त्रिज्या

रिमोट ऑथेंटिकेशन डायल-इन यूजर सर्विस (RADIUS) एक नेटवर्किंग प्रोटोकॉल है जो नेटवर्क सेवा से जुड़ने और उपयोग करने वाले उपयोगकर्ताओं के लिए केंद्रीकृत प्रमाणीकरण, प्राधिकरण और लेखा (AAA_(कंप्यूटर_सुरक्षा)) प्रबंधन प्रदान करता है। RADIUS को लिविंगस्टन एंटरप्राइजेज द्वारा 1991 में एक एक्सेस सर्वर प्रमाणीकरण और लेखा प्रोटोकॉल के रूप में विकसित किया गया था। इसे बाद में आईईईई 802 और इंटरनेट इंजीनियरिंग टास्क फोर्स मानकों में लाया गया।

RADIUS एक क्लाइंट/सर्वर प्रोटोकॉल है जो एप्लिकेशन लेयर में चलता है, और ट्रांसमिशन कंट्रोल प्रोटोकॉल या यूजर डेटाग्राम प्रोटोकॉल का उपयोग कर सकता है। नेटवर्क एक्सेस सर्वर, जो नेटवर्क तक पहुंच को नियंत्रित करते हैं, में आमतौर पर एक रैडियस क्लाइंट घटक होता है जो रैडियस सर्वर के साथ संचार करता है।^[1]RADIUS अक्सर बैक-एंड डेटाबेस होता है | 802.1X प्रमाणीकरण के लिए पसंद का बैक-एंड।^[2] एक RADIUS सर्वर आमतौर पर UNIX या Microsoft Windows पर चलने वाली एक पृष्ठभूमि प्रक्रिया है।^[1]

प्रोटोकॉल घटक

RADIUS एक AAA_ (कंप्यूटर_सुरक्षा) (प्रमाणीकरण, प्राधिकरण और लेखा) प्रोटोकॉल है जो नेटवर्क एक्सेस का प्रबंधन करता है। RADIUS पूर्ण AAA प्रक्रिया को प्रबंधित करने के लिए दो प्रकार के नेटवर्क पैकेट का उपयोग करता है: एक्सेस-अनुरोध, जो प्रमाणीकरण और प्राधिकरण का प्रबंधन करता है; और लेखा-अनुरोध, जो लेखांकन का प्रबंधन करता है। प्रमाणीकरण और प्राधिकरण को RFC 2865 में परिभाषित किया गया है जबकि लेखांकन का वर्णन RFC 2866 द्वारा किया गया है।

प्रमाणीकरण और प्राधिकरण

उपयोगकर्ता या मशीन एक्सेस क्रेडेंशियल्स का उपयोग करके किसी विशेष नेटवर्क संसाधन तक पहुंच प्राप्त करने के लिए नेटवर्क एक्सेस सर्वर (एनएएस) को अनुरोध भेजता है। लिंक-लेयर प्रोटोकॉल के माध्यम से एनएएस डिवाइस को क्रेडेंशियल पास किए जाते हैं - उदाहरण के लिए, कई डायलअप या डीएसएल प्रदाताओं के मामले में पॉइंट-टू-पॉइंट प्रोटोकॉल (पीपीपी) या HTTPS सुरक्षित वेब फॉर्म में पोस्ट किया गया।

बदले में, NAS RADIUS प्रोटोकॉल के माध्यम से पहुँच प्रदान करने के लिए प्राधिकरण का अनुरोध करते हुए RADIUS सर्वर को RADIUS एक्सेस अनुरोध संदेश भेजता है।^[3] इस अनुरोध में एक्सेस क्रेडेंशियल शामिल हैं, आमतौर पर उपयोगकर्ता नाम और पासवर्ड या उपयोगकर्ता द्वारा प्रदान किए गए सुरक्षा प्रमाणपत्र के रूप में। इसके अतिरिक्त, अनुरोध में अन्य जानकारी शामिल हो सकती है जो NAS उपयोगकर्ता के बारे में जानता है, जैसे कि उसका नेटवर्क पता या फोन नंबर, और उपयोगकर्ता के NAS के साथ लगाव के भौतिक बिंदु के बारे में जानकारी।

RADIUS सर्वर यह जाँचता है कि पासवर्ड प्रमाणीकरण प्रोटोकॉल, चैलेंज-हैंडशेक प्रमाणीकरण प्रोटोकॉल या एक्स्टेंसिबल ऑथेंटिकेशन प्रोटोकॉल जैसी प्रमाणीकरण योजनाओं का उपयोग करके जानकारी सही है। वैकल्पिक रूप से, अनुरोध से संबंधित अन्य जानकारी, जैसे उपयोगकर्ता का नेटवर्क पता या फ़ोन नंबर, खाता स्थिति, और विशिष्ट नेटवर्क सेवा एक्सेस विशेषाधिकार के साथ, उपयोगकर्ता के पहचान के प्रमाण को सत्यापित किया जाता है। ऐतिहासिक रूप से, RADIUS सर्वर ने स्थानीय रूप से संग्रहीत फ्लैट फ़ाइल डेटाबेस के विरुद्ध उपयोगकर्ता की जानकारी की जाँच की। आधुनिक RADIUS सर्वर ऐसा कर सकते हैं, या उपयोगकर्ता के क्रेडेंशियल्स को सत्यापित करने के लिए बाहरी स्रोतों-आमतौर पर SQL, Kerberos (प्रोटोकॉल), LDAP, या सक्रिय निर्देशिका सर्वरों को संदर्भित कर सकते हैं।

त्रिज्या प्रमाणीकरण और प्राधिकरण प्रवाह

RADIUS सर्वर तब NAS को तीन प्रतिक्रियाओं में से एक देता है: 1) एक्सेस रिजेक्ट, 2) एक्सेस चैलेंज, या 3) एक्सेस एक्सेप्ट।

एक्सेस रिजेक्ट: उपयोगकर्ता को बिना शर्त सभी अनुरोधित नेटवर्क संसाधनों तक पहुंच से वंचित कर दिया जाता है। कारणों में पहचान का प्रमाण प्रदान करने में विफलता या कोई अज्ञात या निष्क्रिय उपयोगकर्ता खाता शामिल हो सकता है।
एक्सेस चैलेंज: यूजर से सेकेंडरी पासवर्ड, पिन, टोकन या कार्ड जैसी अतिरिक्त जानकारी का अनुरोध करता है। एक्सेस चैलेंज का उपयोग अधिक जटिल प्रमाणीकरण संवादों में भी किया जाता है जहां उपयोगकर्ता मशीन और रेडियस सर्वर के बीच एक सुरक्षित सुरंग स्थापित की जाती है ताकि एक्सेस क्रेडेंशियल NAS से छिपे हों।
पहुंच स्वीकार करें: उपयोगकर्ता को पहुंच प्रदान की जाती है। एक बार जब उपयोगकर्ता प्रमाणित हो जाता है, तो RADIUS सर्वर अक्सर जाँच करेगा कि उपयोगकर्ता अनुरोधित नेटवर्क सेवा का उपयोग करने के लिए अधिकृत है। किसी दिए गए उपयोगकर्ता को कंपनी के वायरलेस नेटवर्क का उपयोग करने की अनुमति दी जा सकती है, लेकिन इसकी वीपीएन सेवा नहीं, उदाहरण के लिए। फिर से, यह जानकारी RADIUS सर्वर पर स्थानीय रूप से संग्रहीत की जा सकती है, या किसी बाहरी स्रोत जैसे LDAP या सक्रिय निर्देशिका में देखी जा सकती है।

इन तीन RADIUS प्रतिक्रियाओं में से प्रत्येक में एक उत्तर-संदेश विशेषता शामिल हो सकती है जो अस्वीकृति का कारण, चुनौती के लिए संकेत, या स्वीकार करने के लिए एक स्वागत संदेश दे सकती है। विशेषता में पाठ उपयोगकर्ता को रिटर्न वेब पेज में पास किया जा सकता है।

प्राधिकरण त्रिज्या मान NAS को दी जाने वाली पहुंच की शर्तों को निर्धारित करता है। उदाहरण के लिए, निम्नलिखित प्राधिकरण विशेषताओं को एक्सेस-स्वीकृति में शामिल किया जा सकता है:

उपयोगकर्ता को निर्दिष्ट किया जाने वाला विशिष्ट आईपी पता
पता पूल जिससे उपयोगकर्ता का आईपी पता चुना जाना चाहिए
अधिकतम समय की अवधि जिससे उपयोगकर्ता जुड़ा रह सकता है
उपयोगकर्ता की पहुंच पर एक एक्सेस सूची, प्राथमिकता कतार या अन्य प्रतिबंध
L2TP पैरामीटर
वीएलएएन पैरामीटर
सेवा की गुणवत्ता (क्यूओएस) पैरामीटर

जब क्लाइंट को RADIUS का उपयोग करने के लिए कॉन्फ़िगर किया जाता है, तो क्लाइंट का कोई भी उपयोगकर्ता क्लाइंट को प्रमाणीकरण जानकारी प्रस्तुत करता है। यह एक अनुकूलन योग्य लॉगिन प्रॉम्प्ट के साथ हो सकता है, जहां उपयोगकर्ता से अपना उपयोगकर्ता नाम और पासवर्ड दर्ज करने की अपेक्षा की जाती है। वैकल्पिक रूप से, उपयोगकर्ता पॉइंट-टू-पॉइंट प्रोटोकॉल (पीपीपी) जैसे लिंक फ़्रेमिंग प्रोटोकॉल का उपयोग कर सकता है, जिसमें प्रमाणीकरण पैकेट होते हैं जो इस जानकारी को ले जाते हैं।

एक बार क्लाइंट को ऐसी जानकारी प्राप्त हो जाने के बाद, वह RADIUS का उपयोग करके प्रमाणित करना चुन सकता है। ऐसा करने के लिए, क्लाइंट एक एक्सेस-अनुरोध बनाता है जिसमें उपयोगकर्ता का नाम, उपयोगकर्ता का पासवर्ड, क्लाइंट की आईडी और उपयोगकर्ता द्वारा एक्सेस की जा रही पोर्ट आईडी जैसे गुण होते हैं। जब कोई पासवर्ड मौजूद होता है, तो उसे RSA Message Digest Algorithm MD5 पर आधारित एक विधि का उपयोग करके छिपा दिया जाता है।

लेखा

त्रिज्या लेखा प्रवाह

लेखांकन RFC 2866 में वर्णित है।

जब नेटवर्क एक्सेस सर्वर द्वारा उपयोगकर्ता को नेटवर्क एक्सेस प्रदान किया जाता है, तो एक अकाउंटिंग स्टार्ट (एक रेडियस अकाउंटिंग रिक्वेस्ट पैकेट जिसमें वैल्यू स्टार्ट के साथ एक्ट-स्टेटस-टाइप एट्रिब्यूट होता है) NAS द्वारा रैडियस सर्वर को शुरू होने का संकेत देने के लिए भेजा जाता है। उपयोगकर्ता की नेटवर्क पहुंच। प्रारंभ रिकॉर्ड में आमतौर पर उपयोगकर्ता की पहचान, नेटवर्क पता, अनुलग्नक बिंदु और एक अद्वितीय सत्र पहचानकर्ता होता है।^[4] समय-समय पर, अंतरिम अपडेट रिकॉर्ड (एक RADIUS अकाउंटिंग अनुरोध पैकेट जिसमें एक Acct-Status-Type विशेषता होती है, जिसमें मान अंतरिम-अद्यतन होता है) NAS द्वारा RADIUS सर्वर को भेजा जा सकता है, इसे सक्रिय सत्र की स्थिति पर अपडेट करने के लिए। अंतरिम रिकॉर्ड आम तौर पर वर्तमान सत्र की अवधि और वर्तमान डेटा उपयोग की जानकारी देते हैं।

अंत में, जब उपयोगकर्ता का नेटवर्क एक्सेस बंद हो जाता है, तो NAS RADIUS सर्वर को एक अंतिम अकाउंटिंग स्टॉप रिकॉर्ड (एक RADIUS अकाउंटिंग रिक्वेस्ट पैकेट जिसमें एक Acct-Status-Type विशेषता होती है) RADIUS सर्वर को जारी करता है, जो अंतिम उपयोग के बारे में जानकारी प्रदान करता है। समय, पैकेट ट्रांसफर, डेटा ट्रांसफर, डिस्कनेक्ट करने का कारण और उपयोगकर्ता के नेटवर्क एक्सेस से संबंधित अन्य जानकारी।

आम तौर पर, क्लाइंट लेखांकन-अनुरोध पैकेट भेजता है जब तक कि उसे कुछ पुनर्प्रयास अंतराल का उपयोग करके लेखा-प्रतिक्रिया पावती प्राप्त न हो जाए।

इस डेटा का प्राथमिक उद्देश्य यह है कि उपयोगकर्ता तदनुसार बिल (भुगतान) हो सकता है; डेटा का उपयोग आमतौर पर सांख्यिकीय उद्देश्यों और सामान्य नेटवर्क निगरानी के लिए भी किया जाता है।

रोमिंग

एक प्रॉक्सी RADIUS AAA सर्वर का उपयोग करके रोमिंग।

RADIUS का उपयोग आमतौर पर इंटरनेट सेवा प्रदाताओं के बीच रोमिंग की सुविधा के लिए किया जाता है, जिसमें निम्न शामिल हैं:

कंपनियां जो एक वैश्विक साख प्रदान करती हैं जो कई सार्वजनिक नेटवर्क पर प्रयोग करने योग्य हैं;
स्वतंत्र, लेकिन सहयोगी, संस्थान अपने स्वयं के उपयोगकर्ताओं को अपने स्वयं के क्रेडेंशियल जारी करते हैं, जो एक से दूसरे आगंतुक को उनके गृह संस्थान द्वारा प्रमाणित करने की अनुमति देते हैं, जैसे कि eduroam में।

RADIUS इसे क्षेत्र के उपयोग द्वारा सुगम बनाता है, जो यह पहचानते हैं कि RADIUS सर्वर को प्रसंस्करण के लिए AAA अनुरोधों को कहाँ अग्रेषित करना चाहिए।

क्षेत्र

एक दायरे को आमतौर पर एक उपयोगकर्ता के उपयोगकर्ता नाम के साथ जोड़ा जाता है और एक '@' चिन्ह के साथ सीमांकित किया जाता है, जो एक ईमेल पता डोमेन नाम जैसा दिखता है। इसे दायरे के लिए पोस्टफ़िक्स नोटेशन के रूप में जाना जाता है। एक अन्य सामान्य उपयोग उपसर्ग संकेतन है, जिसमें उपयोगकर्ता नाम के दायरे को पूर्वनिर्धारित करना और एक सीमांकक के रूप में '\' का उपयोग करना शामिल है। आधुनिक RADIUS सर्वर किसी भी वर्ण को एक वास्तविक सीमांकक के रूप में उपयोग करने की अनुमति देते हैं, हालांकि व्यवहार में '@' और '\' आमतौर पर उपयोग किए जाते हैं।

जटिल रोमिंग परिदृश्यों की अनुमति देने के लिए, प्रीफ़िक्स और पोस्टफ़िक्स नोटेशन दोनों का उपयोग करके स्थानों को भी संयोजित किया जा सकता है; उदाहरण के लिए, somedomain.com\username@anotherdomain.com दो क्षेत्रों वाला एक मान्य उपयोगकर्ता नाम हो सकता है।

हालांकि क्षेत्र अक्सर डोमेन के समान होते हैं, यह ध्यान रखना महत्वपूर्ण है कि क्षेत्र वास्तव में स्वैच्छिक पाठ हैं और वास्तविक डोमेन नाम शामिल करने की आवश्यकता नहीं है। दायरे के प्रारूप RFC 4282 में मानकीकृत हैं, जो 'उपयोगकर्ता @ दायरे' के रूप में एक नेटवर्क एक्सेस आइडेंटिफ़ायर (NAI) को परिभाषित करता है। उस विनिर्देश में, 'दायरे' भाग को एक डोमेन नाम होना आवश्यक है। हालाँकि, इस प्रथा का हमेशा पालन नहीं किया जाता है। आरएफसी 7542^[5] मई 2015 में RFC 4282 को प्रतिस्थापित किया।

प्रॉक्सी संचालन

जब एक RADIUS सर्वर एक उपयोगकर्ता नाम के लिए AAA अनुरोध प्राप्त करता है जिसमें एक क्षेत्र होता है, तो सर्वर कॉन्फ़िगर किए गए स्थानों की एक तालिका का संदर्भ देगा। यदि क्षेत्र ज्ञात है, तो सर्वर उस डोमेन के लिए कॉन्फ़िगर किए गए होम सर्वर के लिए अनुरोध को प्रॉक्सी करेगा। अनुरोध (स्ट्रिपिंग) से दायरे को हटाने के संबंध में प्रॉक्सी सर्वर का व्यवहार अधिकांश सर्वरों पर कॉन्फ़िगरेशन-निर्भर है। इसके अलावा, प्रॉक्सी सर्वर को एएए अनुरोधों को जोड़ने, हटाने या फिर से लिखने के लिए कॉन्फ़िगर किया जा सकता है जब वे समय के साथ फिर से प्रॉक्सी हो जाते हैं।

RADIUS में प्रॉक्सी चेनिंग संभव है और प्रमाणीकरण/प्राधिकरण और अकाउंटिंग पैकेट आमतौर पर प्रॉक्सी की एक श्रृंखला के माध्यम से NAS डिवाइस और होम सर्वर के बीच रूट किए जाते हैं। प्रॉक्सी श्रृंखलाओं का उपयोग करने के कुछ लाभों में मापनीयता में सुधार, नीति कार्यान्वयन और क्षमता समायोजन शामिल हैं। लेकिन रोमिंग परिदृश्यों में, NAS, प्रॉक्सी और होम सर्वर को आमतौर पर विभिन्न प्रशासनिक संस्थाओं द्वारा प्रबंधित किया जा सकता है। इसलिए, ऐसे इंटर-डोमेन अनुप्रयोगों के तहत प्रॉक्सी के बीच विश्वास कारक अधिक महत्व प्राप्त करता है। इसके अलावा, RADIUS में एंड टू एंड सुरक्षा की अनुपस्थिति शामिल प्रॉक्सी के बीच विश्वास की गंभीरता को जोड़ती है। प्रॉक्सी जंजीरों को rfc:2607 में समझाया गया है।

सुरक्षा

रैडियस के साथ रोमिंग करने से उपयोगकर्ताओं को विभिन्न सुरक्षा और गोपनीयता चिंताओं का सामना करना पड़ता है। अधिक आम तौर पर, कुछ रोमिंग पार्टनर RADIUS सर्वर के बीच एक सुरक्षित सुरंग स्थापित करते हैं ताकि यह सुनिश्चित किया जा सके कि इंटरनेट पर प्रॉक्सी होने के दौरान उपयोगकर्ताओं की साख को बाधित नहीं किया जा सकता है। यह एक चिंता का विषय है क्योंकि RADIUS में निर्मित MD5 हैश को असुरक्षित माना जाता है।^[6]

पैकेट संरचना

RADIUS पैकेट डेटा स्वरूप।

RADIUS को पोर्ट (कंप्यूटर नेटवर्किंग) 1812 और 1813 पर UDP/IP पर ले जाया जाता है।^[7]

RADIUS नेटवर्क पैकेट डेटा स्वरूप दाईं ओर दिखाया गया है। कोड, पहचानकर्ता, लंबाई, प्रमाणक और विशेषताओं से शुरू होने वाले फ़ील्ड को बाएं से दाएं प्रेषित किया जाता है।

असाइन किए गए RADIUS कोड (दशमलव) में निम्नलिखित शामिल हैं:^[8]

Code	Assignment
1	Access-Request
2	Access-Accept
3	Access-Reject
4	Accounting-Request
5	Accounting-Response
11	Access-Challenge
12	Status-Server (experimental)
13	Status-Client (experimental)
40	Disconnect-Request
41	Disconnect-ACK
42	Disconnect-NAK
43	CoA-Request
44	CoA-ACK
45	CoA-NAK
255	Reserved

पहचानकर्ता फ़ील्ड अनुरोधों और उत्तरों के मिलान में सहायता करता है।

लंबाई फ़ील्ड कोड, पहचानकर्ता, लंबाई, प्रमाणक और वैकल्पिक विशेषता फ़ील्ड सहित पूरे RADIUS पैकेट की लंबाई को इंगित करता है।

प्रमाणक का उपयोग RADIUS सर्वर से उत्तर को प्रमाणित करने के लिए किया जाता है, और पासवर्ड को एन्क्रिप्ट करने में उपयोग किया जाता है; इसकी लंबाई 16 बाइट्स है।

विशेषता मूल्य जोड़े

त्रिज्या एवीपी लेआउट

RADIUS एट्रिब्यूट वैल्यू पेयर (AVP) प्रमाणीकरण, प्राधिकरण और लेखा लेनदेन के अनुरोध और प्रतिक्रिया दोनों में डेटा ले जाता है। एवीपी के अंत को निर्धारित करने के लिए त्रिज्या पैकेट की लंबाई का उपयोग किया जाता है।

AVP type	Assignment
1	User-Name
2	User-Password
3	CHAP-Password
4	NAS-IP-Address
5	NAS-Port
6	Service-Type
7	Framed-Protocol
8	Framed-IP-Address
9	Framed-IP-Netmask
10	Framed-Routing
11	Filter-Id
12	Framed-MTU
13	Framed-Compression
14	Login-IP-Host
15	Login-Service
16	Login-TCP-Port
18	Reply-Message
19	Callback-Number
20	Callback-Id
22	Framed-Route
23	Framed-IPX-Network
24	State
25	Class
26	Vendor-Specific
27	Session-Timeout
28	Idle-Timeout
29	Termination-Action
30	Called-Station-Id
31	Calling-Station-Id
32	NAS-Identifier
33	Proxy-State
34	Login-LAT-Service
35	Login-LAT-Node
36	Login-LAT-Group
37	Framed-AppleTalk-Link
38	Framed-AppleTalk-Network
39	Framed-AppleTalk-Zone
40	Acct-Status-Type
41	Acct-Delay-Time
42	Acct-Input-Octets
43	Acct-Output-Octets
44	Acct-Session-Id
45	Acct-Authentic
46	Acct-Session-Time
47	Acct-Input-Packets
48	Acct-Output-Packets
49	Acct-Terminate-Cause
50	Acct-Multi-Session-Id
51	Acct-Link-Count
52	Acct-Input-Gigawords
53	Acct-Output-Gigawords
55	Event-Timestamp
56	Egress-VLANID
57	Ingress-Filters
58	Egress-VLAN-Name
59	User-Priority-Table
60	CHAP-Challenge
61	NAS-Port-Type
62	Port-Limit
63	Login-LAT-Port
64	Tunnel-Type
65	Tunnel-Medium-Type
66	Tunnel-Client-Endpoint
67	Tunnel-Server-Endpoint
68	Acct-Tunnel-Connection
69	Tunnel-Password
70	ARAP-Password
71	ARAP-Features
72	ARAP-Zone-Access
73	ARAP-Security
74	ARAP-Security-Data
75	Password-Retry
76	Prompt
77	Connect-Info
78	Configuration-Token
79	EAP-Message
80	Message-Authenticator
81	Tunnel-Private-Group-ID
82	Tunnel-Assignment-ID
83	Tunnel-Preference
84	ARAP-Challenge-Response
85	Acct-Interim-Interval
86	Acct-Tunnel-Packets-Lost
87	NAS-Port-Id
88	Framed-Pool
89	CUI
90	Tunnel-Client-Auth-ID
91	Tunnel-Server-Auth-ID
92	NAS-Filter-Rule
94	Originating-Line-Info
95	NAS-IPv6-Address
96	Framed-Interface-Id
97	Framed-IPv6-Prefix
98	Login-IPv6-Host
99	Framed-IPv6-Route
100	Framed-IPv6-Pool
101	Error-Cause Attribute
102	EAP-Key-Name
103	Digest-Response
104	Digest-Realm
105	Digest-Nonce
106	Digest-Response-Auth
107	Digest-Nextnonce
108	Digest-Method
109	Digest-URI
110	Digest-Qop
111	Digest-Algorithm
112	Digest-Entity-Body-Hash
113	Digest-CNonce
114	Digest-Nonce-Count
115	Digest-Username
116	Digest-Opaque
117	Digest-Auth-Param
118	Digest-AKA-Auts
119	Digest-Domain
120	Digest-Stale
121	Digest-HA1
122	SIP-AOR
123	Delegated-IPv6-Prefix
124	MIP6-Feature-Vector
125	MIP6-Home-Link-Prefix
126	Operator-Name
127	Location-Information
128	Location-Data
129	Basic-Location-Policy-Rules
130	Extended-Location-Policy-Rules
131	Location-Capable
132	Requested-Location-Info
133	Framed-Management-Protocol
134	Management-Transport-Protection
135	Management-Policy-Id
136	Management-Privilege-Level
137	PKM-SS-Cert
138	PKM-CA-Cert
139	PKM-Config-Settings
140	PKM-Cryptosuite-List
141	PKM-SAID
142	PKM-SA-Descriptor
143	PKM-Auth-Key
144	DS-Lite-Tunnel-Name
145	Mobile-Node-Identifier
146	Service-Selection
147	PMIP6-Home-LMA-IPv6-Address
148	PMIP6-Visited-LMA-IPv6-Address
149	PMIP6-Home-LMA-IPv4-Address
150	PMIP6-Visited-LMA-IPv4-Address
151	PMIP6-Home-HN-Prefix
152	PMIP6-Visited-HN-Prefix
153	PMIP6-Home-Interface-ID
154	PMIP6-Visited-Interface-ID
155	PMIP6-Home-IPv4-HoA
156	PMIP6-Visited-IPv4-HoA
157	PMIP6-Home-DHCP4-Server-Address
158	PMIP6-Visited-DHCP4-Server-Address
159	PMIP6-Home-DHCP6-Server-Address
160	PMIP6-Visited-DHCP6-Server-Address
161	PMIP6-Home-IPv4-Gateway
162	PMIP6-Visited-IPv4-Gateway
163	EAP-Lower-Layer
164	GSS-Acceptor-Service-Name
165	GSS-Acceptor-Host-Name
166	GSS-Acceptor-Service-Specifics
167	GSS-Acceptor-Realm-Name
168	Framed-IPv6-Address
169	DNS-Server-IPv6-Address
170	Route-IPv6-Information
171	Delegated-IPv6-Prefix-Pool
172	Stateful-IPv6-Address-Pool
173	IPv6-6rd-Configuration
174	Allowed-Called-Station-Id
175	EAP-Peer-Id
176	EAP-Server-Id
177	Mobility-Domain-Id
178	Preauth-Timeout
179	Network-Id-Name
180	EAPoL-Announcement
181	WLAN-HESSID
182	WLAN-Venue-Info
183	WLAN-Venue-Language
184	WLAN-Venue-Name
185	WLAN-Reason-Code
186	WLAN-Pairwise-Cipher
187	WLAN-Group-Cipher
188	WLAN-AKM-Suite
189	WLAN-Group-Mgmt-Cipher
190	WLAN-RF-Band

विक्रेता-विशिष्ट विशेषताएँ

त्रिज्या एक्स्टेंसिबल है; RADIUS हार्डवेयर और सॉफ़्टवेयर के कई विक्रेता विक्रेता-विशिष्ट विशेषताओं (VSAs) का उपयोग करके अपने स्वयं के वेरिएंट को लागू करते हैं। माइक्रोसॉफ्ट ने अपने कुछ वीएसए प्रकाशित किए हैं।^[9] कई अन्य कंपनियों की VSA परिभाषाएँ मालिकाना और/या तदर्थ बनी हुई हैं, फिर भी कई VSA शब्दकोश खुले स्रोत RADIUS कार्यान्वयन के स्रोत कोड को डाउनलोड करके प्राप्त किए जा सकते हैं, उदाहरण के लिए FreeRADIUS।

सुरक्षा

RADIUS प्रोटोकॉल एक साझा रहस्य और MD5 हैशिंग एल्गोरिथम का उपयोग करके अस्पष्ट पासवर्ड प्रसारित करता है। चूंकि यह विशेष कार्यान्वयन उपयोगकर्ता के क्रेडेंशियल्स की केवल कमजोर सुरक्षा प्रदान करता है,^[10] अतिरिक्त सुरक्षा, जैसे कि IPsec टनल या भौतिक रूप से सुरक्षित डेटा-सेंटर नेटवर्क, का उपयोग NAS डिवाइस और RADIUS सर्वर के बीच RADIUS ट्रैफ़िक की सुरक्षा के लिए किया जाना चाहिए। इसके अतिरिक्त, उपयोगकर्ता के सुरक्षा क्रेडेंशियल केवल RADIUS द्वारा संरक्षित भाग हैं, फिर भी अन्य उपयोगकर्ता-विशिष्ट विशेषताएँ जैसे कि टनल-ग्रुप आईडी या VLAN सदस्यता RADIUS के ऊपर पारित संवेदनशील (हमलावर के लिए सहायक) या निजी (पहचानने के लिए पर्याप्त) माना जा सकता है। व्यक्तिगत ग्राहक) जानकारी भी।^{[citation needed]} रैडसेक प्रोटोकॉल उपरोक्त सुरक्षा मुद्दों को हल करने का दावा करता है।

इतिहास

जैसा कि अधिक डायल-अप ग्राहक NSFNET का उपयोग करते हैं, मेरिट नेटवर्क द्वारा 1991 में उनके विभिन्न मालिकाना प्रमाणीकरण, प्राधिकरण और लेखा प्रणालियों को मजबूत करने के लिए प्रस्ताव के लिए अनुरोध भेजा गया था। शुरुआती उत्तरदाताओं में लिविंगस्टन एंटरप्राइजेज था और रैडियस का शुरुआती संस्करण एक बैठक के बाद लिखा गया था। प्रारंभिक RADIUS सर्वर UNIX ऑपरेटिंग सिस्टम पर स्थापित किया गया था। लिविंगस्टन एंटरप्राइजेज को ल्यूसेंट द्वारा अधिग्रहित किया गया था और एक प्रोटोकॉल के रूप में रैडियस के लिए उद्योग स्वीकृति प्राप्त करने के लिए मेरिट कदम उठाए गए थे। दोनों कंपनियों ने बिना किसी शुल्क के RADIUS सर्वर की पेशकश की।^[11] 1997 में RADIUS को RFC 2058 और RFC 2059 के रूप में प्रकाशित किया गया था, वर्तमान संस्करण RFC 2865 और RFC 2866 हैं।^[12] मूल RADIUS मानक निर्दिष्ट करता है कि RADIUS स्टेटलेस प्रोटोकॉल है और इसे उपयोगकर्ता डेटाग्राम प्रोटोकॉल (UDP) पर चलाना चाहिए। प्रमाणीकरण के लिए यह परिकल्पना की गई थी कि रैडियस को पॉइंट-टू-पॉइंट प्रोटोकॉल पर पासवर्ड ऑथेंटिकेशन प्रोटोकॉल (PAP) और चैलेंज-हैंडशेक ऑथेंटिकेशन प्रोटोकॉल (CHAP) का समर्थन करना चाहिए। पैकेट के MD5 हैश और एक साझा रहस्य को लेकर पासवर्ड छिपाए जाते हैं, और फिर उस हैश को पासवर्ड से XORing किया जाता है। मूल RADIUS ने 50 से अधिक विशेषता-मूल्य जोड़े भी प्रदान किए, जिसमें विक्रेताओं को अपने स्वयं के जोड़े को कॉन्फ़िगर करने की संभावना थी।^[13] एंड-टू-एंड एन्क्रिप्शन के बजाय हॉप-बाय-हॉप सुरक्षा मॉडल की पसंद का मतलब है कि यदि कई प्रॉक्सी रैडियस सर्वर उपयोग में हैं, तो प्रत्येक सर्वर को जांच करनी चाहिए, तर्क करना चाहिए और अनुरोध में सभी डेटा पास करना चाहिए। यह हर हॉप पर पासवर्ड और सर्टिफिकेट जैसे डेटा को उजागर करता है। प्राधिकरण जारी होने के बाद RADIUS सर्वर में संसाधनों तक पहुंच को रोकने की क्षमता भी नहीं थी। RFC 3576 और इसके उत्तराधिकारी RFC 5176 जैसे बाद के मानकों ने RADIUS सर्वरों को उपयोगकर्ता प्राधिकरण को गतिशील रूप से बदलने या उपयोगकर्ता को पूरी तरह से डिस्कनेक्ट करने की अनुमति दी।^[14] अब, कई वाणिज्यिक और ओपन-सोर्स रैडियस सर्वर मौजूद हैं। विशेषताएं अलग-अलग हो सकती हैं, लेकिन अधिकांश उपयोगकर्ताओं को पाठ फ़ाइलों, लाइटवेट डायरेक्ट्री एक्सेस प्रोटोकॉल सर्वर, विभिन्न डेटाबेस आदि में देख सकते हैं। अक्सर RADIUS सर्वर की रिमोट मॉनिटरिंग और कीप-अलाइव चेकिंग के लिए उपयोग किया जाता है। RADIUS प्रॉक्सी सर्वर केंद्रीकृत प्रशासन के लिए उपयोग किए जाते हैं और सुरक्षा कारणों से या विक्रेता बोलियों के बीच रूपांतरण के लिए RADIUS पैकेट को फिर से लिख सकते हैं।

व्यास (प्रोटोकॉल) प्रोटोकॉल का उद्देश्य रेडियस के प्रतिस्थापन के रूप में था। जबकि दोनों प्रमाणीकरण, प्राधिकरण, और लेखा (एएए) प्रोटोकॉल हैं, दो प्रोटोकॉल के लिए उपयोग-मामले तब से अलग हो गए हैं। डायमीटर का उपयोग बड़े पैमाने पर 3जी स्पेस में किया जाता है। त्रिज्या कहीं और प्रयोग किया जाता है। व्यास को RADIUS बदलने में सबसे बड़ी बाधाओं में से एक यह है कि नेटवर्क स्विच और वायरलेस एक्सेस प्वाइंट आमतौर पर RADIUS को लागू करते हैं, लेकिन व्यास को नहीं। डायमीटर स्ट्रीम कंट्रोल ट्रांसमिशन प्रोटोकॉल या ट्रांसमिशन कंट्रोल प्रोटोकॉल का उपयोग करता है जबकि RADIUS आमतौर पर ट्रांसपोर्ट लेयर के रूप में यूजर डेटाग्राम प्रोटोकॉल का उपयोग करता है। 2012 तक, RADIUS सुरक्षा के लिए ट्रांसपोर्ट लेयर सिक्योरिटी के साथ ट्रांसपोर्ट लेयर के रूप में TCP का उपयोग कर सकता है।

मानक दस्तावेज

RADIUS प्रोटोकॉल वर्तमान में निम्नलिखित IETF RFC दस्तावेज़ों में परिभाषित है।

RFC	Title	Date published	Related article	Related RFCs	Note
RFC 2058	Remote Authentication Dial In User Service (RADIUS)	January 1997	RADIUS	Obsoleted by RFC 2138
RFC 2059	RADIUS Accounting	January 1997	RADIUS	Obsoleted by RFC 2139
RFC 2138	Remote Authentication Dial In User Service (RADIUS)	April 1997	RADIUS	Obsoleted by RFC 2865
RFC 2139	RADIUS Accounting	April 1997	RADIUS	Obsoleted by RFC 2866
RFC 2548	Microsoft Vendor-specific RADIUS Attributes	March 1999	RADIUS
RFC 2607	Proxy Chaining and Policy Implementation in Roaming	June 1999
RFC 2618	RADIUS Authentication Client MIB		Management information base	Obsoleted by RFC 4668
RFC 2619	RADIUS Authentication Server MIB		Management information base	Obsoleted by RFC 4669
RFC 2620	RADIUS Accounting Client MIB	June 1999	Management information base	Obsoleted by RFC 4670
RFC 2621	RADIUS Accounting Server MIB	June 1999	Management information base	Obsoleted by RFC 4671
RFC 2809	Implementation of L2TP Compulsory Tunneling via RADIUS	April 2000
RFC 2865	Remote Authentication Dial In User Service (RADIUS)	June 2000	RADIUS	Updated by RFC 2868, RFC 3575, RFC 5080	This standard describes RADIUS authentication and authorization between a Network Access Server (NAS) and a shared RADIUS authentication server. This protocol is also used to carry configuration information from the RADIUS server to the NAS.
RFC 2866	RADIUS Accounting	June 2000	RADIUS		This standard describes how accounting information is carried from the NAS to a shared RADIUS accounting server.
RFC 2867	RADIUS Accounting Modifications for Tunnel Protocol Support	June 2000	RADIUS	Updates RFC 2866
RFC 2868	RADIUS Attributes for Tunnel Protocol Support	June 2000		Updates RFC 2865
RFC 2869	RADIUS Extensions	June 2000		Updated by RFC 3579, RFC 5080
RFC 2882	Network Access Servers Requirements: Extended RADIUS Practices	July 2000
RFC 3162	RADIUS and IPv6	August 2001
RFC 3575	IANA Considerations for RADIUS	July 2003
RFC 3576	Dynamic Authorization Extensions to RADIUS	July 2003		Obsoleted by RFC 5176
RFC 3579	RADIUS Support for EAP	September 2003	Extensible Authentication Protocol	Updates RFC 2869
RFC 3580	IEEE 802.1X RADIUS Usage Guidelines	September 2003	802.1X
RFC 4014	RADIUS Attributes Suboption for the DHCP Relay Agent Information Option	February 2005
RFC 4372	Chargeable User Identity	January 2006
RFC 4590	RADIUS Extension for Digest Authentication	July 2006		Obsoleted by RFC 5090
RFC 4668	RADIUS Authentication Client MIB for IPv6	August 2006	Management information base
RFC 4669	RADIUS Authentication Server MIB for IPv6	August 2006	Management information base
RFC 4670	RADIUS Accounting Client MIB for IPv6	August 2006	Management information base
RFC 4671	RADIUS Accounting Server MIB for IPv6	August 2006	Management information base
RFC 4675	RADIUS Attributes for Virtual LAN and Priority Support	September 2006
RFC 4679	DSL Forum Vendor-Specific RADIUS Attributes	September 2006
RFC 4818	RADIUS Delegated-IPv6-Prefix Attribute	April 2007
RFC 4849	RADIUS Filter Rule Attribute	April 2007
RFC 5080	Common RADIUS Implementation Issues and Suggested Fixes	December 2007		Updates RFC 3579
RFC 5090	RADIUS Extension for Digest Authentication	February 2008
RFC 5176	Dynamic Authorization Extensions to RADIUS	January 2008
RFC 5607	RADIUS Authorization for NAS Management	July 2009
RFC 5997	Use of Status-Server Packets in the RADIUS Protocol	August 2010		Updates RFC 2866
RFC 6158	RADIUS Design Guidelines	March 2011
RFC 6218	Cisco Vendor-Specific RADIUS Attributes for the Delivery of Keying Material	April 2011
RFC 6421	Crypto-Agility Requirements for Remote Authentication Dial-In User Service (RADIUS)	November 2011
RFC 6613	RADIUS over TCP	May 2012		Experimental
RFC 6614	Transport Layer Security (TLS) Encryption for RADIUS	May 2012		Experimental
RFC 6911	RADIUS Attributes for IPv6 Access Networks	April 2013		Standards track
RFC 6929	Remote Authentication Dial-In User Service (RADIUS) Protocol Extensions	April 2013		Updates RFC 2865, RFC 3575, RFC 6158
RFC 7360	Datagram Transport Layer Security (DTLS) as a Transport Layer for RADIUS	September 2014		Experimental
RFC 7585	Dynamic Peer Discovery for RADIUS/TLS and RADIUS/DTLS Based on the Network Access Identifier (NAI)	Oct 2015		Experimental
RFC 8044	Data Types in RADIUS	January 2017		Updates: 2865, 3162, 4072, 6158, 6572, 7268
RFC 8559	Dynamic Authorization Proxying in the RADIUS Protocol	April 2019		Standards track

यह भी देखें

सुरक्षा अभिकथन मार्कअप भाषा
टीएसीएसीएस

संदर्भ

↑ ^1.0 ^1.1 "रेडियस कैसे काम करता है?". Cisco. 2006-01-19. Retrieved 2009-04-15.
↑ Edwin Lyle Brown (2006). 802.1X पोर्ट-आधारित प्रमाणीकरण. Taylor & Francis. p. 17. ISBN 978-1-4200-4465-2.
↑ RFC 2865 Remote Authentication Dial In User Service (RADIUS)
↑ RFC 2866 RADIUS Accounting
↑ "नेटवर्क एक्सेस पहचानकर्ता". Internet Engineering Task Force (IETF). May 2015. Retrieved 8 May 2021.
↑ Alexander Sotirov; Marc Stevens; Jacob Appelbaum; Arjen Lenstra; David Molnar; Dag Arne Osvik; Benne de Weger (2008-12-08). "MD5 आज हानिकारक माना जाता है - एक दुष्ट CA प्रमाणपत्र बनाना". Technische Universiteit Eindhoven. Retrieved 2009-04-19.
↑ "एनपीएस यूडीपी पोर्ट जानकारी कॉन्फ़िगर करें". Microsoft. 2020-08-07. Retrieved 2021-06-20.
↑ "त्रिज्या के लिए IANA विचार (उपयोगकर्ता सेवा में दूरस्थ प्रमाणीकरण डायल)". Internet Engineering Task Force (IETF). July 2003. Retrieved 8 May 2021.
↑ RFC 2548
↑ An Analysis of the RADIUS Authentication Protocol
↑ Jonathan Hassell (2003). RADIUS: निजी संसाधनों तक सार्वजनिक पहुंच को सुरक्षित करना. O'Reilly Media. pp. 15–16. ISBN 9780596003227.
↑ John Vollbrecht (2006). "त्रिज्या की शुरुआत और इतिहास" (PDF). Interlink Networks. Retrieved 2009-04-15.
↑ Jonathan Hassell (2003). त्रिज्या: निजी संसाधनों तक सार्वजनिक पहुंच सुरक्षित करना. O'Reilly Media. p. 16. ISBN 9780596003227.
↑ "रिमोट ऑथेंटिकेशन डायल इन यूजर सर्विस (RADIUS) के लिए डायनेमिक ऑथराइजेशन एक्सटेंशन". Internet Engineering Task Force. January 2008. Retrieved 8 May 2021.

ग्रन्थसूची

Hassell, Jonathan (2002). RADIUS - Securing Public Access to Private Resources. O'Reilly & Associates. ISBN 0-596-00322-6. Retrieved 2009-04-17.

बाहरी संबंध

[ciscohow-1] 1.0 ^1.1 "रेडियस कैसे काम करता है?". Cisco. 2006-01-19. Retrieved 2009-04-15.

[Brown2006-2] Edwin Lyle Brown (2006). 802.1X पोर्ट-आधारित प्रमाणीकरण. Taylor & Francis. p. 17. ISBN 978-1-4200-4465-2.

[rfc2865-3] RFC 2865 Remote Authentication Dial In User Service (RADIUS)

[4] RFC 2866 RADIUS Accounting

[5] "नेटवर्क एक्सेस पहचानकर्ता". Internet Engineering Task Force (IETF). May 2015. Retrieved 8 May 2021.

[6] Alexander Sotirov; Marc Stevens; Jacob Appelbaum; Arjen Lenstra; David Molnar; Dag Arne Osvik; Benne de Weger (2008-12-08). "MD5 आज हानिकारक माना जाता है - एक दुष्ट CA प्रमाणपत्र बनाना". Technische Universiteit Eindhoven. Retrieved 2009-04-19.

[7] "एनपीएस यूडीपी पोर्ट जानकारी कॉन्फ़िगर करें". Microsoft. 2020-08-07. Retrieved 2021-06-20.

[8] "त्रिज्या के लिए IANA विचार (उपयोगकर्ता सेवा में दूरस्थ प्रमाणीकरण डायल)". Internet Engineering Task Force (IETF). July 2003. Retrieved 8 May 2021.

[9] RFC 2548

[10] An Analysis of the RADIUS Authentication Protocol

[11] Jonathan Hassell (2003). RADIUS: निजी संसाधनों तक सार्वजनिक पहुंच को सुरक्षित करना. O'Reilly Media. pp. 15–16. ISBN 9780596003227.

[Vollbrecht2006-12] John Vollbrecht (2006). "त्रिज्या की शुरुआत और इतिहास" (PDF). Interlink Networks. Retrieved 2009-04-15.

[13] Jonathan Hassell (2003). त्रिज्या: निजी संसाधनों तक सार्वजनिक पहुंच सुरक्षित करना. O'Reilly Media. p. 16. ISBN 9780596003227.

[rfc5176-14] "रिमोट ऑथेंटिकेशन डायल इन यूजर सर्विस (RADIUS) के लिए डायनेमिक ऑथराइजेशन एक्सटेंशन". Internet Engineering Task Force. January 2008. Retrieved 8 May 2021.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

v t e Authentication
Authentication APIs	BSD Authentication (BSD Auth) eAuthentication (eAuth) Generic Security Services API (GSSAPI) Java Authentication and Authorization Service (JAAS) Pluggable Authentication Modules (PAM) Simple Authentication and Security Layer (SASL) Security Support Provider Interface (SSPI) XCert Universal Database API (XUDA)
Authentication protocols	ACF2 Authentication and Key Agreement (AKA) CAVE-based authentication Challenge-Handshake Authentication Protocol (CHAP) MS-CHAP Central Authentication Service (CAS) CRAM-MD5 Diameter Extensible Authentication Protocol (EAP) Host Identity Protocol (HIP) IndieAuth Kerberos LAN Manager NT LAN Manager (NTLM) OAuth OpenID OpenID Connect (OIDC) Password-authenticated key agreement protocols Password Authentication Protocol (PAP) Protected Extensible Authentication Protocol (PEAP) Remote Access Dial In User Service (RADIUS) Resource Access Control Facility (RACF) Secure Remote Password protocol (SRP) TACACS Woo–Lam
Category Commons

Anonymous

Search

त्रिज्या

Namespaces

More

Page actions

Contents

प्रोटोकॉल घटक

प्रमाणीकरण और प्राधिकरण

लेखा

रोमिंग

क्षेत्र

प्रॉक्सी संचालन

सुरक्षा

पैकेट संरचना

विशेषता मूल्य जोड़े

विक्रेता-विशिष्ट विशेषताएँ

सुरक्षा

इतिहास

मानक दस्तावेज

यह भी देखें

संदर्भ

ग्रन्थसूची

बाहरी संबंध

Navigation

Navigation

Wiki tools

Wiki tools

Anonymous

Search

त्रिज्या

प्रोटोकॉल घटक

प्रमाणीकरण और प्राधिकरण

लेखा

रोमिंग

क्षेत्र

प्रॉक्सी संचालन

सुरक्षा

पैकेट संरचना

विशेषता मूल्य जोड़े

विक्रेता-विशिष्ट विशेषताएँ

सुरक्षा

इतिहास

मानक दस्तावेज

यह भी देखें

संदर्भ

ग्रन्थसूची

बाहरी संबंध

Navigation

Wiki tools

Page tools

Other projects

Categories