Рабочий процесс RADIUS-сервера

358
FariZ

Мне нужно уточнить сетевой процесс решения RADIUS. NAS сначала запрашивает каждый запрос с сервера RADIUS? Я знаю, что RADIUS может выполнять аутентификацию и учет, но я не знаю, запрашивает ли NAS сначала каждый запрос от RADIUS или нет?

0
Надеюсь вопрос яснее сейчас FariZ 5 лет назад 0
@TwistyImpersonator. В терминологии спецификации протокола RADIUS NAS означает «Сервер доступа к сети». В терминологии RADIUS NAS является клиентом RADIUS, а сервер AAA является сервером RADIUS. Такое использование аббревиатуры NAS, вероятно, предшествовало появлению «Сетевого хранилища». Spiff 5 лет назад 2
@ Спифф спасибо. Очень приятно знать. Twisty Impersonator 5 лет назад 0
* Запрашивает ли NAS каждый отдельный запрос сначала с сервера RADIUS? * Какие запросы вы имеете в виду? Twisty Impersonator 5 лет назад 0

1 ответ на вопрос

0
Spiff

Когда устройство впервые подключается к NAS, NAS использует RADIUS для аутентификации устройства, прежде чем оно позволит устройству полностью подключиться и передать другой трафик. Во многих случаях это единственное время, когда подключаемое устройство должно проходить аутентификацию для этого сеанса. Пока устройство остается подключенным к NAS (то есть, пока его сеанс остается активным), оно не будет повторно аутентифицировано.

Однако если NAS или сервер RADIUS настроен на периодическую повторную проверку подлинности во время активных сеансов, это также может произойти. Это может быть сделано, скажем, каждые 15 минут или каждый час. Точный интервал повторной аутентификации обычно является параметром, который администратор NAS или сервер RADIUS может настроить.

Более ранняя редакция вашего Вопроса выглядела так, как будто вы спрашивали, аутентифицирует ли NAS устройство на каждом пакете, на что сильный ответ «НЕТ!». Это будет слишком медленным и слишком большим трафиком / нагрузкой, чтобы обмениваться несколькими пакетами RADIUS для каждого реального пакета данных. Вот почему аутентификация для каждого сеанса (с возможными периодическими интервалами повторной аутентификации порядка от нескольких минут до часов), а не для каждого пакета.

Итак, предположим, что если 2 клиента прошли проверку подлинности в сети и получили IP, и один из них отключился через 1 мин. Если второй клиент изменяет свой IP-адрес, на который отключен клиент (я не уверен, что в этом случае текущий клиент перейдет из состояния NEW или нет ) Радиус снова будет спрашивать аутентификационные учетные данные или нет? или Radius передаст этот IP как уже авторизованный пользователь? FariZ 5 лет назад 0
с моей точки зрения, если изменить IP-адрес устройства вручную, он изменит STATE на «NEW». если так, то все ясно, NAS может запросить учетные данные еще раз в НОВОМ состоянии. Но если не изменить состояние TCP / UDP, то как NAS избежать этого взлома? FariZ 5 лет назад 0
@FariZ RADIUS аутентифицирует устройства, устанавливающие соединения канального уровня (уровень 2) с NAS. IP-адреса на уровень выше, на сетевом уровне (уровень 3). Можно предположить, что вы можете изменить свой IP-адрес без завершения сеанса на канальном уровне, чтобы не вызвать повторную аутентификацию. Но если вы отключите соединение канального уровня с NAS и восстановите его, вы будете повторно аутентифицированы. Spiff 5 лет назад 0
@FariZ Если этот ответ успешно разрешил ваш вопрос, нажмите на флажок рядом с этим ответом, чтобы пометить его как разрешенный. Spiff 5 лет назад 0

Похожие вопросы