تبلیغات
کامپیوتر و IT - اشنایی باسرویس دهندها

اشنایی باسرویس دهندها

یکشنبه 9 اسفند 1388   09:37 ب.ظ


نوع مطلب : مقاله ،اینترنت ،

ارائه دهندگان سرویس اینترنت ( ISPs ) و سایر شركت های بزرگ همواره با این چالش جدی مواجه هستند كه چگونه انواع دستیابی به شبكه و  accounting را از یك نقطه ‌صرفنظر از نوع تجهیزات استفاده شده برای دستیابی به شبكه ، مدیریت نمایند . با این كه برخی سیستم های عامل دارای امكانات خاصی در این رابطه می باشند ، در اغلب شركت های بزرگ می بایست از یك زیرساخت اختصاصی برای تائید و مدیریت دستیابی به شبكه استفاده گردد . پروتكل RADIUS ( برگرفته شده از  Remote Authentication Dial-In User Service   ) ، استانداردی برای طراحی و پیاده سازی سرویس دهندگانی است كه مسئولیت تائید و مدیریت كاربران را برعهده خواهند گرفت.مشخصات و نحوه عملكرد پروتكل RADIUS  در  RFC 2865 و RFC 2866 تعریف شده است . پروتكل RADIUS از یك معماری سرویس گیرنده - سرویس دهنده برای تائید و accounting استفاده می نماید . پروتكل فوق اطلاعات accounting ، پیكربندی ، تائید و  مجوزها را بین یك سرویس گیرنده RADIUS و یك سرویس دهنده RADIUS  حمل می نماید . سرویس گیرنده RADIUS می تواند یك سرویس دهنده دستیابی شبكه ( NAS ، برگرفته شده از network access server ) و یا هر نوع دستگاه مشابه دیگری باشد كه نیازمند تائید  و accounting است . همانگونه كه اشاره گردید NAS به عنوان یك سرویس گیرنده RADIUS عمل می نماید . سرویس گیرنده مسئول ارسال اطلاعات كاربر  برای سرویس دهنده RADIUS است تا بر اساس نتایج برگردانده شده توسط سرویس دهنده ، در خصوص كاربر تعیین تكلیف گردد . سرویس دهندگان RADIUS مسئول دریافت درخواست ارتباط كاربر ، تائید وی و ارسال اطلاعات پیكربندی مورد نیاز برای سرویس گیرنده به منظور عرضه سرویس به كاربر می باشند . یك سرویس دهنده RADIUS می تواند به عنوان یك سرویس گیرنده پراكسی به سایر سرویس دهندگان RADIUS و یا سایر سرویس دهندگان تائید نیز عمل نماید .  سرویس گیرندگان RADIUS از طریق پورت های 1812 و 1813 پروتكل حمل UDP ( برگرفته شده از User Datagram Protocol ) با یك سرویس دهنده RADIUS ارتباط برقرار می نمایند . در نسخه های اولیه پروتكل RADIUS از پورت های 1646 و 1645 پروتكل UDP  استفاده می گردید . پروتكل RADIUS از پروتكل حمل TCP ( برگرفته شده از  Transmission Control Protocol ) حمایت نمی نماید .

RADIUS و سرویس دهنده IAS با استفاده از پروتكل RADIUS  می توان دستگاهی نظیر یك NAS را بگونه ای پیكربندی نمود تا یك كاربر را برای‌ استفاده از یك سرویس خاص تائید نماید . به عنوان نمونه ، یك ISP می بایست كاربر یك پورت شبكه dial-in  را تائید نماید تا این اطمینان ایجاد گردد كه وی مجاز به استفاده از پورت مورد نظر می باشد . در چنین مواردی لازم است كه NAS اطلاعات مورد نیاز برای این ارتباط را دریافت نماید . اطلاعات فوق توسط یك سرویس دهنده RADIUS در اختیار وی گذاشته می شود . پس از ایجاد ارتباط ، دستگاه NAS ممكن است در صورت نیاز اطلاعات accounting را به منظور اهداف مالی و شارژ كاربر تامین و ارائه نماید . شكل 1 نحوه تعامل بین یك سرویس گیرنده RADIUS ( نظیر یك دستگاه NAS ) و یك سرویس دهنده RADIUS ( نظیر Internet Authentication Service ) را نشان می دهد .  

    شكل 1 : نحوه ارتباط بین یك سرویس دهنده و سرویس گیرنده RADIUS

به منظور حمایت از معماری های پیچیده تر شبكه ، می توان از یك RADIUS Proxy استفاده نمود كه اطلاعات RADIUS را از یك سرویس گیرنده RADIUS دریافت و  آن را برای یك سرویس دهنده RADIUS رله می نماید . پاسخ سرویس دهنده RADIUS از طریق RADIUS proxy ارسال می گردد .در چنین مواردی اطلاعات مربوط به تائید و مجوزها می تواند با استفاده از یك RADIUS proxy  ارسال گردد . شكل 2 نحوه عملكرد RADIUS proxy را نشان می دهد .

شكل 2 : نحوه عملكرد RADIUS proxy

در ویندوز 2003 ( نسخه های سرویس دهنده ) ، IAS ( برگرفته شده از  Internet Authentication Service ) مطابق استاندارد تعریف شده در  RFC 2865 و RFC 2866 به عنوان یك سرویس دهنده RADIUS و پراكسی پیاده سازی شده است . در نسخه های سرویس دهنده ویندوز 2000 ، شركت مایكروسافت صرفا" ویژگی سرویس دهنده RADIUS را پیاده سازی كرده بود . علاوه بر این ، در نسخه های سرویس دهنده ویندوز 2003 كه بر روی آنها سرویس RRAS ( برگرفته شده از  Routing and Remote Access service) اجراء شده است را می توان به عنوان یك سرویس گیرنده RADIUS پیكربندی كرد . بدین ترتیب امكان تائید سرویس گیرندگان dial-in و یا VPN ( برگرفته شده از  Virtual Private Networks ) از طریق یك سرویس دهنده RADIUS فراهم می گردد . عناصر سرویس دهنده RADIUS در IAS  قادر به تائید درخواست های سرویس گیرندگان RADIUS از طریق یك بانك اطلاعاتی محلی و یا اكتیو دایركتوری می باشند . IAS جزئیات اطلاعات accounting ارائه شده توسط سرویس گیرنده RADIUS را در یك فایل متن و یا یك بانك اطلاعاتی رابطه ای ذخیره می نماید . ویژگی RADIUS proxy تعبیه شده در IAS  قادر به ارسال پیام های تائید و accounting برای سایر سرویس دهندگان RADIUS  می باشد . پیكربندی IAS را می توان بگونه ای انجام داد كه وی قادر به انجام فرآیند تائید و عملیات مربوط به accounting باشد . همچنین می توان سرویس گیرندگان RADIUS و یا RADIUS Proxy را به منظور استفاده از سرویس دهندگان اضافی پیكربندی نمود .IAS امكان دستیابی به اطلاعات accounting كاربران ، نگهداری شده بر روی سرویس دهنده IAS و یا یك كنترل كننده domain  را دارد ( در صورتی كه سرویس دهنده IAS  عضوی از یك domain  باشد ).تراكنش های دستیابی و accounting بین سرویس گیرنده و سرویس دهنده با استفاده از یك رمز محرمانه به اشتراك گذاشته شده صورت می پذیرد . رمز فوق هرگز بر روی شبكه ارسال نخواهد شد و از آن به همراه فیلد تائید كننده و به منظور ارائه یك سطح امنیتی مناسب بر روی پیام های RADIUS  استفاده می گردد . در صورت نیاز به یك سطح بالاتر امنیتی ، سرویس دهنده و سرویس گیرنده RADIUS می توانند از IPSec برای رمزنگاری پیام  های RADIUS استفاده نمایند ( این موضوع خارج از حوزه پروتكل RADIUS می باشد ) .


نوشته شده توسط : jybenz jybenz

 

نمایش لینکهای شما در لینک من