半径
| Internet protocol suite |
|---|
| Application layer |
| Transport layer |
| Internet layer |
| Link layer |
リモート認証ダイヤルイン・ユーザー・サービス(RADIUS )は、ネットワークサービスに接続して利用するユーザーに対して、集中的な認証、認可、アカウンティング(AAA )管理を提供するネットワークプロトコルです。RADIUSは、アクセスサーバーの認証およびアカウンティングプロトコルとして、1991年にLivingston Enterprises社によって開発されました。その後、 IEEE 802およびIETF規格に取り入れられました。
RADIUSは、アプリケーション層で実行されるクライアント/サーバープロトコルであり、TCPまたはUDPのいずれかを使用できます。ネットワークへのアクセスを制御するネットワークアクセスサーバーには、通常、RADIUSサーバーと通信するRADIUSクライアントコンポーネントが含まれています。[1] RADIUSは、802.1X認証のバックエンドとしてよく使用されます。[2] RADIUSサーバーは通常、UNIXまたはMicrosoft Windows上で実行されるバックグラウンドプロセスです。[1]
Blast-RADIUS攻撃は、UDPのような暗号化されていないトランスポートプロトコル上で実行されるとRADIUSを破壊します。[3]
プロトコルコンポーネント
RADIUSは、ネットワークアクセスを管理するAAA(認証、認可、アカウンティング)プロトコルです。RADIUSは、AAAプロセス全体を管理するために、認証と認可を管理するAccess-Requestと、アカウンティングを管理するAccounting-Requestという2種類のパケットを使用します。認証と認可はRFC 2865で定義されており、アカウンティングはRFC 2866で説明されています。
認証と承認
ユーザーまたはマシンは、アクセス資格情報を使用して特定のネットワークリソースにアクセスするために、ネットワークアクセスサーバー(NAS)にリクエストを送信します。資格情報は、リンク層プロトコル(多くのダイヤルアップまたはDSLプロバイダーの場合はポイントツーポイントプロトコル(PPP))を介してNASデバイスに渡されるか、 HTTPSのセキュアWebフォームに投稿されます。
次に、NASはRADIUSサーバーにRADIUSアクセス要求メッセージを送信し、RADIUSプロトコル経由でアクセスを許可する許可を要求します。 [4]
このリクエストには、アクセス認証情報(通常はユーザー名とパスワード、またはユーザーが提供したセキュリティ証明書)が含まれます。さらに、NASがユーザーについて知っているその他の情報(ネットワークアドレスや電話番号、ユーザーのNASへの物理的な接続ポイントに関する情報など)も含まれる場合があります。
RADIUSサーバーは、 PAP、CHAP、EAPなどの認証方式を用いて、情報が正しいことを確認します。ユーザーの身元証明に加え、オプションで、ユーザーのネットワークアドレスや電話番号、アカウントステータス、特定のネットワークサービスへのアクセス権限など、リクエストに関連するその他の情報も検証されます。従来、RADIUSサーバーはローカルに保存されたフラットファイルデータベースと照合してユーザー情報を確認していました。最新のRADIUSサーバーは、これを実行するか、外部ソース(一般的にはSQL、Kerberos、LDAP、またはActive Directoryサーバー)を参照してユーザーの資格情報を検証できます。
次に、RADIUS サーバーは NAS に 1) アクセス拒否、2) アクセス チャレンジ、または 3) アクセス承認の 3 つの応答のいずれかを返します。
- アクセス拒否
- ユーザーは、要求されたすべてのネットワークリソースへのアクセスを無条件に拒否されます。理由としては、身分証明書の提示が不十分、ユーザーアカウントが不明または非アクティブであることなどが挙げられます。
- アクセスチャレンジ
- ユーザーにセカンダリパスワード、PIN、トークン、カードなどの追加情報を要求します。アクセスチャレンジは、アクセス資格情報がNASから隠蔽される形で、ユーザーマシンとRadiusサーバー間に安全なトンネルが確立される、より複雑な認証ダイアログでも使用されます。
- アクセス承認
- ユーザーにアクセスが許可されます。ユーザーが認証されると、RADIUSサーバーは通常、ユーザーが要求したネットワークサービスを使用する権限を持っているかどうかを確認します。例えば、あるユーザーは会社の無線ネットワークの使用は許可されているものの、VPNサービスは許可されていない場合があります。この情報はRADIUSサーバー上にローカルに保存されることもあれば、LDAPやActive Directoryなどの外部ソースから参照されることもあります。
これら3つのRADIUSレスポンスにはそれぞれ、拒否の理由、チャレンジのプロンプト、または承認のウェルカムメッセージを示すReply-Message属性が含まれる場合があります。この属性内のテキストは、返信Webページでユーザーに渡すことができます。
認可属性は、NASに伝達され、許可されるアクセス条件を規定します。例えば、Access-Acceptには以下の認可属性が含まれる場合があります。
- ユーザーに割り当てられる特定のIPアドレス
- ユーザーの IP アドレスを選択するアドレスプール
- ユーザーが接続を維持できる最大時間
- アクセスリスト、優先キュー、またはユーザーのアクセスに関するその他の制限
- L2TPパラメータ
- VLANパラメータ
- サービス品質(QoS)パラメータ
クライアントがRADIUSを使用するように設定されている場合、クライアントのユーザーはクライアントに認証情報を提示します。これは、カスタマイズ可能なログインプロンプトでユーザー名とパスワードの入力を求める形式になる場合があります。あるいは、ポイントツーポイントプロトコル(PPP)などのリンクフレーミングプロトコルを使用する場合もあり、このプロトコルでは認証パケットがこの情報を伝送します。
クライアントはこれらの情報を取得したら、RADIUSを用いた認証を選択できます。RADIUS認証を行うために、クライアントはユーザー名、パスワード、クライアントID、ユーザーがアクセスしているポートIDなどの属性を含む「アクセス要求」を作成します。パスワードが存在する場合、RSAメッセージダイジェストアルゴリズムMD5に基づく手法によってパスワードは隠蔽されます。
会計
アカウンティングについては RFC 2866 で説明されています。
NASによってユーザーにネットワークアクセスが許可されると、 NASはRADIUSサーバーにアカウンティング開始(Acct-Status-Type属性の値が「start」であるRADIUSアカウンティング要求パケット)を送信し、ユーザーのネットワークアクセスの開始を通知します。「Start」レコードには通常、ユーザーのID、ネットワークアドレス、接続ポイント、および一意のセッション識別子が含まれます。[5]
NASは定期的に、アクティブセッションのステータスを更新するために、中間更新レコード(値が「interim-update」であるAcct-Status-Type属性を含むRADIUSアカウンティング要求パケット)をRADIUSサーバーに送信することがあります。「中間」レコードは通常、現在のセッションの継続時間と現在のデータ使用量に関する情報を伝えます。
最後に、ユーザーのネットワーク アクセスが閉じられると、NAS は最終的なアカウンティング停止レコード (値が「stop」の Acct-Status-Type 属性を含む RADIUS アカウンティング要求パケット) を RADIUS サーバーに発行し、時間、転送されたパケット数、転送されたデータ、切断の理由、およびユーザーのネットワーク アクセスに関連するその他の情報に関する最終的な使用状況に関する情報を提供します。
通常、クライアントは、何らかの再試行間隔を使用して、Accounting-Response 確認応答を受信するまで、Accounting-Request パケットを送信します。
このデータの主な目的は、ユーザーに対して適切な課金を行うことですが、統計目的や一般的なネットワーク監視にも広く使用されます。
ローミング
RADIUS は、主にISP間のローミングを容易にするために使用されます。
- 多くのパブリック ネットワークで使用できる単一のグローバル認証情報セットを提供する企業。
- 独立しているが協力している機関が独自の認証情報を自身のユーザーに発行し、eduroamなどのように、ある機関から別の機関への訪問者が所属機関によって認証されることを許可します。
RADIUS は、RADIUS サーバーが AAA 要求を処理のために転送する場所を識別するレルムを使用してこれを実現します。
レルム
レルムは通常、ユーザー名の後ろに追加され、「@」記号で区切られます。これは、メールアドレスのドメイン名に似ています。これはレルムの接尾辞表記と呼ばれます。もう一つの一般的な用法は接頭辞表記で、ユーザー名の先頭にレルムを追加し、「\」を区切り文字として使用します。最近のRADIUSサーバーでは、レルムの区切り文字として任意の文字を使用できますが、実際には「@」と「\」が一般的に使用されます。
複雑なローミング シナリオを可能にするために、プレフィックス表記とポストフィックス表記の両方を使用してレルムを複合することもできます。たとえば、somedomain.com\[email protected] は、2 つのレルムを持つ有効なユーザー名になります。
レルムはドメインに似ていることが多いですが、レルムは実際には任意のテキストであり、実際のドメイン名を含む必要はないことに注意することが重要です。レルムの形式はRFC 4282で標準化されており、ネットワークアクセス識別子(NAI)は「user@realm」の形式で定義されています。この仕様では、「レルム」部分はドメイン名であることが必須となっています。しかし、この慣例が常に遵守されているわけではありません。2015年5月、RFC 4282はRFC 7542 [6]に置き換えられました。
プロキシ操作
RADIUSサーバーは、レルムを含むユーザー名に対するAAA要求を受信すると、設定されたレルムのテーブルを参照します。レルムが既知の場合、サーバーはそのドメインに設定されたホームサーバーに要求をプロキシします。要求からレルムを削除する(「ストリッピング」)プロキシサーバーの動作は、ほとんどのサーバーで設定に依存します。さらに、AAA要求が時間の経過とともに再びプロキシされる際に、プロキシサーバーはAAA要求を追加、削除、または書き換えるように設定できます。
RADIUSではプロキシチェーンが可能で、認証/認可およびアカウンティングパケットは通常、NASデバイスとホームサーバー間で一連のプロキシを経由してルーティングされます。プロキシチェーンを使用する利点としては、スケーラビリティの向上、ポリシー実装、機能調整などが挙げられます。しかし、ローミングシナリオでは、NAS、プロキシ、ホームサーバーは通常、異なる管理エンティティによって管理される可能性があります。そのため、このようなドメイン間アプリケーションでは、プロキシ間の信頼度がさらに重要になります。さらに、RADIUSにはエンドツーエンドのセキュリティがないため、関連するプロキシ間の信頼度がさらに重要になります。プロキシチェーンについては、RFC 2607で説明されています。
安全
RADIUSによるローミングは、ユーザーに様々なセキュリティとプライバシーの懸念をもたらします。より一般的には、一部のローミングパートナーは、RADIUSサーバー間に安全なトンネルを確立することで、インターネットを介したプロキシ接続中にユーザーの認証情報が傍受されないようにします。RADIUSに組み込まれているMD5ハッシュは安全ではないと考えられているため、これは懸念事項です。[7]
パケット構造
RADIUSはUDP/IPポート1812と1813で転送されます。[8]
RADIUSパケットのデータフォーマットは右に示されています。フィールドは、コード、識別子、長さ、認証子、属性の順に、左から右へと送信されます。
割り当てられたRADIUSコード(10進数)には以下のものがあります。[9]
| コード | 割り当て |
|---|---|
| 1 | アクセス要求 |
| 2 | アクセス承認 |
| 3 | アクセス拒否 |
| 4 | 会計リクエスト |
| 5 | 会計対応 |
| 11 | アクセスチャレンジ |
| 12 | ステータスサーバー(実験的) |
| 13 | ステータスクライアント(実験的) |
| 40 | 切断要求 |
| 41 | 切断-ACK |
| 42 | 切断-NAK |
| 43 | CoAリクエスト |
| 44 | CoA-ACK |
| 45 | CoA-NAK |
| 255 | 予約済み |
識別子フィールドは、要求と応答の一致に役立ちます。
長さフィールドは、コード、識別子、長さ、認証子、およびオプションの属性フィールドを含む RADIUS パケット全体の長さを示します。
認証子は、RADIUS サーバーからの応答を認証するために使用され、パスワードの暗号化に使用されます。その長さは 16 バイトです。
属性値のペア
RADIUS属性値ペア(AVP)は、認証、認可、アカウンティングの各トランザクションの要求と応答の両方でデータを伝送します。RADIUSパケットの長さは、AVPの終了を決定するために使用されます。
| AVPタイプ | 割り当て |
|---|---|
| 1 | ユーザー名 |
| 2 | ユーザーパスワード |
| 3 | CHAP -パスワード |
| 4 | NAS IPアドレス |
| 5 | NASポート |
| 6 | サービスタイプ |
| 7 | フレームプロトコル |
| 8 | フレームIPアドレス |
| 9 | フレームIPネットマスク |
| 10 | フレームルーティング |
| 11 | フィルターID |
| 12 | フレームMTU |
| 13 | フレーム圧縮 |
| 14 | ログインIPホスト |
| 15 | ログインサービス |
| 16 | ログインTCPポート |
| 18 | 返信メッセージ |
| 19 | コールバック番号 |
| 20 | コールバックID |
| 22 | フレームルート |
| 23 | フレームIPXネットワーク |
| 24 | 州 |
| 25 | クラス |
| 26 | ベンダー固有 |
| 27 | セッションタイムアウト |
| 28 | アイドルタイムアウト |
| 29 | 終了アクション |
| 30 | 着信ステーションID |
| 31 | 発信ステーションID |
| 32 | NAS識別子 |
| 33 | プロキシ状態 |
| 34 | ログイン-LAT-サービス |
| 35 | ログイン-LAT-ノード |
| 36 | ログイン-LAT-グループ |
| 37 | フレーム付きAppleTalkリンク |
| 38 | フレーム化されたAppleTalkネットワーク |
| 39 | フレーム付きAppleTalkゾーン |
| 40 | アカウントステータスタイプ |
| 41 | 会計遅延時間 |
| 42 | アカウント入力オクテット |
| 43 | アカウント出力オクテット |
| 44 | アカウントセッションID |
| 45 | 会計認証 |
| 46 | アカウントセッション時間 |
| 47 | アカウント入力パケット |
| 48 | アカウント出力パケット |
| 49 | アカウント終了理由 |
| 50 | アカウントマルチセッションID |
| 51 | アカウントリンク数 |
| 52 | アカウント入力ギガワード |
| 53 | 会計出力ギガワード |
| 55 | イベントタイムスタンプ |
| 56 | 出力VLANID |
| 57 | イングレスフィルター |
| 58 | 出力VLAN名 |
| 59 | ユーザー優先度テーブル |
| 60 | CHAP -チャレンジ |
| 61 | NASポートタイプ |
| 62 | ポート制限 |
| 63 | ログイン-LAT-ポート |
| 64 | トンネル型 |
| 65 | 中規模トンネル |
| 66 | トンネルクライアントエンドポイント |
| 67 | トンネルサーバーエンドポイント |
| 68 | アカウントトンネル接続 |
| 69 | トンネルパスワード |
| 70 | ARAPパスワード |
| 71 | ARAP-機能 |
| 72 | ARAPゾーンアクセス |
| 73 | ARAP-セキュリティ |
| 74 | ARAP セキュリティデータ |
| 75 | パスワード再試行 |
| 76 | プロンプト |
| 77 | 接続情報 |
| 78 | 構成トークン |
| 79 | EAPメッセージ |
| 80 | メッセージ認証子 |
| 81 | トンネルプライベートグループID |
| 82 | トンネル割り当てID |
| 83 | トンネル優先 |
| 84 | ARAPチャレンジレスポンス |
| 85 | 会計中間間隔 |
| 86 | アカウント-トンネル-パケット-損失 |
| 87 | NASポートID |
| 88 | フレームプール |
| 89 | CUI |
| 90 | トンネルクライアント認証ID |
| 91 | トンネルサーバーの認証ID |
| 92 | NASフィルタールール |
| 94 | 発信回線情報 |
| 95 | NAS-IPv6-アドレス |
| 96 | フレームインターフェースID |
| 97 | フレーム化 IPv6 プレフィックス |
| 98 | ログイン-IPv6-ホスト |
| 99 | フレーム化IPv6ルート |
| 100 | フレーム IPv6 プール |
| 101 | エラー原因属性 |
| 102 | EAPキー名 |
| 103 | ダイジェストレスポンス |
| 104 | ダイジェスト領域 |
| 105 | ダイジェストナンス |
| 106 | ダイジェストレスポンス認証 |
| 107 | ダイジェスト-Nextnonce |
| 108 | ダイジェスト法 |
| 109 | ダイジェストURI |
| 110 | ダイジェスト-Qop |
| 111 | ダイジェストアルゴリズム |
| 112 | ダイジェストエンティティボディハッシュ |
| 113 | ダイジェスト-CNonce |
| 114 | ダイジェストナンスカウント |
| 115 | ダイジェストユーザー名 |
| 116 | ダイジェスト-不透明 |
| 117 | ダイジェスト認証パラメータ |
| 118 | ダイジェスト-AKA-Auts |
| 119 | ダイジェストドメイン |
| 120 | ダイジェスト-古い |
| 121 | ダイジェスト-HA1 |
| 122 | SIP-AOR |
| 123 | 委任された IPv6 プレフィックス |
| 124 | MIP6特徴ベクトル |
| 125 | MIP6ホームリンクプレフィックス |
| 126 | オペレータ名 |
| 127 | 位置情報 |
| 128 | 位置データ |
| 129 | 基本的なロケーションポリシールール |
| 130 | 拡張ロケーションポリシールール |
| 131 | 位置情報対応 |
| 132 | 要求された位置情報 |
| 133 | フレーム管理プロトコル |
| 134 | 管理・輸送・保護 |
| 135 | 管理ポリシーID |
| 136 | 管理権限レベル |
| 137 | PKM-SS-証明書 |
| 138 | PKM-CA-証明書 |
| 139 | PKM構成設定 |
| 140 | PKM-Cryptosuite-リスト |
| 141 | PKM-SAID |
| 142 | PKM-SA記述子 |
| 143 | PKM認証キー |
| 144 | DS-Liteトンネル名 |
| 145 | モバイルノード識別子 |
| 146 | サービス選択 |
| 147 | PMIP6-ホーム-LMA-IPv6-アドレス |
| 148 | PMIP6-訪問LMA-IPv6アドレス |
| 149 | PMIP6-ホーム-LMA-IPv4-アドレス |
| 150 | PMIP6-訪問-LMA-IPv4-アドレス |
| 151 | PMIP6-ホーム-HN-プレフィックス |
| 152 | PMIP6-訪問済み-HN-プレフィックス |
| 153 | PMIP6 ホームインターフェース ID |
| 154 | PMIP6 訪問インターフェース ID |
| 155 | PMIP6-ホーム-IPv4-HoA |
| 156 | PMIP6-訪問済み-IPv4-HoA |
| 157 | PMIP6-ホーム-DHCP4-サーバーアドレス |
| 158 | PMIP6 訪問済み DHCP4 サーバーアドレス |
| 159 | PMIP6-ホーム-DHCP6-サーバーアドレス |
| 160 | PMIP6 訪問済み DHCP6 サーバー アドレス |
| 161 | PMIP6-ホーム-IPv4-ゲートウェイ |
| 162 | PMIP6 訪問済み IPv4 ゲートウェイ |
| 163 | EAP下位層 |
| 164 | GSSアクセプタサービス名 |
| 165 | GSSアクセプタホスト名 |
| 166 | GSS アクセプタ サービスの詳細 |
| 167 | GSSアクセプタレルム名 |
| 168 | フレーム化された IPv6 アドレス |
| 169 | DNSサーバーのIPv6アドレス |
| 170 | ルートIPv6情報 |
| 171 | 委任された IPv6 プレフィックス プール |
| 172 | ステートフル IPv6 アドレスプール |
| 173 | IPv6-6rd-構成 |
| 174 | 許可された呼び出し先ステーションID |
| 175 | EAPピアID |
| 176 | EAPサーバーID |
| 177 | モビリティドメインID |
| 178 | 事前認証タイムアウト |
| 179 | ネットワークID名 |
| 180 | EAPoLアナウンス |
| 181 | WLAN-HESSID |
| 182 | WLAN会場情報 |
| 183 | WLAN-会場-言語 |
| 184 | WLAN会場名 |
| 185 | WLAN理由コード |
| 186 | WLANペアワイズ暗号 |
| 187 | WLANグループ暗号 |
| 188 | WLAN-AKM-スイート |
| 189 | WLAN グループ管理暗号 |
| 190 | WLAN-RFバンド |
ベンダー固有の属性
RADIUSは拡張性があり、RADIUSハードウェアおよびソフトウェアの多くのベンダーは、ベンダー固有属性(VSA)を使用して独自のバリアントを実装しています。MicrosoftはいくつかのVSAを公開しています。[10]他の多くの企業のVSA定義は依然として独自のもの、あるいはアドホックなものですが、 FreeRADIUSなどのオープンソースRADIUS実装のソースコードをダウンロードすることで、多くのVSA辞書を見つけることができます。
RFC 2865 セクション 5.26 では、ほとんどのベンダーが従う推奨エンコーディングが提供されています。
| 26 (1オクテット) | 長さ(1オクテット) | ベンダーID(4バイト ビッグエンディアン) | ベンダータイプ/属性(1オクテット) | ベンダー長(1オクテット)= 2 + (値)の長さ | 価値 |
ベンダーによっては異なるフォーマットを使用しています。例えば、「ベンダー長」フィールドを省略したり、「ベンダータイプ」フィールドと「ベンダー長」フィールドの両方またはいずれか一方に2オクテットを使用したりしているベンダーもあります。
RFC 8044 セクション 3.14 では、RFC 2865 セクション 5.26 形式を義務付ける「vsa」データ型が定義されています。
安全
RADIUSプロトコルは、共有秘密鍵とMD5ハッシュアルゴリズムを用いて難読化されたパスワードを送信します。この特定の実装ではユーザー認証情報の保護が弱いため、[11] IPsecトンネルや物理的に保護されたデータセンターネットワークなどの追加保護を用いて、NASデバイスとRADIUSサーバー間のRADIUSトラフィックをさらに保護する必要があります。さらに、ユーザーのセキュリティ認証情報はRADIUS自体によって保護される唯一の部分ですが、トンネルグループIDやVLANメンバーシップなど、RADIUSを介して渡されるユーザー固有の属性も、機密情報(攻撃者にとって有用な情報)または個人情報(個々のクライアントを識別するのに十分な情報)と見なされる可能性があります。[要出典]。
RadSecプロトコルは、RADIUSプロトコルをTLSで「ラップ」することで、従来のRADIUS/UDPセキュリティの問題を解決します。ただし、 TLSトランスポート内のパケットでは、パケット整合性チェックと特定の属性の内容を難読化するために、依然としてMD5が使用されます。
Blast-RADIUS攻撃は、RADIUS内のMD5を攻撃することで、プレーンUDPで転送されるRADIUSを破壊します。[3] RadSecはこの攻撃をブロックします。[3]もう1つの推奨される緩和策は、すべてのリクエストとレスポンスにMessage-Authenticator属性を要求することです。[3] Blast-RADIUS攻撃にはCVE - 2024-3596が割り当てられています。
歴史
NSFNETを利用するダイヤルアップ顧客が増えるにつれ、メリットネットワーク社は1991年に、自社の様々な独自認証、認可、課金システムを統合するための提案依頼書(RFP)を発行しました。初期の応募者の中にリビングストン・エンタープライズ社があり、会議後にRADIUSの初期バージョンが作成されました。初期のRADIUSサーバーはUNIXオペレーティングシステム上にインストールされていました。リビングストン・エンタープライズ社はルーセント・テクノロジーズ社に買収され、メリットネットワーク社と協力して、RADIUSをプロトコルとして業界で受け入れられるための取り組みが進められました。両社ともRADIUSサーバーを無償で提供しました。[12] RADIUSは1997年にRFC 2058およびRFC 2059として公開され、現在のバージョンはRFC 2865およびRFC 2866です。[13]
オリジナルのRADIUS標準では、RADIUSはステートレスであり、ユーザーデータグラムプロトコル(UDP)上で動作することが規定されていました。認証に関しては、RADIUSはポイントツーポイントプロトコル上でパスワード認証プロトコル(PAP)とチャレンジハンドシェイク認証プロトコル(CHAP)をサポートすることが想定されていました。パスワードは、パケットのMD5ハッシュと共有秘密を取得し、そのハッシュとパスワードの排他的論理和をとることで隠蔽されます。オリジナルのRADIUSでは、50を超える属性値ペアが提供されており、ベンダーが独自のペアを設定することも可能でした。[14]
エンドツーエンドの暗号化ではなくホップバイホップのセキュリティモデルを選択したため、複数のプロキシRADIUSサーバーを使用する場合、各サーバーはリクエスト内のすべてのデータを検査し、ロジックを実行して渡す必要がありました。これにより、パスワードや証明書などのデータが各ホップで公開されることになります。また、RADIUSサーバーには、認証が発行された後にリソースへのアクセスを停止する機能はありませんでした。RFC 3576やその後継規格であるRFC 5176などの後継規格では、RADIUSサーバーがユーザーの認証を動的に変更したり、ユーザーを完全に切断したりできるようになりました。[15]
現在、商用およびオープンソースのRADIUSサーバーが数多く存在します。機能は様々ですが、ほとんどのサーバーはテキストファイル、LDAPサーバー、各種データベースなどからユーザーを検索できます。アカウンティングレコードはテキストファイルや各種データベースに書き込んだり、外部サーバーに転送したりできます。SNMPは、RADIUSサーバーのリモート監視やキープアライブチェックによく使用されます。RADIUSプロキシサーバーは集中管理に使用され、セキュリティ上の理由から、またはベンダー間の方言変換のために、RADIUSパケットをオンザフライで書き換えることができます。
DiameterプロトコルはRADIUSの代替として開発されました。どちらも認証、認可、アカウンティング(AAA)プロトコルですが、両プロトコルのユースケースは異なっています。Diameterは主に3G環境で使用され、RADIUSはその他の分野で使用されています。DiameterをRADIUSに置き換える上での最大の障壁の一つは、スイッチやアクセスポイントは通常RADIUSを実装しているのに対し、Diameterは実装していないことです。DiameterはSCTPまたはTCPを使用しますが、RADIUSは通常UDPをトランスポート層として使用します。2012年現在、RADIUSはセキュリティのためにTLSを使用し、TCPをトランスポート層として使用することもできます。
標準ドキュメント
RADIUS プロトコルは現在、次のIETF RFC ドキュメントで定義されています。
| RFC | タイトル | 公開日 | 関連記事 | 関連RFC | 注記 |
|---|---|---|---|---|---|
| RFC 2058 | リモート認証ダイヤルインユーザーサービス(RADIUS) | 1997年1月 | 半径 | RFC 2138により廃止 | |
| RFC 2059 | RADIUSアカウンティング | 1997年1月 | 半径 | RFC 2139により廃止 | |
| RFC 2138 | リモート認証ダイヤルインユーザーサービス(RADIUS) | 1997年4月 | 半径 | RFC 2865により廃止 | |
| RFC 2139 | RADIUSアカウンティング | 1997年4月 | 半径 | RFC 2866により廃止 | |
| RFC 2548 | Microsoft ベンダー固有の RADIUS 属性 | 1999年3月 | 半径 | ||
| RFC 2607 | ローミングにおけるプロキシチェーニングとポリシー実装 | 1999年6月 | |||
| RFC 2618 | RADIUS認証クライアントMIB | 管理情報ベース | RFC 4668により廃止 | ||
| RFC 2619 | RADIUS認証サーバーMIB | 管理情報ベース | RFC 4669により廃止 | ||
| RFC 2620 | RADIUSアカウンティングクライアントMIB | 1999年6月 | 管理情報ベース | RFC 4670により廃止 | |
| RFC 2621 | RADIUS アカウンティング サーバー MIB | 1999年6月 | 管理情報ベース | RFC 4671により廃止 | |
| RFC 2809 | RADIUS経由のL2TP強制トンネリングの実装 | 2000年4月 | |||
| RFC 2865 | リモート認証ダイヤルインユーザーサービス(RADIUS) | 2000年6月 | 半径 | RFC 2868、RFC 3575、RFC 5080により更新 | この規格は、ネットワークアクセスサーバー(NAS)と共有RADIUS認証サーバー間のRADIUS認証および認可について規定しています。このプロトコルは、RADIUSサーバーからNASへの設定情報の伝送にも使用されます。 |
| RFC 2866 | RADIUSアカウンティング | 2000年6月 | 半径 | この標準は、アカウンティング情報が NAS から共有 RADIUS アカウンティング サーバーに伝送される方法を規定しています。 | |
| RFC 2867 | トンネルプロトコルサポートのためのRADIUSアカウンティングの変更 | 2000年6月 | 半径 | RFC 2866の更新 | |
| RFC 2868 | トンネルプロトコルサポートのRADIUS属性 | 2000年6月 | RFC 2865の更新 | ||
| RFC 2869 | RADIUS拡張機能 | 2000年6月 | RFC 3579、RFC 5080により更新 | ||
| RFC 2882 | ネットワーク アクセス サーバーの要件: 拡張 RADIUS プラクティス | 2000年7月 | |||
| RFC 3162 | RADIUSとIPv6 | 2001年8月 | |||
| RFC 3575 | RADIUSに関するIANAの考慮事項 | 2003年7月 | |||
| RFC 3576 | RADIUS への動的認証拡張 | 2003年7月 | RFC 5176により廃止 | ||
| RFC 3579 | EAP の RADIUS サポート | 2003年9月 | 拡張認証プロトコル | RFC 2869の更新 | |
| RFC 3580 | IEEE 802.1X RADIUS 使用ガイドライン | 2003年9月 | 802.1X | ||
| RFC 4014 | DHCPリレーエージェント情報オプションのRADIUS属性サブオプション | 2005年2月 | |||
| RFC 4372 | 課金対象ユーザーID | 2006年1月 | |||
| RFC 4590 | ダイジェスト認証のためのRADIUS拡張 | 2006年7月 | RFC 5090により廃止 | ||
| RFC 4668 | IPv6 用 RADIUS 認証クライアント MIB | 2006年8月 | 管理情報ベース | ||
| RFC 4669 | IPv6 用 RADIUS 認証サーバー MIB | 2006年8月 | 管理情報ベース | ||
| RFC 4670 | IPv6 用 RADIUS アカウンティング クライアント MIB | 2006年8月 | 管理情報ベース | ||
| RFC 4671 | IPv6 用 RADIUS アカウンティング サーバー MIB | 2006年8月 | 管理情報ベース | ||
| RFC 4675 | 仮想 LAN と優先サポートの RADIUS 属性 | 2006年9月 | |||
| RFC 4679 | DSLフォーラムベンダー固有のRADIUS属性 | 2006年9月 | |||
| RFC 4818 | RADIUS 委任 IPv6 プレフィックス属性 | 2007年4月 | |||
| RFC 4849 | RADIUSフィルタルール属性 | 2007年4月 | |||
| RFC 5080 | RADIUS 実装の一般的な問題と推奨される修正 | 2007年12月 | RFC 3579の更新 | ||
| RFC 5090 | ダイジェスト認証のためのRADIUS拡張 | 2008年2月 | |||
| RFC 5176 | RADIUS への動的認証拡張 | 2008年1月 | |||
| RFC 5607 | NAS管理のためのRADIUS認証 | 2009年7月 | |||
| RFC 5997 | RADIUSプロトコルにおけるステータスサーバーパケットの使用 | 2010年8月 | RFC 2866の更新 | ||
| RFC 6158 | RADIUS設計ガイドライン | 2011年3月 | |||
| RFC 6218 | 鍵マテリアルの配信のためのシスコベンダー固有の RADIUS 属性 | 2011年4月 | |||
| RFC 6421 | リモート認証ダイヤルイン ユーザー サービス (RADIUS) の暗号化アジリティ要件 | 2011年11月 | |||
| RFC 6613 | TCP経由のRADIUS | 2012年5月 | 実験的 | ||
| RFC 6614 | RADIUS のトランスポート層セキュリティ (TLS) 暗号化 | 2012年5月 | 実験的 | ||
| RFC 6911 | IPv6 アクセス ネットワークの RADIUS 属性 | 2013年4月 | 標準化トラック | ||
| RFC 6929 | リモート認証ダイヤルインユーザーサービス(RADIUS)プロトコル拡張 | 2013年4月 | RFC 2865、RFC 3575、RFC 6158 の更新 | ||
| RFC 7360 | RADIUS のトランスポート層としてのデータグラム トランスポート層セキュリティ (DTLS) | 2014年9月 | 実験的 | ||
| RFC 7585 | ネットワーク アクセス識別子 (NAI) に基づく RADIUS/TLS および RADIUS/DTLS の動的ピア検出 | 2015年10月 | 実験的 | ||
| RFC 8044 | RADIUSのデータ型 | 2017年1月 | 更新: 2865、3162、4072、6158、6572、7268 | ||
| RFC 8559 | RADIUSプロトコルにおける動的認証プロキシ | 2019年4月 | 標準化トラック |
参照
参考文献
- ^ ab 「RADIUSの仕組み」Cisco . 2006年1月19日. 2009年4月15日閲覧。
- ^ Edwin Lyle Brown (2006). 802.1X ポートベース認証. Taylor & Francis. p. 17. ISBN 978-1-4200-4465-2。
- ^ abcd "Blast-RADIUS". 2024年7月9日. 2024年7月10日閲覧。
- ^ RFC 2865 リモート認証ダイヤルインユーザーサービス (RADIUS)
- ^ RFC 2866 RADIUSアカウンティング
- ^ Dekok, A. (2015年5月). 「ネットワークアクセス識別子」. インターネット技術タスクフォース (IETF). doi : 10.17487/RFC7542 . 2021年5月8日閲覧。
- ^ アレクサンダー・ソティロフ;マーク・スティーブンス;ジェイコブ・アッペルバウム;アリジェン・レンストラ。デビッド・モルナー;ダグ・アルネ・オスヴィク;ベン・デ・ウェガー (2008-12-08)。 「MD5 は現在有害であると考えられています - 不正な CA 証明書の作成」。アイントホーフェン工科大学。2009 年 4 月 19 日に取得。
- ^ 「NPS UDPポート情報を構成する」。Microsoft . 2020年8月7日. 2021年6月20日閲覧。
- ^ 「RADIUS(リモート認証ダイヤルインユーザーサービス)に関するIANAの考慮事項」IETFデータトラッカー。インターネット技術タスクフォース(IETF)。2003年7月。 2021年5月8日閲覧。
- ^ RFC 2548
- ^ RADIUS認証プロトコルの分析
- ^ ジョナサン・ハッセル (2003). RADIUS: プライベートリソースへのパブリックアクセスの保護. オライリーメディア. pp. 15– 16. ISBN 9780596003227。
- ^ John Vollbrecht (2006). 「RADIUSの始まりと歴史」(PDF) . Interlink Networks . 2009年4月15日閲覧。
- ^ ジョナサン・ハッセル (2003). 『RADIUS: プライベートリソースへのパブリックアクセスの保護』 O'Reilly Media. p. 16. ISBN 9780596003227。
- ^ 「リモート認証ダイヤルインユーザーサービス(RADIUS)への動的認可拡張」IETFデータトラッカー。インターネット技術タスクフォース。2008年1月。 2021年5月8日閲覧。
参考文献
- ハッセル、ジョナサン(2002)『RADIUS - プライベートリソースへのパブリックアクセスの保護』O'Reilly & Associates. ISBN 0-596-00322-6. 2009年4月17日閲覧。
外部リンク
- 半径の種類
- RADIUS認証プロトコルの分析
- RADIUSトランザクションのスニファートレースのデコード
- Wireshark を使用して RADIUS をデバッグする
| 認証 API |
|
|---|---|
| 認証 プロトコル |
|
| |
