Логика и язык. 6 страница

Основные этапы аутентификации

Клиенту для получения доступа к ресурсам сервера предварительно требуется пройти проверку подлинности, т. е. аутентифицироваться. Процедура аутентификации состоит из трех основных этапов (рис. 9.2):

1) регистрация клиента;

2) получение сеансового билета;

3) доступ к серверу.

Рис. 9.2. Этапы получения клиентом доступа к ресурсам сервера

Рассмотрим эти этапы подробнее.

Этап регистрации клиента

При входе в систему под управлением Windows Server 2003 пользователь вводит имя своей учетной записи, пароль и указывает домен. Пароль при помощи хеширования преобразуется в секретный ключ клиента K_C. Точно такой же ключ хранится в центре распределения ключей KDC и сопоставлен с данным пользователем. Клиент создает аутентификатор {A_C}K_C, зашифрованный с использованием ключа K_C, и отсылает его центру распределения ключей (рис. 9.3). Аутентификатор содержит информацию об имени клиента N и время отправки аутентификатора t.

Рис. 9.3. Этап регистрации клиента

Используя свою копию ключа K_C, центр распределения ключей пытается расшифровать полученное сообщение. В случае успеха вычисляется разница между временем создания аутентификатора и временем его получения. Если разница не превышает пяти минут[13], то клиент считается аутентифицированным и ему высылается следующая информация:

· {K_C,TGS}K_C – сеансовый ключ K_C,TGS для связи клиента и службы TGS, зашифрованный ключом K_C;

· {TGT}K_TGS – билет на выдачу билетов TGT, зашифрованный ключом K_TGS, известным только службе TGS.

Сеансовый ключ K_C,TGS клиент в состоянии расшифровать, используя свой ключ K_C, а расшифровка билета TGT клиентом невозможна, так как ключ K_TGS ему неизвестен. Билет TGT в зашифрованном виде сохраняется в кэш-память клиента и при необходимости извлекается оттуда.

В дальнейшем клиент будет использовать полученную информацию для запроса полномочий у службы TGS на доступ к конкретному серверу.

В том случае, если аутентификатор не удалось расшифровать или разница по времени превышает пять минут, клиент считается не прошедшим аутентификацию.

Этап получения сеансового билета

Когда клиенту требуется получить доступ к ресурсам некоторого сервера, он обращается к службе предоставления билетов TGS с запросом о выдаче сеансового билета для соединения с данным сервером. В запрос включается следующая информация (рис 9.4):

· {A_C}K_C,TGS – аутентификатор клиента A_C, зашифрованный с помощью ключа K_C,TGS;

· {TGT}K_TGS – билет на выдачу билетов TGT, зашифрованный ключом K_TGS;

· S – информация о сервере, с которым требуется установить соединение;

· t – время отправки запроса.

Рис. 9.4. Этап получения сеансового билета

Аутентификатор клиента позволяет службе TGS удостовериться, что клиент является тем, за кого себя выдает. Использование билетов TGT экономит время: служба предоставления ключей TGS не обращается к базе данных центра распределения ключей KDC.

На запрос клиента служба TGS в случае успешной аутентификации отвечает следующей информацией:

· {K_C,S, t} K_C,TGS – сеансовый ключ K_C,S для связи клиента с сервером, а также время создания ключа; оба параметра зашифрованы ключом K_C,TGS;

· {T_C,S}K_S – сеансовый билет T_C,S, зашифрованный при помощи ключа K_S, известного только службе TGS и серверу. Сеансовый билет предназначен только серверу, клиент не в состоянии его прочитать.

Сеансовый ключ K_C,S генерируется случайным образом, поэтому при каждом новом запросе (даже для связи с одним и тем же сервером) клиент будет получать новые сеансовые ключи. Клиент может расшифровать сеансовый ключ, так как он зашифрован ключом K_C,TGS, известным клиенту.

Сеансовый билет T_C,S содержит следующие данные:

· имя сервера;

· имя клиента;

· сеансовый ключ;

· время начала действия билета;

· время окончания действия билета;

· список возможных сетевых адресов клиента.

Последний элемент является необязательным и применяется для дополнительной защиты – в этом случае клиенты не могут соединяться с сервером с адресов, не перечисленных в списке.

Сеансовые билеты, полученные клиентом для разных серверов, сохраняются в кэш-памяти. Таким образом, если клиенту требуется получить доступ к какому-либо серверу, сначала осуществляется поиск в кэш-памяти сеансовых билетов для этого сервера. При отсутствии таковых клиент извлекает билет TGT из кэш-памяти и обращается с запросом к службе TGS.

Этап доступа к серверу

Получив сеансовый билет T_C,S и сеансовый ключ K_C,S, клиент может проходить процедуру аутентификации на требуемом сервере и в случае успешного прохождения начинать обмен данными. Запрос на аутентификацию включает следующие параметры (рис. 9.5):

· {A_C}K_C,S – аутентификатор A_C, зашифрованный ключом K_C,S. Содержит информацию об имени клиента, времени отправления, а также ключ K_C,S;

· {T_C,S}K_S – сеансовый билет, зашифрованный ключом K_S.

Рис 9.5. Этап доступа к клиенту

Подлинность клиента удостоверятся следующим образом. В аутентификатор A_C клиент записывает ключ K_C,S. Сервер, расшифровав сеансовый билет T_C,S с помощью своего секретного ключа K_S, извлекает из него ключ K_C,S и сравнивает с ключом, полученным из аутентификатора. Если ключи совпадают, клиент является подлинным, так как он не мог изменить содержимое сеансового билета T_C,S.

Если клиенту требуется подтверждение подлинности сервера, тот отправляет ответ, который содержит аутентификатор сервера A_S, включающий параметр времени отправления из аутентификатора клиента А_С. Без знания секретного ключа K_S извлечь данный параметр из запроса клиента невозможно. Следовательно, если время отправления запроса сервер передал верно, он считается аутентифицированным.

Протокол IPsec

Протокол Kerberos применяется для аутентификации участников соединения. Но и после этапа аутентификации данные, передаваемые по сети, следует защищать. Стандартные протоколы стека TCP/IP, такие, как IP, TCP, UDP, не обладают встроенными средствами защиты. На эту проблему в 1994 году обратил внимание Совет по архитектуре Интернета (Internet Architecture Board, IAB), издав RFC 1636 «Report of IAB Workshop on Security in the Internet Architecture» («Отчет семинара IAB по безопасности в архитектуре Интернета»). Инициированная этим сообщением работа привела к появлению протокола IPsec (IP Security – безопасность IP), описанного в нескольких стандартах RFC (в частности, в RFC 2401-2412). Новая технология безопасности является необходимой частью протокола IPv6, а также может применяется и в сетях IPv4.

Протокол IPsec действует на сетевом уровне модели OSI и может применяться независимо от протоколов верхнего уровня, т. е. прикладной протокол может использовать IPsec, считая, что работает с обычным протоколом IP. При этом данные протоколов верхних уровней упаковываются в пакеты IPsec, которые, в свою очередь, помещаются в пакеты протокола IP.

Функции протокола IPsec

Протокол IPsec обеспечивает наличие следующих функций:

· аутентификация – приемник пакетов в состоянии проверить подлинность их источника;

· целостность – осуществляется контроль того, что данные дойдут до получателя в неизменном виде;

· конфиденциальность – шифрование данных обеспечивает их недоступность для несанкционированного просмотра;

· распределение секретных ключей – для правильной работы протокола IPsec необходимо автоматически обеспечивать источник и приемник пакетов секретными ключами для шифрования и расшифрования данных.

Для реализации представленных функций используются три основных протокола:

· AH (Authentication Header – заголовок аутентификации) обеспечивает целостность и аутентичность;

· ESP (Encapsulating Security Payload – инкапсуляция зашифрованных данных) предоставляет функции целостности, аутентичности и конфиденциальности;

· IKE (Internet Key Exchange – обмен ключами Интернета) генерирует и распределяет секретные ключи.

Можно заметить, что протокол ESP имеет схожие функции с протоколом AH. Пересечение функций вызвано тем, что на применение протоколов шифрования во многих странах накладываются определенные ограничения. В связи с этим оба протокола могут применяться независимо, хотя наивысший уровень защиты достигается при их совместном использовании.

На рис. 9.6 представлена структура протокола IPsec и взаимосвязь основных протоколов, входящих в его состав.

Рис. 9.6. Структура протокола IPsec

Протоколы AH и ESP

Протокол AH (описан в RFC 2402) снабжает пакет IPsec своим незашифрованным заголовком, который обеспечивает:

– аутентификацию исходных данных;

– целостность данных;

– защиту от дублирования уже полученных данных.

Первые две функции протокола AH реализуются путем применения алгоритмов хеширования (MD5[14] или SHA1[15]) к исходным данным. Процедура хеширования осуществляется источником с помощью секретного ключа, который был выдан источнику и приемнику пакета с использованием протокола IKE. Полученное значение хеша помещается в специальное поле заголовка AH. Приемник также осуществляет процедуру хеширования, применяя тот же секретный ключ. В том случае, если вычисленный хеш совпадает с хешем, извлеченным из пакета, данные считаются аутентифицированными и целостными. Иначе пакет в процессе передачи подвергся каким-либо изменениям и не является правильным.

Функция защиты от дублирования уже полученных пакетов осуществляется с помощью поля номера пакета в заголовке AH. В это поле приемник заносит значение счетчика, увеличивающееся при отправке каждого пакета на единицу. Приемник отслеживает номера получаемых пакетов, и, если такой номер совпадает с недавно полученным, пакет отбрасывается.

Протокол ESP (описан в RFC 2406) решает задачи, подобные протоколу AH, – обеспечение аутентификации и целостности исходных данных, а также защиту от дублирования пакетов. Кроме того, протокол ESP предоставляет средства обеспечения конфиденциальности данных при помощи алгоритмов шифрования.

Задачи аутентификации, целостности и защиты от дублирования решаются теми же методами, что и в протоколе AH. Передаваемый пакет, за исключением нескольких служебных полей, шифруется с применением алгоритмов шифрования DES и 3DES (DES с тремя ключами).

Протокол IKE

Управление секретными ключами в протоколе IPsec осуществляется при помощи протокола IKE (описан в RFC 2409). Данный протокол основан на двух протоколах: ISAKMP (Internet Security Association and Key Management Protocol – протокол межсетевой ассоциации защиты и управления ключами) и протоколе определения ключей Оакли (Oakley Key Determination Protocol).

Протокол IKE устанавливает соединение между двумя узлами сети, называемое безопасной ассоциацией (Security Association, SA). Безопасная ассоциация обеспечивает передачу защищенных данных только в одну сторону, поэтому для установки двустороннего соединения требуется определить две безопасные ассоциации. Для аутентификации узлов безопасной ассоциации, согласования между ними методов хеширования и шифрования IKE использует протокол ISAKMP (описан в RFC 2408).

Для генерации и обмена секретными ключами IKE использует протокол определения ключей Оакли (описан в RFC 2412), разработанный на основе метода обмена ключами Диффи-Хэллмена (Diffie-Hellman). В этом методе секретный ключ генерируется на двух узлах путем обмена двумя числами через открытую сеть. При этом перехват чисел не даст информации о ключах.

Резюме

Операционная система Windows Server 2003 предоставляет широкий набор инструментов по обеспечению безопасности в компьютерной сети. Основными инструментами являются протокол аутентификации Kerberos и протокол безопасной передачи данных IPsec.

Протокол Kerberos обеспечивает процесс безопасной аутентификации в открытых сетях, а также предоставляет возможность аутентификации сервера клиентом. Особенностью протокола является то, что в процессе аутентификации участвует кроме клиента и сервера контроллер домена, на котором работают центр распространения ключей и служба предоставления билетов.

Безопасность передачи сообщений в сетях обеспечивается протоколом IPsec. Протокол предоставляет средства аутентификации участников соединения, шифрования сообщений и процедуры обмена секретными ключами. Применение протокола IPsec является обязательным в сетях следующего поколения IPv6, а также может использоваться в современных сетях IPv4.

Контрольные вопросы

1. Безопасность каких основных процессов следует обеспечивать в сетях передачи данных?

2. Что такое сеанс?

3. Что такое хеширование?

4. Каковы функции центра распределения ключей?

5. В чем отличие билетов TGT от сеансовых билетов?

6. Опишите этап регистрации клиента.

7. Назовите основные функции протокола IPsec.

8. Для чего используются протоколы AH и ESP?

Лекция 10. Удаленный доступ и виртуальные частные сети

План лекции

· Удаленный доступ.

· Виды коммутируемых линий.

· Протоколы удаленного доступа.

· Протоколы аутентификации.

· Основные понятия и виды виртуальных частных сетей.

· Протоколы виртуальных частных сетей.

· Протокол RADIUS.

· Резюме.

· Контрольные вопросы.

Удаленный доступ

Компьютерная сеть многих организаций не ограничивается локальной сетью, размещенной в одном или нескольких близко расположенных зданиях. Пользователи могут находиться на большом удалении от основного офиса, например, если филиал находится в другом городе или если сотрудник организации уезжает в командировку в другую страну с ноутбуком.

Возможность использования удаленными пользователями ресурсов локальной сети называется удаленным доступом (remote access). Различают два основных вида удаленного доступа:

– соединение по коммутируемой линии (dial-up connection);

– соединение с использованием виртуальных частных сетей (Virtual Private Networks, VPN).

Оба вида соединений работают по модели «клиент-сервер». Клиент удаленного доступа – это компьютер, который имеет возможность подключаться к удаленному компьютеру и работать с его ресурсами или с ресурсами удаленной сети так же, как с ресурсами своей локальной сети. Единственное отличие удаленной работы от локальной с точки зрения клиента – более низкая скорость соединения. Сервер удаленного доступа (Remote Access Server, RAS) – это компьютер, способный принимать входящие запросы от клиентов удаленного доступа и предоставлять им собственные ресурсы или ресурсы своей локальной сети.

Компьютер с установленной операционной системой Windows Server 2003 может исполнять роль как клиента удаленного доступа, так и сервера. В последнем случае на нем должна быть запущена Служба маршрутизации и удаленного доступа (Routing and Remote Access Service, RRAS).

Виды коммутируемых линий

Соединения по коммутируемым линиям могут осуществляться с использованием следующих средств связи.

· Телефонные сети – наиболее распространенный и дешевый вариант, хотя и самый медленный (максимальная скорость передачи данных 56,6 кбит/с). Предполагает установку модемов на клиенте и сервере.

· Сети ISDN (Integrated Services Digital Network – цифровая сеть с комплексными услугами) обеспечивают скорость передачи данных 128 кбит/с, но их использование дороже, чем использование обычных телефонных сетей.

· ATM поверх ADSL – передача трафика АТМ (Asynchronous Transfer Mode – асинхронный режим передачи) посредством линий ADSL (Asymmetric Digital Subscriber Line – асимметричная цифровая абонентская линия). В последнее время технология ADSL получила широкое развитие, так как обеспечивает высокую скорость передачи данных по обычным телефонным линиям, причем предел скорости постоянно увеличивается и составляет уже более 20 Мбит/с для входящего трафика и 1 Мбит/с для исходящего.

Для соединения посредством виртуальных частных сетей компьютер-клиент и компьютер-сервер должны быть подключены к Интернету.

В лекции сначала рассматриваются принципы организации соединений по коммутируемым линиям, затем основные понятия и протоколы виртуальных частных сетей.

Протоколы удаленного доступа

Подключение клиента к серверу удаленного доступа по коммутируемым линиям состоит из следующих основных этапов:

- установка соединения;

- аутентификация и авторизация клиента удаленного доступа;

- сервер удаленного доступа выступает в роли маршрутизатора, предоставляя доступ клиенту к ресурсам локальной сети – серверам баз данных, электронной почты, файловым серверам, принтерам и т. д.

Схема подключения представлена на рис. 10.1.

Рис. 10.1. Удаленный доступ по коммутируемым линиям

Для соединений удаленного доступа по коммутируемым линиям было разработано несколько специальных протоколов. Windows Server 2003 поддерживает два протокола удаленного доступа:

– протокол SLIP (Serial Line Internet Protocol – межсетевой протокол для последовательного канала);

– протокол РРР (Point-to-Point Protocol – протокол соединения «точка-точка»).

Протокол SLIP является одним из старейших протоколов удаленного доступа и предлагает передачу TCP/IP-пакетов без обеспечения безопасности данных и контроля целостности. Протокол описан в RFC 1055. В Windows Server 2003 поддержка протокола SLIP реализована только на уровне клиента.

Протокол РРР предназначен для коммутируемых соединений типа «точка-точка». Это означает, что в протоколе отсутствуют средства адресации, поэтому в процессе связи могут принимать участие только два компьютера – клиент и сервер[16].

Протокол РРР, в отличие от SLIP, обеспечивает функции безопасности и контроля ошибок. Описание протокола содержится в RFC 1332, 1661 и 1662.

Соединение «точка-точка» устанавливается в четыре этапа:

1. Настройка параметров канального уровня. Клиент и сервер согласовывают максимальный размер кадра, возможность сжатия, протокол аутентификации и некоторые другие параметры.

2. Аутентификация клиента. Сервер осуществляет аутентификацию и авторизацию клиента на основе протокола, выбранного на предыдущем этапе.

3. Обратный вызов (callback). В целях безопасности может использоваться процедура обратного вызова, когда сервер разрывает соединение с клиентом и сам вызывает его по определенному телефонному номеру.

4. Настройка протоколов верхних уровней. Сервер отправляет клиенту список протоколов верхних уровней, отвечающих за передачу данных, шифрование и сжатие. Клиент выбирает один из подходящих протоколов списка.

Протоколы аутентификации

Важнейшим этапом при установлении соединения удаленного доступа является аутентификация клиента. В большинстве случаев аутентификация осуществляется путем передачи пароля. Данный процесс осложнен отсутствием защиты открытых линий связи, поэтому данные, передаваемые в ходе аутентификации, должны шифроваться.

Разработано несколько протоколов, используемых для аутентификации удаленных клиентов.

· PAP (Password Authentication Protocol) – протокол аутентификации по паролю (описан в RFC 1334). Самый простой протокол аутентификации, в котором имя пользователя и пароль передаются открытым, незашифрованным способом. В Windows Server 2003 протокол PAP применяется только в том случае, если клиент удаленного доступа не поддерживает больше никаких протоколов.

· CHAP (Challenge Handshake Authentication Protocol) – протокол аутентификации с предварительным согласованием вызова (описан в RFC 1994). В этом протоколе клиент посылает серверу пароль в виде специальной хеш-последовательности, созданной с использованием алгоритма MD-5. Сервер принимает хеш пароля клиента, вычисляет хеш по хранимому у себя паролю и сравнивает обе последовательности. В случае совпадения соединение устанавливается, иначе происходит разрыв. Недостатком является отсутствие взаимной аутентификации, т. е. сервер аутентифицирует клиента, а клиент не получает информации о подлинности сервера.

· MS-CHAP (Microsoft Challenge Handshake Authentication Protocol) – реализация протокола CHAP, разработанная Microsoft (описан в RFC 2433). Действует по принципу протокола CHAP, за исключением того, что для хеширования используется алгоритм MD-4, а не MD-5.

· MS-CHAP v2 – вторая версия протокола MS-CHAP (описан в RFC 2759). Также применяется алгоритм хеширования MD-4, отличием является требование взаимной аутентификации. Между клиентом и сервером происходит обмен следующими сообщениями:

– сервер отправляет клиенту сообщение, содержащее некоторую последовательность символов, называемую строкой вызова;

– клиент отправляет серверу хеш-последовательность, полученную на основе строки вызова и пароля пользователя, а также свою строку вызова для сервера;

– сервер вычисляет хеш по своей строке вызова и пользовательскому паролю, сравнивает его с полученным хешем от клиента и в случае успеха отправляет хеш, вычисленный на основе своей строки вызова, строки вызова от клиента, имени и пароля пользователя;

– клиент, получая сообщение сервера, вычисляет хеш на основе тех же данных, и в случае совпадения вычисленного хеша с полученным от сервера процесс взаимной аутентификации считается законченным успешно.

· EAP (Extensible Authentication Protocol) – расширяемый протокол аутентификации (описан в RFC 2284). Отличается от вышеописанных протоколов тем, что выбор типа аутентификации EAP происходит в процессе соединения. В Windows Server 2003 применяются следующие типы аутентификации EAP: EAP-MD5 CHAP, EAP-TLS (Transport Level Security, безопасность на транспортном уровне), PEAP (Protected EAP, защищенный EAP).

Информацию об именах пользователей-клиентов удаленного доступа серверы могут получать, используя либо каталог Active Directory, либо сервер RADIUS, рассмотренный далее в этой лекции.

Основные понятия и виды виртуальных частных сетей

Соединение посредством коммутируемых линий долгое время оставалось единственным решением проблемы связи локальных сетей с удаленными пользователями. Однако данное решение является довольно дорогим и недостаточно безопасным.

В последние годы стоимость использования каналов связи Интернета стала уменьшаться и скоро стала ниже, чем цена использования коммутируемых линий. Однако при установлении соединения через Интернет серьезной проблемой является обеспечение безопасности, так как сеть является открытой и злоумышленники могут перехватывать пакеты с конфиденциальной информацией. Решением этой проблемы стала технология виртуальных частных сетей.

Виртуальные частные сети (Virtual Private Network, VPN) – это защищенное соединение двух узлов через открытые сети. При этом организуется виртуальный канал, обеспечивающий безопасную передачу информации, а узлы, связанные VPN, могут работать так, как будто соединены напрямую.

Компьютер, инициирующий VPN-соединение, называется VPN‑клиентом. Компьютер, с которым устанавливается соединение, называется VPN-сервером. VPN-магистраль – это последовательность каналов связи открытой сети, через которые проходят пакеты виртуальной частной сети.

Существует два типа VPN-соединений:

– соединение с удаленными пользователями (Remote Access VPN Connection);

– соединение маршрутизаторов (Router-to-Router VPN Connection).

Соединение с удаленными пользователями осуществляется в том случае, если одиночный клиент подключается к локальной сети организации через VPN (рис. 10.2). Другие компьютеры, подключенные к VPN-клиенту, не могут получить доступ к ресурсам локальной сети.

Рис. 10.2. VPN-соединение с удаленным пользователем

Соединение маршрутизаторов устанавливается между двумя локальными сетями, если узлы обоих сетей нуждаются в доступе к ресурсам друг друга (рис. 10.3). При этом один из маршрутизаторов играет роль VPN‑сервера, а другой – VPN-клиента.

Рис. 10.3. VPN-соединение между маршрутизаторами

VPN-соединение возможно не только через Интернет, но и в рамках локальной сети. Например, если нужно организовать безопасный канал связи между двумя отделами или пользователями, недоступный другим подразделениям организации, можно применить один из типов VPN-соединений.

Протоколы виртуальных частных сетей

Безопасность передачи IP-пакетов через Интернет в VPN реализуется с помощью туннелирования. Туннелирование (tunneling) – это процесс включения IP-пакетов в пакеты другого формата, позволяющий передавать зашифрованные данные через открытые сети.

В Windows Server 2003 поддерживаются следующие протоколы туннелирования:

1. PPTP (Point-to-Point Tunneling Protocol) – протокол туннелирования соединений «точка-точка», основан на протоколе РРР (описан в RFC 2637). Поддерживает все возможности, предоставляемые РРР, в частности аутентификацию по протоколам PAP, CHAP, MS-CHAP, MS-CHAP v2, EAP. Шифрование данных обеспечивается методом MPPE (Microsoft Point-to-Point Encryption), который применяет алгоритм RSA/RC4. Сжатие данных происходит по протоколу MPPC (Microsoft Point-to-Point Compression), описанному в RFC 2118.

Недостатком протокола является относительно низкая скорость передачи данных.

2. L2TP (Layer 2 Tunneling Protocol – туннельный протокол канального уровня) – протокол туннелирования, основанный на протоколе L2F (Layer 2 Forwarding), разработанном компанией Cisco, и протоколе PPTP. Описан в RFC 2661. Поддерживает те же протоколы аутентификации, что и PPP. Для шифрования данных используется протокол IPsec. Также поддерживает сжатие данных. Имеет более высокую скорость передачи данных, чем PPTP.

Протокол PPTP остается единственным протоколом, который поддерживают старые версии Windows (Windows NT 4.0, Windows 98, Windows Me). Однако существует бесплатный VPN-клиент Microsoft L2TP/IPsec, который позволяет старым операционным системам Windows устанавливать соединение VPN по протоколу L2TP.

Информация для аутентификации об именах пользователей и их паролях, так же как при удаленном доступе, извлекается либо из каталога Active Directory, либо из базы данных RADIUS-сервера.

Протокол RADIUS

Протокол RADIUS (Remote Authentication Dial-In User Service – служба аутентификации пользователей удаленного доступа) предназначен для аутентификации, авторизации и учета удаленных пользователей и обеспечивает единый интерфейс для систем на разных платформах (Windows, UNIX и т. д.). Протокол описан в RFC 2865 и 2866.

Протокол RADIUS работает по модели «клиент-сервер». RADIUS-сервер хранит данные о пользователях, RADIUS-клиенты обращаются к серверу за информацией.

В Windows Server 2003 протокол RADIUS входит в состав двух служб: служба Интернет-аутентификации IAS (Internet Authentication Service) реализует RADIUS-сервер, а при помощи службы маршрутизации и удаленного доступа RRAS можно настроить RADIUS-клиент.

Дата добавления: 2017-01-13; Просмотров: 441; Нарушение авторских прав?; Мы поможем в написании вашей работы!