Definition Remote Authentication Dial-In User Service

Wie funktioniert RADIUS?

| Redakteur: Peter Schmitz

Die zentrale Aufgabe des RADIUS-Protokolls ist die Authentifizierung und Autorisierung von Benutzern und bei Bedarf das Accounting eines Dienstes.
Die zentrale Aufgabe des RADIUS-Protokolls ist die Authentifizierung und Autorisierung von Benutzern und bei Bedarf das Accounting eines Dienstes. (Bild: Pixabay / CC0)

RADIUS steht für den englischen Begriff Remote Authentication Dial-In User Service und bezeichnet einen Service, der User in einem Dial-In-Netzwerk authentifiziert und autorisiert. RADIUS lässt sich auch für die Abrechnung (Accounting) von Services nutzen. In Unternehmen wird RADIUS häufig für die Benutzer-Anmeldung in WLAN-Netzwerken eingesetzt.

Bei RADIUS handelt es sich um einen Standard, der in Dial-In-Netzwerken für die so genannten Triple-A-Services (AAA) zum Einsatz kommt. Unter AAA-Services versteht man die Authentifizierung, Autorisierung und das Accounting von Einwahlusern.

RADIUS hat sich für Einwahldienste als eine Art Standard durchgesetzt und basiert auf einer Client-Server-Architektur. Viele Provider nutzen RADIUS für die Einwahl in analoge, ISDN-, DSL- oder auch WLAN-Netzwerke. Die exakte Funktionsweise und die Abläufe des RADIUS Protokolls sind in den RFCs 2865, 2866, 2867, 2868 und 2869 definiert und beschrieben.

Die grundsätzlichen Aufgaben des RADIUS-Protokolls

Wie bereits erläutert, sind die zentralen Aufgaben des RADIUS-Protokolls die Authentifizierung, die Autorisierung und das Accounting, die unter dem Kürzel AAA zusammengefasst sind.

Bei der Authentifizierung stellt der Service fest, um wen es sich bei dem sich einwählenden Benutzer handelt. Zur Überprüfung, ob der User tatsächlich derjenige ist, für den er sich ausgibt, kommen beispielsweise eindeutige Benutzernamen und Passwörter zum Einsatz. Zusätzlich können aber auch Security-Token oder andere physische Komponenten verwendet werden.

Ist der Nutzer eindeutig identifiziert, übernimmt die Autorisierung die Zuteilung von Benutzerrechten. User erhalten bestimmte Zugriffsrechte auf Daten, Leistungen oder Services. Unter anderem lässt sich über die Autorisierung dem Einwählenden eine feste IP-Adresse zuteilen.

Das Accounting schließlich zählt die Nutzung der verschiedenen Services durch den User. Dies können beispielsweise Einwahlminuten, übertragene Datenvolumen oder Zugriffshäufigkeiten sein. Diese Daten dienen den Leistungserbringern zur Erstellung von Abrechnungen. Hierfür werden die Accounting-Daten nach dem jeweiligen Tarifmodell ausgewertet.

Wichtige Komponenten und Funktionsweise des RADIUS Protokolls

Damit eine Einwahl über das RADIUS-Protokoll erfolgen kann, sind in der Regel drei verschiedene Komponenten beteiligt. Diese Komponenten sind:

  • der RADIUS-Client
  • der Authenticator (alternativ auch Network Access Server (NAS) genannt)
  • der RADIUS-Server

Der RADIUS-Client ist auf dem sich einwählenden Gerät installiert und initiiert den Einwahlwunsch. Dieser Einwahlwunsch wird in Form eines Access-Request-Pakets an einen Authenticator (zum Beispiel ein Access Point) geschickt. Der Authenticator besitzt keine eigenen Informationen über die Einwahluser und leitet das Paket über das Netzwerk an den eigentlichen RADIUS-Server weiter.

Der RADIUS-Server hat eine Verbindung zur Benutzerdatenbank mit den Userkennungen, Passwörtern und Benutzerrechten. Er beantwortet den Einwahlwunsch mit einem Access-Accept (Erlaubnis für die Einwahl) oder mit einem Access-Reject (Ablehnung der Einwahl) und leitet die eigentliche Herstellung der Verbindung zum Netzwerk mit allen für den Benutzer benötigten Parametern ein. Der RADIUS-Server führt die Überprüfung des Benutzernamens und des Kennworts durch.

Da es sich bei diesem Server um eine sicherheitskritische Komponente handelt, ist er in der Regel besonders geschützt und befindet sich hinter speziellen Firewallservices, die nur die eigentlichen Einwahlanfragen zum Server durchlassen.

Die Verwaltung des RADIUS-Servers erfolgt meist über ein speziell abgeschottetes Administrationsnetzwerk. Die Benutzerdaten können in einer RADIUS-eigenen Datenbank hinterlegt sein oder werden vom RADIUS über Anfragen bei weiteren Verzeichnisdiensten oder Datenbanken ermittelt. In diesen Datenbanken sind neben den Zugangsdaten benutzerspezifische Daten hinterlegt wie die Up- und Downloadbandbreiten von DSL-Zugängen, IP-Adressen, Servicekennungen oder die Anzahl von B-Kanälen für die ISDN-Einwahl.

RADIUS-Server im Synology NAS

Security-Pakete für Synology DSM

RADIUS-Server im Synology NAS

23.08.16 - Ein RADIUS-Server im LAN bietet auch kleinen Unternehmen eine ausgefeilte Nutzerkontrolle beim Zugriff auf das eigene WLAN. Ein Synology-NAS bietet die richtige Grundlage um eine Authentifizierung mittels RADIUS ressourceneffizient im LAN zu betreiben. lesen

Vor- und Nachteile des RADIUS-Protokolls

Das RADIUS-Protokoll bietet den Vorteil, dass trotz verteilter Netzwerkinfrastruktur sich die Zugangsdaten für die Einwahl-User an einer zentralen Stelle verwalten und bereithalten lassen. Sie stehen für die Einwahl jederzeit zur Verfügung. Der User selbst benötigt keinerlei Informationen über den Standort des RADIUS-Servers, da Network Access Server die Aufgabe der Weiterleitung der Einwahlanforderungen übernehmen. Für den User genügt es, sich gegenüber dem Netzwerk mit einer eindeutigen Userkennung und dem passenden Kennwort oder einem Security-Token zu erkennen zu geben. Da auch alle Accountigdaten an zentraler Stelle gesammelt werden, wird die Abrechnung der in Anspruch genommenen Leistungen stark vereinfacht.

Als Nachteil lässt sich anführen, dass eine Störung des zentralen RADIUS-Servers Auswirkungen auf das komplette Einwahlnetz hat. Provider versuchen dieses Risiko zu minimieren, indem sie auf verteilte RADIUS-Services mit Hard- und Software-Backup-Mechanismen setzen.

Der bisher wenig verbreitete und nicht ganz abwärtskompatible Nachfolger von RADIUS heißt Diameter.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44720104 / Authentifizierung)