | ||
* [https://www.iana.org/assignments/radius-types/radius-types.xhtml | * [https://www.iana.org/assignments/radius-types/radius-types.xhtml त्रिज्या Types] | ||
* [http://www.untruth.org/~josh/security/radius/radius-auth.html An Analysis of the | * [http://www.untruth.org/~josh/security/radius/radius-auth.html An Analysis of the त्रिज्या Authentication Protocol] | ||
* [http://www.cisco.com/en/US/tech/tk59/technologies_tech_note09186a0080093f42.shtml Decoding a Sniffer-trace of | * [http://www.cisco.com/en/US/tech/tk59/technologies_tech_note09186a0080093f42.shtml Decoding a Sniffer-trace of त्रिज्या Transaction] | ||
* [http://wiki.wireshark.org/Radius Using Wireshark to debug RADIUS] | * [http://wiki.wireshark.org/Radius Using Wireshark to debug RADIUS] | ||
Revision as of 20:22, 13 February 2023
| Internet protocol suite |
|---|
| Application layer |
| Transport layer |
| Internet layer |
| Link layer |
दूरस्थ प्रमाणीकरण अंकपट्ट में उपयोगकर्ता सेवा (RADIUS) एक संजाल नवाचार है जो नेटवर्क सेवा से जुड़ने और उपयोग करने वाले उपयोगकर्ताओं के लिए केंद्रीकृत प्रमाणीकरण, प्राधिकरण और लेखा (AAA) कंप्यूटर सुरक्षा प्रबंधन प्रदान करता है। त्रिज्या को लिविंगस्टन एंटरप्राइजेज द्वारा 1991 में एक एक्सेस सर्वर प्रमाणीकरण और लेखा नवाचार के रूप में विकसित किया गया था। इसे बाद में आईईईई 802 और इंटरनेट इंजीनियरिंग टास्क फोर्स मानकों में लाया गया।
त्रिज्या एक क्लाइंट/सर्वर नवाचार है जो एप्लिकेशन लेयर में चलता है, और ट्रांसमिशन कंट्रोल नवाचार या यूजर डेटाग्राम नवाचार का उपयोग कर सकता है। नेटवर्क एक्सेस सर्वर, जो नेटवर्क तक पहुंच को नियंत्रित करते हैं, में आमतौर पर एक रैडियस क्लाइंट घटक होता है जो रैडियस सर्वर के साथ संचार करता है।[1]त्रिज्या अक्सर बैक-एंड डेटाबेस होता है | 802.1X प्रमाणीकरण के लिए पसंद का बैक-एंड।[2] एक त्रिज्या सर्वर आमतौर पर UNIX या Microsoft Windows पर चलने वाली एक पृष्ठभूमि प्रक्रिया है।[1]
नवाचार घटक
त्रिज्या एक AAA_ (कंप्यूटर_सुरक्षा) (प्रमाणीकरण, प्राधिकरण और लेखा) नवाचार है जो नेटवर्क एक्सेस का प्रबंधन करता है। त्रिज्या पूर्ण AAA प्रक्रिया को प्रबंधित करने के लिए दो प्रकार के नेटवर्क पैकेट का उपयोग करता है: एक्सेस-अनुरोध, जो प्रमाणीकरण और प्राधिकरण का प्रबंधन करता है; और लेखा-अनुरोध, जो लेखांकन का प्रबंधन करता है। प्रमाणीकरण और प्राधिकरण को RFC 2865 में परिभाषित किया गया है जबकि लेखांकन का वर्णन RFC 2866 द्वारा किया गया है।
प्रमाणीकरण और प्राधिकरण
उपयोगकर्ता या मशीन एक्सेस क्रेडेंशियल्स का उपयोग करके किसी विशेष नेटवर्क संसाधन तक पहुंच प्राप्त करने के लिए नेटवर्क एक्सेस सर्वर (एनएएस) को अनुरोध भेजता है। लिंक-लेयर नवाचार के माध्यम से एनएएस डिवाइस को क्रेडेंशियल पास किए जाते हैं - उदाहरण के लिए, कई डायलअप या डीएसएल प्रदाताओं के मामले में पॉइंट-टू-पॉइंट नवाचार (पीपीपी) या HTTPS सुरक्षित वेब फॉर्म में पोस्ट किया गया।
बदले में, NAS त्रिज्या नवाचार के माध्यम से पहुँच प्रदान करने के लिए प्राधिकरण का अनुरोध करते हुए त्रिज्या सर्वर को त्रिज्या एक्सेस अनुरोध संदेश भेजता है।[3] इस अनुरोध में एक्सेस क्रेडेंशियल शामिल हैं, आमतौर पर उपयोगकर्ता नाम और पासवर्ड या उपयोगकर्ता द्वारा प्रदान किए गए सुरक्षा प्रमाणपत्र के रूप में। इसके अतिरिक्त, अनुरोध में अन्य जानकारी शामिल हो सकती है जो NAS उपयोगकर्ता के बारे में जानता है, जैसे कि उसका नेटवर्क पता या फोन नंबर, और उपयोगकर्ता के NAS के साथ लगाव के भौतिक बिंदु के बारे में जानकारी।
त्रिज्या सर्वर यह जाँचता है कि पासवर्ड प्रमाणीकरण नवाचार, चैलेंज-हैंडशेक प्रमाणीकरण नवाचार या एक्स्टेंसिबल ऑथेंटिकेशन नवाचार जैसी प्रमाणीकरण योजनाओं का उपयोग करके जानकारी सही है। वैकल्पिक रूप से, अनुरोध से संबंधित अन्य जानकारी, जैसे उपयोगकर्ता का नेटवर्क पता या फ़ोन नंबर, खाता स्थिति, और विशिष्ट नेटवर्क सेवा एक्सेस विशेषाधिकार के साथ, उपयोगकर्ता के पहचान के प्रमाण को सत्यापित किया जाता है। ऐतिहासिक रूप से, त्रिज्या सर्वर ने स्थानीय रूप से संग्रहीत फ्लैट फ़ाइल डेटाबेस के विरुद्ध उपयोगकर्ता की जानकारी की जाँच की। आधुनिक त्रिज्या सर्वर ऐसा कर सकते हैं, या उपयोगकर्ता के क्रेडेंशियल्स को सत्यापित करने के लिए बाहरी स्रोतों-आमतौर पर SQL, Kerberos (नवाचार), LDAP, या सक्रिय निर्देशिका सर्वरों को संदर्भित कर सकते हैं।
त्रिज्या सर्वर तब NAS को तीन प्रतिक्रियाओं में से एक देता है: 1) एक्सेस रिजेक्ट, 2) एक्सेस चैलेंज, या 3) एक्सेस एक्सेप्ट।
- एक्सेस रिजेक्ट
- उपयोगकर्ता को बिना शर्त सभी अनुरोधित नेटवर्क संसाधनों तक पहुंच से वंचित कर दिया जाता है। कारणों में पहचान का प्रमाण प्रदान करने में विफलता या कोई अज्ञात या निष्क्रिय उपयोगकर्ता खाता शामिल हो सकता है।
- एक्सेस चैलेंज
- यूजर से सेकेंडरी पासवर्ड, पिन, टोकन या कार्ड जैसी अतिरिक्त जानकारी का अनुरोध करता है। एक्सेस चैलेंज का उपयोग अधिक जटिल प्रमाणीकरण संवादों में भी किया जाता है जहां उपयोगकर्ता मशीन और रेडियस सर्वर के बीच एक सुरक्षित सुरंग स्थापित की जाती है ताकि एक्सेस क्रेडेंशियल NAS से छिपे हों।
- पहुंच स्वीकार करें
- उपयोगकर्ता को पहुंच प्रदान की जाती है। एक बार जब उपयोगकर्ता प्रमाणित हो जाता है, तो त्रिज्या सर्वर अक्सर जाँच करेगा कि उपयोगकर्ता अनुरोधित नेटवर्क सेवा का उपयोग करने के लिए अधिकृत है। किसी दिए गए उपयोगकर्ता को कंपनी के वायरलेस नेटवर्क का उपयोग करने की अनुमति दी जा सकती है, लेकिन इसकी वीपीएन सेवा नहीं, उदाहरण के लिए। फिर से, यह जानकारी त्रिज्या सर्वर पर स्थानीय रूप से संग्रहीत की जा सकती है, या किसी बाहरी स्रोत जैसे LDAP या सक्रिय निर्देशिका में देखी जा सकती है।
इन तीन त्रिज्या प्रतिक्रियाओं में से प्रत्येक में एक उत्तर-संदेश विशेषता शामिल हो सकती है जो अस्वीकृति का कारण, चुनौती के लिए संकेत, या स्वीकार करने के लिए एक स्वागत संदेश दे सकती है। विशेषता में पाठ उपयोगकर्ता को रिटर्न वेब पेज में पास किया जा सकता है।
प्राधिकरण त्रिज्या मान NAS को दी जाने वाली पहुंच की शर्तों को निर्धारित करता है। उदाहरण के लिए, निम्नलिखित प्राधिकरण विशेषताओं को एक्सेस-स्वीकृति में शामिल किया जा सकता है:
- उपयोगकर्ता को निर्दिष्ट किया जाने वाला विशिष्ट आईपी पता
- पता पूल जिससे उपयोगकर्ता का आईपी पता चुना जाना चाहिए
- अधिकतम समय की अवधि जिससे उपयोगकर्ता जुड़ा रह सकता है
- उपयोगकर्ता की पहुंच पर एक एक्सेस सूची, प्राथमिकता कतार या अन्य प्रतिबंध
- L2TP पैरामीटर
- वीएलएएन पैरामीटर
- सेवा की गुणवत्ता (क्यूओएस) पैरामीटर
जब क्लाइंट को त्रिज्या का उपयोग करने के लिए कॉन्फ़िगर किया जाता है, तो क्लाइंट का कोई भी उपयोगकर्ता क्लाइंट को प्रमाणीकरण जानकारी प्रस्तुत करता है। यह एक अनुकूलन योग्य लॉगिन प्रॉम्प्ट के साथ हो सकता है, जहां उपयोगकर्ता से अपना उपयोगकर्ता नाम और पासवर्ड दर्ज करने की अपेक्षा की जाती है। वैकल्पिक रूप से, उपयोगकर्ता पॉइंट-टू-पॉइंट नवाचार (पीपीपी) जैसे लिंक फ़्रेमिंग नवाचार का उपयोग कर सकता है, जिसमें प्रमाणीकरण पैकेट होते हैं जो इस जानकारी को ले जाते हैं।
एक बार क्लाइंट को ऐसी जानकारी प्राप्त हो जाने के बाद, वह त्रिज्या का उपयोग करके प्रमाणित करना चुन सकता है। ऐसा करने के लिए, क्लाइंट एक एक्सेस-अनुरोध बनाता है जिसमें उपयोगकर्ता का नाम, उपयोगकर्ता का पासवर्ड, क्लाइंट की आईडी और उपयोगकर्ता द्वारा एक्सेस की जा रही पोर्ट आईडी जैसे गुण होते हैं। जब कोई पासवर्ड मौजूद होता है, तो उसे RSA Message Digest Algorithm MD5 पर आधारित एक विधि का उपयोग करके छिपा दिया जाता है।
लेखा
लेखांकन RFC 2866 में वर्णित है।
जब नेटवर्क एक्सेस सर्वर द्वारा उपयोगकर्ता को नेटवर्क एक्सेस प्रदान किया जाता है, तो एक अकाउंटिंग स्टार्ट (एक रेडियस अकाउंटिंग रिक्वेस्ट पैकेट जिसमें वैल्यू स्टार्ट के साथ एक्ट-स्टेटस-टाइप एट्रिब्यूट होता है) NAS द्वारा रैडियस सर्वर को शुरू होने का संकेत देने के लिए भेजा जाता है। उपयोगकर्ता की नेटवर्क पहुंच। प्रारंभ रिकॉर्ड में आमतौर पर उपयोगकर्ता की पहचान, नेटवर्क पता, अनुलग्नक बिंदु और एक अद्वितीय सत्र पहचानकर्ता होता है।[4] समय-समय पर, अंतरिम अपडेट रिकॉर्ड (एक त्रिज्या अकाउंटिंग अनुरोध पैकेट जिसमें एक Acct-Status-Type विशेषता होती है, जिसमें मान अंतरिम-अद्यतन होता है) NAS द्वारा त्रिज्या सर्वर को भेजा जा सकता है, इसे सक्रिय सत्र की स्थिति पर अपडेट करने के लिए। अंतरिम रिकॉर्ड आम तौर पर वर्तमान सत्र की अवधि और वर्तमान डेटा उपयोग की जानकारी देते हैं।
अंत में, जब उपयोगकर्ता का नेटवर्क एक्सेस बंद हो जाता है, तो NAS त्रिज्या सर्वर को एक अंतिम अकाउंटिंग स्टॉप रिकॉर्ड (एक त्रिज्या अकाउंटिंग रिक्वेस्ट पैकेट जिसमें एक Acct-Status-Type विशेषता होती है) त्रिज्या सर्वर को जारी करता है, जो अंतिम उपयोग के बारे में जानकारी प्रदान करता है। समय, पैकेट ट्रांसफर, डेटा ट्रांसफर, डिस्कनेक्ट करने का कारण और उपयोगकर्ता के नेटवर्क एक्सेस से संबंधित अन्य जानकारी।
आम तौर पर, क्लाइंट लेखांकन-अनुरोध पैकेट भेजता है जब तक कि उसे कुछ पुनर्प्रयास अंतराल का उपयोग करके लेखा-प्रतिक्रिया पावती प्राप्त न हो जाए।
इस डेटा का प्राथमिक उद्देश्य यह है कि उपयोगकर्ता तदनुसार बिल (भुगतान) हो सकता है; डेटा का उपयोग आमतौर पर सांख्यिकीय उद्देश्यों और सामान्य नेटवर्क निगरानी के लिए भी किया जाता है।
रोमिंग
त्रिज्या का उपयोग आमतौर पर इंटरनेट सेवा प्रदाताओं के बीच रोमिंग की सुविधा के लिए किया जाता है, जिसमें निम्न शामिल हैं:
- कंपनियां जो एक वैश्विक साख प्रदान करती हैं जो कई सार्वजनिक नेटवर्क पर प्रयोग करने योग्य हैं;
- स्वतंत्र, लेकिन सहयोगी, संस्थान अपने स्वयं के उपयोगकर्ताओं को अपने स्वयं के क्रेडेंशियल जारी करते हैं, जो एक से दूसरे आगंतुक को उनके गृह संस्थान द्वारा प्रमाणित करने की अनुमति देते हैं, जैसे कि eduroam में।
त्रिज्या इसे क्षेत्र के उपयोग द्वारा सुगम बनाता है, जो यह पहचानते हैं कि त्रिज्या सर्वर को प्रसंस्करण के लिए AAA अनुरोधों को कहाँ अग्रेषित करना चाहिए।
क्षेत्र
एक दायरे को आमतौर पर एक उपयोगकर्ता के उपयोगकर्ता नाम के साथ जोड़ा जाता है और एक '@' चिन्ह के साथ सीमांकित किया जाता है, जो एक ईमेल पता डोमेन नाम जैसा दिखता है। इसे दायरे के लिए पोस्टफ़िक्स नोटेशन के रूप में जाना जाता है। एक अन्य सामान्य उपयोग उपसर्ग संकेतन है, जिसमें उपयोगकर्ता नाम के दायरे को पूर्वनिर्धारित करना और एक सीमांकक के रूप में '\' का उपयोग करना शामिल है। आधुनिक त्रिज्या सर्वर किसी भी वर्ण को एक वास्तविक सीमांकक के रूप में उपयोग करने की अनुमति देते हैं, हालांकि व्यवहार में '@' और '\' आमतौर पर उपयोग किए जाते हैं।
जटिल रोमिंग परिदृश्यों की अनुमति देने के लिए, प्रीफ़िक्स और पोस्टफ़िक्स नोटेशन दोनों का उपयोग करके स्थानों को भी संयोजित किया जा सकता है; उदाहरण के लिए, somedomain.com\username@anotherdomain.com दो क्षेत्रों वाला एक मान्य उपयोगकर्ता नाम हो सकता है।
हालांकि क्षेत्र अक्सर डोमेन के समान होते हैं, यह ध्यान रखना महत्वपूर्ण है कि क्षेत्र वास्तव में स्वैच्छिक पाठ हैं और वास्तविक डोमेन नाम शामिल करने की आवश्यकता नहीं है। दायरे के प्रारूप RFC 4282 में मानकीकृत हैं, जो 'उपयोगकर्ता @ दायरे' के रूप में एक नेटवर्क एक्सेस आइडेंटिफ़ायर (NAI) को परिभाषित करता है। उस विनिर्देश में, 'दायरे' भाग को एक डोमेन नाम होना आवश्यक है। हालाँकि, इस प्रथा का हमेशा पालन नहीं किया जाता है। आरएफसी 7542[5] मई 2015 में RFC 4282 को प्रतिस्थापित किया।
प्रॉक्सी संचालन
जब एक त्रिज्या सर्वर एक उपयोगकर्ता नाम के लिए AAA अनुरोध प्राप्त करता है जिसमें एक क्षेत्र होता है, तो सर्वर कॉन्फ़िगर किए गए स्थानों की एक तालिका का संदर्भ देगा। यदि क्षेत्र ज्ञात है, तो सर्वर उस डोमेन के लिए कॉन्फ़िगर किए गए होम सर्वर के लिए अनुरोध को प्रॉक्सी करेगा। अनुरोध (स्ट्रिपिंग) से दायरे को हटाने के संबंध में प्रॉक्सी सर्वर का व्यवहार अधिकांश सर्वरों पर कॉन्फ़िगरेशन-निर्भर है। इसके अलावा, प्रॉक्सी सर्वर को एएए अनुरोधों को जोड़ने, हटाने या फिर से लिखने के लिए कॉन्फ़िगर किया जा सकता है जब वे समय के साथ फिर से प्रॉक्सी हो जाते हैं।
त्रिज्या में प्रॉक्सी चेनिंग संभव है और प्रमाणीकरण/प्राधिकरण और अकाउंटिंग पैकेट आमतौर पर प्रॉक्सी की एक श्रृंखला के माध्यम से NAS डिवाइस और होम सर्वर के बीच रूट किए जाते हैं। प्रॉक्सी श्रृंखलाओं का उपयोग करने के कुछ लाभों में मापनीयता में सुधार, नीति कार्यान्वयन और क्षमता समायोजन शामिल हैं। लेकिन रोमिंग परिदृश्यों में, NAS, प्रॉक्सी और होम सर्वर को आमतौर पर विभिन्न प्रशासनिक संस्थाओं द्वारा प्रबंधित किया जा सकता है। इसलिए, ऐसे इंटर-डोमेन अनुप्रयोगों के तहत प्रॉक्सी के बीच विश्वास कारक अधिक महत्व प्राप्त करता है। इसके अलावा, त्रिज्या में एंड टू एंड सुरक्षा की अनुपस्थिति शामिल प्रॉक्सी के बीच विश्वास की गंभीरता को जोड़ती है। प्रॉक्सी जंजीरों को rfc:2607 में समझाया गया है।
सुरक्षा
रैडियस के साथ रोमिंग करने से उपयोगकर्ताओं को विभिन्न सुरक्षा और गोपनीयता चिंताओं का सामना करना पड़ता है। अधिक आम तौर पर, कुछ रोमिंग पार्टनर त्रिज्या सर्वर के बीच एक सुरक्षित सुरंग स्थापित करते हैं ताकि यह सुनिश्चित किया जा सके कि इंटरनेट पर प्रॉक्सी होने के दौरान उपयोगकर्ताओं की साख को बाधित नहीं किया जा सकता है। यह एक चिंता का विषय है क्योंकि त्रिज्या में निर्मित MD5 हैश को असुरक्षित माना जाता है।[6]
पैकेट संरचना
त्रिज्या को पोर्ट (कंप्यूटर नेटवर्किंग) 1812 और 1813 पर UDP/IP पर ले जाया जाता है।[7]
त्रिज्या नेटवर्क पैकेट डेटा स्वरूप दाईं ओर दिखाया गया है। कोड, पहचानकर्ता, लंबाई, प्रमाणक और विशेषताओं से शुरू होने वाले फ़ील्ड को बाएं से दाएं प्रेषित किया जाता है।
असाइन किए गए त्रिज्या कोड (दशमलव) में निम्नलिखित शामिल हैं:[8]
| Code | Assignment |
|---|---|
| 1 | Access-Request |
| 2 | Access-Accept |
| 3 | Access-Reject |
| 4 | Accounting-Request |
| 5 | Accounting-Response |
| 11 | Access-Challenge |
| 12 | Status-Server (experimental) |
| 13 | Status-Client (experimental) |
| 40 | Disconnect-Request |
| 41 | Disconnect-ACK |
| 42 | Disconnect-NAK |
| 43 | CoA-Request |
| 44 | CoA-ACK |
| 45 | CoA-NAK |
| 255 | Reserved |
पहचानकर्ता फ़ील्ड अनुरोधों और उत्तरों के मिलान में सहायता करता है।
लंबाई फ़ील्ड कोड, पहचानकर्ता, लंबाई, प्रमाणक और वैकल्पिक विशेषता फ़ील्ड सहित पूरे त्रिज्या पैकेट की लंबाई को इंगित करता है।
प्रमाणक का उपयोग त्रिज्या सर्वर से उत्तर को प्रमाणित करने के लिए किया जाता है, और पासवर्ड को एन्क्रिप्ट करने में उपयोग किया जाता है; इसकी लंबाई 16 बाइट्स है।
विशेषता मूल्य जोड़े
त्रिज्या एट्रिब्यूट वैल्यू पेयर (AVP) प्रमाणीकरण, प्राधिकरण और लेखा लेनदेन के अनुरोध और प्रतिक्रिया दोनों में डेटा ले जाता है। एवीपी के अंत को निर्धारित करने के लिए त्रिज्या पैकेट की लंबाई का उपयोग किया जाता है।
| AVP type | Assignment |
|---|---|
| 1 | User-Name |
| 2 | User-Password |
| 3 | CHAP-Password |
| 4 | NAS-IP-Address |
| 5 | NAS-Port |
| 6 | Service-Type |
| 7 | Framed-Protocol |
| 8 | Framed-IP-Address |
| 9 | Framed-IP-Netmask |
| 10 | Framed-Routing |
| 11 | Filter-Id |
| 12 | Framed-MTU |
| 13 | Framed-Compression |
| 14 | Login-IP-Host |
| 15 | Login-Service |
| 16 | Login-TCP-Port |
| 18 | Reply-Message |
| 19 | Callback-Number |
| 20 | Callback-Id |
| 22 | Framed-Route |
| 23 | Framed-IPX-Network |
| 24 | State |
| 25 | Class |
| 26 | Vendor-Specific |
| 27 | Session-Timeout |
| 28 | Idle-Timeout |
| 29 | Termination-Action |
| 30 | Called-Station-Id |
| 31 | Calling-Station-Id |
| 32 | NAS-Identifier |
| 33 | Proxy-State |
| 34 | Login-LAT-Service |
| 35 | Login-LAT-Node |
| 36 | Login-LAT-Group |
| 37 | Framed-AppleTalk-Link |
| 38 | Framed-AppleTalk-Network |
| 39 | Framed-AppleTalk-Zone |
| 40 | Acct-Status-Type |
| 41 | Acct-Delay-Time |
| 42 | Acct-Input-Octets |
| 43 | Acct-Output-Octets |
| 44 | Acct-Session-Id |
| 45 | Acct-Authentic |
| 46 | Acct-Session-Time |
| 47 | Acct-Input-Packets |
| 48 | Acct-Output-Packets |
| 49 | Acct-Terminate-Cause |
| 50 | Acct-Multi-Session-Id |
| 51 | Acct-Link-Count |
| 52 | Acct-Input-Gigawords |
| 53 | Acct-Output-Gigawords |
| 55 | Event-Timestamp |
| 56 | Egress-VLANID |
| 57 | Ingress-Filters |
| 58 | Egress-VLAN-Name |
| 59 | User-Priority-Table |
| 60 | CHAP-Challenge |
| 61 | NAS-Port-Type |
| 62 | Port-Limit |
| 63 | Login-LAT-Port |
| 64 | Tunnel-Type |
| 65 | Tunnel-Medium-Type |
| 66 | Tunnel-Client-Endpoint |
| 67 | Tunnel-Server-Endpoint |
| 68 | Acct-Tunnel-Connection |
| 69 | Tunnel-Password |
| 70 | ARAP-Password |
| 71 | ARAP-Features |
| 72 | ARAP-Zone-Access |
| 73 | ARAP-Security |
| 74 | ARAP-Security-Data |
| 75 | Password-Retry |
| 76 | Prompt |
| 77 | Connect-Info |
| 78 | Configuration-Token |
| 79 | EAP-Message |
| 80 | Message-Authenticator |
| 81 | Tunnel-Private-Group-ID |
| 82 | Tunnel-Assignment-ID |
| 83 | Tunnel-Preference |
| 84 | ARAP-Challenge-Response |
| 85 | Acct-Interim-Interval |
| 86 | Acct-Tunnel-Packets-Lost |
| 87 | NAS-Port-Id |
| 88 | Framed-Pool |
| 89 | CUI |
| 90 | Tunnel-Client-Auth-ID |
| 91 | Tunnel-Server-Auth-ID |
| 92 | NAS-Filter-Rule |
| 94 | Originating-Line-Info |
| 95 | NAS-IPv6-Address |
| 96 | Framed-Interface-Id |
| 97 | Framed-IPv6-Prefix |
| 98 | Login-IPv6-Host |
| 99 | Framed-IPv6-Route |
| 100 | Framed-IPv6-Pool |
| 101 | Error-Cause Attribute |
| 102 | EAP-Key-Name |
| 103 | Digest-Response |
| 104 | Digest-Realm |
| 105 | Digest-Nonce |
| 106 | Digest-Response-Auth |
| 107 | Digest-Nextnonce |
| 108 | Digest-Method |
| 109 | Digest-URI |
| 110 | Digest-Qop |
| 111 | Digest-Algorithm |
| 112 | Digest-Entity-Body-Hash |
| 113 | Digest-CNonce |
| 114 | Digest-Nonce-Count |
| 115 | Digest-Username |
| 116 | Digest-Opaque |
| 117 | Digest-Auth-Param |
| 118 | Digest-AKA-Auts |
| 119 | Digest-Domain |
| 120 | Digest-Stale |
| 121 | Digest-HA1 |
| 122 | SIP-AOR |
| 123 | Delegated-IPv6-Prefix |
| 124 | MIP6-Feature-Vector |
| 125 | MIP6-Home-Link-Prefix |
| 126 | Operator-Name |
| 127 | Location-Information |
| 128 | Location-Data |
| 129 | Basic-Location-Policy-Rules |
| 130 | Extended-Location-Policy-Rules |
| 131 | Location-Capable |
| 132 | Requested-Location-Info |
| 133 | Framed-Management-Protocol |
| 134 | Management-Transport-Protection |
| 135 | Management-Policy-Id |
| 136 | Management-Privilege-Level |
| 137 | PKM-SS-Cert |
| 138 | PKM-CA-Cert |
| 139 | PKM-Config-Settings |
| 140 | PKM-Cryptosuite-List |
| 141 | PKM-SAID |
| 142 | PKM-SA-Descriptor |
| 143 | PKM-Auth-Key |
| 144 | DS-Lite-Tunnel-Name |
| 145 | Mobile-Node-Identifier |
| 146 | Service-Selection |
| 147 | PMIP6-Home-LMA-IPv6-Address |
| 148 | PMIP6-Visited-LMA-IPv6-Address |
| 149 | PMIP6-Home-LMA-IPv4-Address |
| 150 | PMIP6-Visited-LMA-IPv4-Address |
| 151 | PMIP6-Home-HN-Prefix |
| 152 | PMIP6-Visited-HN-Prefix |
| 153 | PMIP6-Home-Interface-ID |
| 154 | PMIP6-Visited-Interface-ID |
| 155 | PMIP6-Home-IPv4-HoA |
| 156 | PMIP6-Visited-IPv4-HoA |
| 157 | PMIP6-Home-DHCP4-Server-Address |
| 158 | PMIP6-Visited-DHCP4-Server-Address |
| 159 | PMIP6-Home-DHCP6-Server-Address |
| 160 | PMIP6-Visited-DHCP6-Server-Address |
| 161 | PMIP6-Home-IPv4-Gateway |
| 162 | PMIP6-Visited-IPv4-Gateway |
| 163 | EAP-Lower-Layer |
| 164 | GSS-Acceptor-Service-Name |
| 165 | GSS-Acceptor-Host-Name |
| 166 | GSS-Acceptor-Service-Specifics |
| 167 | GSS-Acceptor-Realm-Name |
| 168 | Framed-IPv6-Address |
| 169 | DNS-Server-IPv6-Address |
| 170 | Route-IPv6-Information |
| 171 | Delegated-IPv6-Prefix-Pool |
| 172 | Stateful-IPv6-Address-Pool |
| 173 | IPv6-6rd-Configuration |
| 174 | Allowed-Called-Station-Id |
| 175 | EAP-Peer-Id |
| 176 | EAP-Server-Id |
| 177 | Mobility-Domain-Id |
| 178 | Preauth-Timeout |
| 179 | Network-Id-Name |
| 180 | EAPoL-Announcement |
| 181 | WLAN-HESSID |
| 182 | WLAN-Venue-Info |
| 183 | WLAN-Venue-Language |
| 184 | WLAN-Venue-Name |
| 185 | WLAN-Reason-Code |
| 186 | WLAN-Pairwise-Cipher |
| 187 | WLAN-Group-Cipher |
| 188 | WLAN-AKM-Suite |
| 189 | WLAN-Group-Mgmt-Cipher |
| 190 | WLAN-RF-Band |
विक्रेता-विशिष्ट विशेषताएँ
त्रिज्या एक्स्टेंसिबल है; त्रिज्या हार्डवेयर और सॉफ़्टवेयर के कई विक्रेता विक्रेता-विशिष्ट विशेषताओं (VSAs) का उपयोग करके अपने स्वयं के वेरिएंट को लागू करते हैं। माइक्रोसॉफ्ट ने अपने कुछ वीएसए प्रकाशित किए हैं।[9] कई अन्य कंपनियों की VSA परिभाषाएँ मालिकाना और/या तदर्थ बनी हुई हैं, फिर भी कई VSA शब्दकोश खुले स्रोत त्रिज्या कार्यान्वयन के स्रोत कोड को डाउनलोड करके प्राप्त किए जा सकते हैं, उदाहरण के लिए FreeRADIUS।
सुरक्षा
त्रिज्या नवाचार एक साझा रहस्य और MD5 हैशिंग एल्गोरिथम का उपयोग करके अस्पष्ट पासवर्ड प्रसारित करता है। चूंकि यह विशेष कार्यान्वयन उपयोगकर्ता के क्रेडेंशियल्स की केवल कमजोर सुरक्षा प्रदान करता है,[10] अतिरिक्त सुरक्षा, जैसे कि IPsec टनल या भौतिक रूप से सुरक्षित डेटा-सेंटर नेटवर्क, का उपयोग NAS डिवाइस और त्रिज्या सर्वर के बीच त्रिज्या ट्रैफ़िक की सुरक्षा के लिए किया जाना चाहिए। इसके अतिरिक्त, उपयोगकर्ता के सुरक्षा क्रेडेंशियल केवल त्रिज्या द्वारा संरक्षित भाग हैं, फिर भी अन्य उपयोगकर्ता-विशिष्ट विशेषताएँ जैसे कि टनल-ग्रुप आईडी या VLAN सदस्यता त्रिज्या के ऊपर पारित संवेदनशील (हमलावर के लिए सहायक) या निजी (पहचानने के लिए पर्याप्त) माना जा सकता है। व्यक्तिगत ग्राहक) जानकारी भी।[citation needed] रैडसेक नवाचार उपरोक्त सुरक्षा मुद्दों को हल करने का दावा करता है।
इतिहास
जैसा कि अधिक डायल-अप ग्राहक NSFNET का उपयोग करते हैं, मेरिट नेटवर्क द्वारा 1991 में उनके विभिन्न मालिकाना प्रमाणीकरण, प्राधिकरण और लेखा प्रणालियों को मजबूत करने के लिए प्रस्ताव के लिए अनुरोध भेजा गया था। शुरुआती उत्तरदाताओं में लिविंगस्टन एंटरप्राइजेज था और रैडियस का शुरुआती संस्करण एक बैठक के बाद लिखा गया था। प्रारंभिक त्रिज्या सर्वर UNIX ऑपरेटिंग सिस्टम पर स्थापित किया गया था। लिविंगस्टन एंटरप्राइजेज को ल्यूसेंट द्वारा अधिग्रहित किया गया था और एक नवाचार के रूप में रैडियस के लिए उद्योग स्वीकृति प्राप्त करने के लिए मेरिट कदम उठाए गए थे। दोनों कंपनियों ने बिना किसी शुल्क के त्रिज्या सर्वर की पेशकश की।[11] 1997 में त्रिज्या को RFC 2058 और RFC 2059 के रूप में प्रकाशित किया गया था, वर्तमान संस्करण RFC 2865 और RFC 2866 हैं।[12] मूल त्रिज्या मानक निर्दिष्ट करता है कि त्रिज्या स्टेटलेस नवाचार है और इसे उपयोगकर्ता डेटाग्राम नवाचार (UDP) पर चलाना चाहिए। प्रमाणीकरण के लिए यह परिकल्पना की गई थी कि रैडियस को पॉइंट-टू-पॉइंट नवाचार पर पासवर्ड ऑथेंटिकेशन नवाचार (PAP) और चैलेंज-हैंडशेक ऑथेंटिकेशन नवाचार (CHAP) का समर्थन करना चाहिए। पैकेट के MD5 हैश और एक साझा रहस्य को लेकर पासवर्ड छिपाए जाते हैं, और फिर उस हैश को पासवर्ड से XORing किया जाता है। मूल त्रिज्या ने 50 से अधिक विशेषता-मूल्य जोड़े भी प्रदान किए, जिसमें विक्रेताओं को अपने स्वयं के जोड़े को कॉन्फ़िगर करने की संभावना थी।[13] एंड-टू-एंड एन्क्रिप्शन के बजाय हॉप-बाय-हॉप सुरक्षा मॉडल की पसंद का मतलब है कि यदि कई प्रॉक्सी रैडियस सर्वर उपयोग में हैं, तो प्रत्येक सर्वर को जांच करनी चाहिए, तर्क करना चाहिए और अनुरोध में सभी डेटा पास करना चाहिए। यह हर हॉप पर पासवर्ड और सर्टिफिकेट जैसे डेटा को उजागर करता है। प्राधिकरण जारी होने के बाद त्रिज्या सर्वर में संसाधनों तक पहुंच को रोकने की क्षमता भी नहीं थी। RFC 3576 और इसके उत्तराधिकारी RFC 5176 जैसे बाद के मानकों ने त्रिज्या सर्वरों को उपयोगकर्ता प्राधिकरण को गतिशील रूप से बदलने या उपयोगकर्ता को पूरी तरह से डिस्कनेक्ट करने की अनुमति दी।[14] अब, कई वाणिज्यिक और ओपन-सोर्स रैडियस सर्वर मौजूद हैं। विशेषताएं अलग-अलग हो सकती हैं, लेकिन अधिकांश उपयोगकर्ताओं को पाठ फ़ाइलों, लाइटवेट डायरेक्ट्री एक्सेस नवाचार सर्वर, विभिन्न डेटाबेस आदि में देख सकते हैं। अक्सर त्रिज्या सर्वर की रिमोट मॉनिटरिंग और कीप-अलाइव चेकिंग के लिए उपयोग किया जाता है। त्रिज्या प्रॉक्सी सर्वर केंद्रीकृत प्रशासन के लिए उपयोग किए जाते हैं और सुरक्षा कारणों से या विक्रेता बोलियों के बीच रूपांतरण के लिए त्रिज्या पैकेट को फिर से लिख सकते हैं।
व्यास (नवाचार) नवाचार का उद्देश्य रेडियस के प्रतिस्थापन के रूप में था। जबकि दोनों प्रमाणीकरण, प्राधिकरण, और लेखा (एएए) नवाचार हैं, दो नवाचार के लिए उपयोग-मामले तब से अलग हो गए हैं। डायमीटर का उपयोग बड़े पैमाने पर 3जी स्पेस में किया जाता है। त्रिज्या कहीं और प्रयोग किया जाता है। व्यास को त्रिज्या बदलने में सबसे बड़ी बाधाओं में से एक यह है कि नेटवर्क स्विच और वायरलेस एक्सेस प्वाइंट आमतौर पर त्रिज्या को लागू करते हैं, लेकिन व्यास को नहीं। डायमीटर स्ट्रीम कंट्रोल ट्रांसमिशन नवाचार या ट्रांसमिशन कंट्रोल नवाचार का उपयोग करता है जबकि त्रिज्या आमतौर पर ट्रांसपोर्ट लेयर के रूप में यूजर डेटाग्राम नवाचार का उपयोग करता है। 2012 तक, त्रिज्या सुरक्षा के लिए ट्रांसपोर्ट लेयर सिक्योरिटी के साथ ट्रांसपोर्ट लेयर के रूप में TCP का उपयोग कर सकता है।
मानक दस्तावेज
त्रिज्या नवाचार वर्तमान में निम्नलिखित IETF RFC दस्तावेज़ों में परिभाषित है।
| RFC | Title | Date published | Related article | Related RFCs | Note |
|---|---|---|---|---|---|
| RFC 2058 | Remote Authentication Dial In User Service (RADIUS) | January 1997 | RADIUS | Obsoleted by RFC 2138 | |
| RFC 2059 | त्रिज्या Accounting | January 1997 | RADIUS | Obsoleted by RFC 2139 | |
| RFC 2138 | Remote Authentication Dial In User Service (RADIUS) | April 1997 | RADIUS | Obsoleted by RFC 2865 | |
| RFC 2139 | त्रिज्या Accounting | April 1997 | RADIUS | Obsoleted by RFC 2866 | |
| RFC 2548 | Microsoft Vendor-specific त्रिज्या Attributes | March 1999 | RADIUS | ||
| RFC 2607 | Proxy Chaining and Policy Implementation in Roaming | June 1999 | |||
| RFC 2618 | त्रिज्या Authentication Client MIB | Management information base | Obsoleted by RFC 4668 | ||
| RFC 2619 | त्रिज्या Authentication Server MIB | Management information base | Obsoleted by RFC 4669 | ||
| RFC 2620 | त्रिज्या Accounting Client MIB | June 1999 | Management information base | Obsoleted by RFC 4670 | |
| RFC 2621 | त्रिज्या Accounting Server MIB | June 1999 | Management information base | Obsoleted by RFC 4671 | |
| RFC 2809 | Implementation of L2TP Compulsory Tunneling via RADIUS | April 2000 | |||
| RFC 2865 | Remote Authentication Dial In User Service (RADIUS) | June 2000 | RADIUS | Updated by RFC 2868, RFC 3575, RFC 5080 | This standard describes त्रिज्या authentication and authorization between a Network Access Server (NAS) and a shared त्रिज्या authentication server. This protocol is also used to carry configuration information from the त्रिज्या server to the NAS. |
| RFC 2866 | त्रिज्या Accounting | June 2000 | RADIUS | This standard describes how accounting information is carried from the NAS to a shared त्रिज्या accounting server. | |
| RFC 2867 | त्रिज्या Accounting Modifications for Tunnel Protocol Support | June 2000 | RADIUS | Updates RFC 2866 | |
| RFC 2868 | त्रिज्या Attributes for Tunnel Protocol Support | June 2000 | Updates RFC 2865 | ||
| RFC 2869 | त्रिज्या Extensions | June 2000 | Updated by RFC 3579, RFC 5080 | ||
| RFC 2882 | Network Access Servers Requirements: Extended त्रिज्या Practices | July 2000 | |||
| RFC 3162 | त्रिज्या and IPv6 | August 2001 | |||
| RFC 3575 | IANA Considerations for RADIUS | July 2003 | |||
| RFC 3576 | Dynamic Authorization Extensions to RADIUS | July 2003 | Obsoleted by RFC 5176 | ||
| RFC 3579 | त्रिज्या Support for EAP | September 2003 | Extensible Authentication Protocol | Updates RFC 2869 | |
| RFC 3580 | IEEE 802.1X त्रिज्या Usage Guidelines | September 2003 | 802.1X | ||
| RFC 4014 | त्रिज्या Attributes Suboption for the DHCP Relay Agent Information Option | February 2005 | |||
| RFC 4372 | Chargeable User Identity | January 2006 | |||
| RFC 4590 | त्रिज्या Extension for Digest Authentication | July 2006 | Obsoleted by RFC 5090 | ||
| RFC 4668 | त्रिज्या Authentication Client MIB for IPv6 | August 2006 | Management information base | ||
| RFC 4669 | त्रिज्या Authentication Server MIB for IPv6 | August 2006 | Management information base | ||
| RFC 4670 | त्रिज्या Accounting Client MIB for IPv6 | August 2006 | Management information base | ||
| RFC 4671 | त्रिज्या Accounting Server MIB for IPv6 | August 2006 | Management information base | ||
| RFC 4675 | त्रिज्या Attributes for Virtual LAN and Priority Support | September 2006 | |||
| RFC 4679 | DSL Forum Vendor-Specific त्रिज्या Attributes | September 2006 | |||
| RFC 4818 | त्रिज्या Delegated-IPv6-Prefix Attribute | April 2007 | |||
| RFC 4849 | त्रिज्या Filter Rule Attribute | April 2007 | |||
| RFC 5080 | Common त्रिज्या Implementation Issues and Suggested Fixes | December 2007 | Updates RFC 3579 | ||
| RFC 5090 | त्रिज्या Extension for Digest Authentication | February 2008 | |||
| RFC 5176 | Dynamic Authorization Extensions to RADIUS | January 2008 | |||
| RFC 5607 | त्रिज्या Authorization for NAS Management | July 2009 | |||
| RFC 5997 | Use of Status-Server Packets in the त्रिज्या Protocol | August 2010 | Updates RFC 2866 | ||
| RFC 6158 | त्रिज्या Design Guidelines | March 2011 | |||
| RFC 6218 | Cisco Vendor-Specific त्रिज्या Attributes for the Delivery of Keying Material | April 2011 | |||
| RFC 6421 | Crypto-Agility Requirements for Remote Authentication Dial-In User Service (RADIUS) | November 2011 | |||
| RFC 6613 | त्रिज्या over TCP | May 2012 | Experimental | ||
| RFC 6614 | Transport Layer Security (TLS) Encryption for RADIUS | May 2012 | Experimental | ||
| RFC 6911 | त्रिज्या Attributes for IPv6 Access Networks | April 2013 | Standards track | ||
| RFC 6929 | Remote Authentication Dial-In User Service (RADIUS) Protocol Extensions | April 2013 | Updates RFC 2865, RFC 3575, RFC 6158 | ||
| RFC 7360 | Datagram Transport Layer Security (DTLS) as a Transport Layer for RADIUS | September 2014 | Experimental | ||
| RFC 7585 | Dynamic Peer Discovery for RADIUS/TLS and RADIUS/DTLS Based on the Network Access Identifier (NAI) | Oct 2015 | Experimental | ||
| RFC 8044 | Data Types in RADIUS | January 2017 | Updates: 2865, 3162, 4072, 6158, 6572, 7268 | ||
| RFC 8559 | Dynamic Authorization Proxying in the त्रिज्या Protocol | April 2019 | Standards track |
यह भी देखें
- सुरक्षा अभिकथन मार्कअप भाषा
- टीएसीएसीएस
संदर्भ
- ↑ 1.0 1.1 "रेडियस कैसे काम करता है?". Cisco. 2006-01-19. Retrieved 2009-04-15.
- ↑ Edwin Lyle Brown (2006). 802.1X पोर्ट-आधारित प्रमाणीकरण. Taylor & Francis. p. 17. ISBN 978-1-4200-4465-2.
- ↑ RFC 2865 Remote Authentication Dial In User Service (RADIUS)
- ↑ RFC 2866 RADIUS Accounting
- ↑ "नेटवर्क एक्सेस पहचानकर्ता". Internet Engineering Task Force (IETF). May 2015. Retrieved 8 May 2021.
- ↑ Alexander Sotirov; Marc Stevens; Jacob Appelbaum; Arjen Lenstra; David Molnar; Dag Arne Osvik; Benne de Weger (2008-12-08). "MD5 आज हानिकारक माना जाता है - एक दुष्ट CA प्रमाणपत्र बनाना". Technische Universiteit Eindhoven. Retrieved 2009-04-19.
- ↑ "एनपीएस यूडीपी पोर्ट जानकारी कॉन्फ़िगर करें". Microsoft. 2020-08-07. Retrieved 2021-06-20.
- ↑ "त्रिज्या के लिए IANA विचार (उपयोगकर्ता सेवा में दूरस्थ प्रमाणीकरण डायल)". Internet Engineering Task Force (IETF). July 2003. Retrieved 8 May 2021.
- ↑ RFC 2548
- ↑ An Analysis of the RADIUS Authentication Protocol
- ↑ Jonathan Hassell (2003). RADIUS: निजी संसाधनों तक सार्वजनिक पहुंच को सुरक्षित करना. O'Reilly Media. pp. 15–16. ISBN 9780596003227.
- ↑ John Vollbrecht (2006). "त्रिज्या की शुरुआत और इतिहास" (PDF). Interlink Networks. Retrieved 2009-04-15.
- ↑ Jonathan Hassell (2003). त्रिज्या: निजी संसाधनों तक सार्वजनिक पहुंच सुरक्षित करना. O'Reilly Media. p. 16. ISBN 9780596003227.
- ↑ "रिमोट ऑथेंटिकेशन डायल इन यूजर सर्विस (RADIUS) के लिए डायनेमिक ऑथराइजेशन एक्सटेंशन". Internet Engineering Task Force. January 2008. Retrieved 8 May 2021.
ग्रन्थसूची
- Hassell, Jonathan (2002). RADIUS - Securing Public Access to Private Resources. O'Reilly & Associates. ISBN 0-596-00322-6. Retrieved 2009-04-17.
बाहरी संबंध
- त्रिज्या Types
- An Analysis of the त्रिज्या Authentication Protocol
- Decoding a Sniffer-trace of त्रिज्या Transaction
- Using Wireshark to debug RADIUS
| Authentication APIs |
|
|---|---|
| Authentication protocols |
|
