تحقیق در مورد RADIUS  و IAS 

ارائه دهندگان سرويس اينترنت ( ISPs ) و ساير شركت های بزرگ همواره با اين چالش جدی مواجه هستند كه چگونه انواع دستيابی به شبكه و accounting را از يك نقطه ‌صرفنظر از نوع تجهيزات استفاده شده برای دستيابی به شبكه ، مديريت نمايند .
با اين كه برخی سيستم های عامل دارای امكانات خاصی در اين رابطه می باشند ، در اغلب شركت های بزرگ می بايست از يك زيرساخت اختصاصی برای تائيد و مديريت دستيابی به شبكه استفاده گردد .
پروتكل RADIUS ( برگرفته شده از RemoteAuthentication Dial-In User Service   ) ، استانداردی برای طراحی و پياده سازی سرويس دهندگانی است كه مسئوليت تائيد و مديريت كاربران را برعهده خواهند گرفت.مشخصات و نحوه عملكرد پروتكل RADIUS  در RFC 2865 و RFC 2866 تعريف شده است .
پروتكل RADIUS از يك معماری سرويس گيرنده - سرويس دهنده برای تائيد و accounting استفاده می نمايد . پروتكل فوق اطلاعات accounting ، پيكربندی ، تائيد و  مجوزها را بين يك سرويس گيرنده RADIUS و يك سرويس دهنده RADIUS  حمل می نمايد . سرويس گيرنده RADIUS می تواند يك سرويس دهنده دستيابی شبكه ( NAS ، برگرفته شده از network access server ) و يا هر نوع دستگاه مشابه ديگری باشد كه نيازمند تائيد  و accounting است .
همانگونه كه اشاره گرديد NAS به عنوان يك سرويس گيرنده RADIUS عمل می نمايد . سرويس گيرنده مسئول ارسال اطلاعات كاربر  برای سرويس دهنده RADIUS است تا بر اساس نتايج برگردانده شده توسط سرويس دهنده ، در خصوص كاربر تعيين تكليف گردد . سرويس دهندگان RADIUS مسئول دريافت درخواست ارتباط كاربر ، تائيد وی و ارسال اطلاعات پيكربندی مورد نياز برای سرويس گيرنده به منظور عرضه سرويس به كاربر می باشند . يك سرويس دهنده RADIUS می تواند به عنوان يك سرويس گيرنده پراكسی به ساير سرويس دهندگان RADIUS و يا ساير سرويس دهندگان تائيد نيز عمل نمايد . 
سرويس گيرندگان RADIUS از طريق پورت های 1812 و 1813 پروتكل حمل UDP ( برگرفته شده از User Datagram Protocol ) با يك سرويس دهنده RADIUS ارتباط برقرار می نمايند . در نسخه های اوليه پروتكل RADIUS از پورت های 1646 و 1645 پروتكل UDP  استفاده می گرديد . پروتكل RADIUS از پروتكل حمل TCP ( برگرفته شده از Transmission Control Protocol ) حمايت نمی نمايد .

RADIUS و سرويس دهنده IAS
با استفاده از پروتكل RADIUS  می توان دستگاهی نظير يك NAS را بگونه ای پيكربندی نمود تا يك كاربر را برای‌ استفاده از يك سرويس خاص تائيد نمايد . به عنوان نمونه ، يك ISP می بايست كاربر يك پورت شبكه dial-in را تائيد نمايد تا اين اطمينان ايجاد گردد كه وی مجاز به استفاده از پورت مورد نظر می باشد . در چنين مواردی لازم است كه NAS اطلاعات مورد نياز برای اين ارتباط را دريافت نمايد . اطلاعات فوق توسط يك سرويس دهنده RADIUS در اختيار وی گذاشته می شود . پس از ايجاد ارتباط ، دستگاه NAS ممكن است در صورت نياز اطلاعات accounting را به منظور اهداف مالی و شارژ كاربر تامين و ارائه نمايد .
شكل 1 نحوه تعامل بين يك سرويس گيرنده RADIUS ( نظير يك دستگاه NAS ) و يك سرويس دهنده RADIUS ( نظير InternetAuthentication Service ) را نشان می دهد .  

  
شكل 1 : نحوه ارتباط بين يك سرويس دهنده و سرويس گيرنده RADIUS

به منظور حمايت از معماری های پيچيده تر شبكه ، می توان از يك RADIUS Proxy استفاده نمود كه اطلاعات RADIUS را از يك سرويس گيرنده RADIUS دريافت و  آن را برای يك سرويس دهنده RADIUS رله می نمايد . پاسخ سرويس دهنده RADIUS از طريق RADIUS proxy ارسال می گردد .در چنين مواردی اطلاعات مربوط به تائيد و مجوزها می تواند با استفاده از يك RADIUSproxy ارسال گردد .
شكل 2 نحوه عملكرد RADIUS proxy را نشان می دهد .

شكل 2 : نحوه عملكرد RADIUS proxy

در ويندوز 2003 ( نسخه های سرويس دهنده ) ، IAS ( برگرفته شده از Internet AuthenticationService ) مطابق استاندارد تعريف شده در RFC 2865 و RFC 2866 به عنوان يك سرويس دهنده RADIUS و پراكسی پياده سازی شده است . در نسخه های سرويس دهنده ويندوز 2000 ، شركت مايكروسافت صرفا" ويژگی سرويس دهنده RADIUS را پياده سازی كرده بود . علاوه بر اين ، در نسخه های سرويس دهنده ويندوز 2003 كه بر روی آنها سرويس RRAS ( برگرفته شده از Routing andRemote Access service) اجراء شده است را می توان به عنوان يك سرويس گيرنده RADIUS پيكربندی كرد . بدين ترتيب امكان تائيد سرويس گيرندگان dial-in و يا VPN ( برگرفته شده از Virtual Private Networks ) از طريق يك سرويس دهنده RADIUS فراهم می گردد .
عناصر سرويس دهنده RADIUS در IAS قادر به تائيد درخواست های سرويس گيرندگان RADIUS از طريق يك بانك اطلاعاتی محلی و يا اكتيو دايركتوری می باشند . IAS جزئيات اطلاعات accounting ارائه شده توسط سرويس گيرنده RADIUS را در يك فايل متن و يا يك بانك اطلاعاتی رابطه ای ذخيره می نمايد . ويژگی RADIUS proxy تعبيه شده در IAS قادر به ارسال پيام های تائيد و accounting برای ساير سرويس دهندگان RADIUS می باشد .
پيكربندی IAS را می توان بگونه ای انجام داد كه وی قادر به انجام فرآيند تائيد و عمليات مربوط به accounting باشد . همچنين می توان سرويس گيرندگان RADIUS و يا RADIUS Proxy را به منظور استفاده از سرويس دهندگان اضافی پيكربندی نمود .
IAS امكان دستيابی به اطلاعات accounting كاربران ، نگهداری شده بر روی سرويس دهنده IAS و يا يك كنترل كننده domain  را دارد ( در صورتی كه سرويس دهنده IAS عضوی از يك domain  باشد ).
تراكنش های دستيابی و accounting بين سرويس گيرنده و سرويس دهنده با استفاده از يك رمز محرمانه به اشتراك گذاشته شده صورت می پذيرد . رمز فوق هرگز بر روی شبكه ارسال نخواهد شد و از آن به همراه فيلد تائيد كننده و به منظور ارائه يك سطح امنيتی مناسب بر روی پيام های RADIUS استفاده می گردد . در صورت نياز به يك سطح بالاتر امنيتی ، سرويس دهنده و سرويس گيرنده RADIUS می توانند از IPSec برای رمزنگاری پيام  های RADIUS استفاده نمايند ( اين موضوع خارج از حوزه پروتكل RADIUS می باشد ) .