安全协议之:RADIUS

RADIUS是一种分布的，客户端/服务器系统，实现安全网络，反对未经验证的访问。在cisco实施中，RADIUS客户端运行在cisco路由
器上上，发送认证请求到中心RADIUS服务器，服务器上包含了所有用户认证和网络服务访问的信息。

RADIUS是一种完全开放的协议，分布源码格式，这样，任何安全系统和厂商都可以用。cisco支持在其AAA安全范例中支持RADIUS。RADIUS可以和在其它AAA安全协议共用，如TACACS+，Kerberos，以及本地用户名查找。CISCO所有的平台都支持RADIUS，但是RADIUS支持的特性只能运行在cisco指定的平台上。RADIUS协议已经被广泛实施在各种各样的需要高级别安全且需要网络远程访问的网络环境。

在以下安全访问环境需要使用RADIUS：
+当多厂商访问服务器网络，都支持RADIUS。例如，几个不同厂家的访问服务器只使用基于RADIUS的安全数据库，在基于ip的网络有多个厂商的访问服务器，通过RADIUS服务器来验证拨号用户，进而定制使用kerberos安全系统。

+当某应用程序支持RADIUS协议守护网络安全环境，就像在一个使用smart card门禁控制系统的那样的访问环境。某个案例中，RADIUS
被用在Enigma安全卡来验证用户和准予网络资源使用权限。

+当网络已经使用了RADIUS。你可以添加具有RADIUS支持的cisco路由器到你的网络中，这个可以成为你想过渡到TACACS+服务器的
第一步。

+当网络中一个用户仅能访问一种服务。使用RADIUS，你可以控制用户访问单个主机，进行单个服务，如telnet，或者单个协议，如ppp。例如当一个用户登录进来，RADIUS授权这个用户只能以10.2.3.4这个地址运行ppp，而且还得和ACL相匹配。

+当网络需要资源记账。你可以使用RADIUS记账，独立于RADIUS认证和授权，RADIUS记账功能允许数据服务始与终，记录会话之中所使用的标志资源(如，时间，包，字节，等等)。ISP可能使用免费版本的基于RADIUS访问控制和记账软件来进行特定安全和金额统计。
+当网络希望支持预认证。在你的网络中使用RADIUS服务，你可以配置AAA预认证和设定预认证profiles。预认证服务的开启提供更
好的管理端口来使用它们已经存在的RADIUS解决方案，更优化的管理使用、共享资源，进而提供不懂服务级别的协定。

RADIUS不适合以下网络安全情形：
~多协议访问环境，Radius不支持以下协议:
*AppleTalk Remote Access (ARA)苹果远程访问。
*NetBIOS Frame Control Protocol (NBFCP)网络基本输出输入系统侦控制协议。
*NetWare Asynchronous Services Interface (NASI)网件异步服务接口。
*X.25 PAD connectionsX.25 PAD连接。

的时候.
~网络使用各种各样的服务的时候.Radius大体上约束一个用户使用一个服务模型.

2.用户名和加密的密码被发送到网络中的Radius服务器.

你必须首先完成Radius认证才能使用Radius授权.带有ACCEPT或者REJECT附加数据的包有以下组成:

+用户能访问的服务,包括telnet,rlogin,或者本地区域传输(lat)连接,以及ppp,SLIP,或者EXEC服务.

指定Radius服务器
radius-server key myRaDiUSpassWoRd //
定义访问服务器和Radius共享秘文
username root password ALongPassword //
用户名,密码.
aaa authentication ppp dialins group radius local //
定义了认证方式列表"dialins",这个东西指定了radius认证.然后,
(如果radius服务器没有响应),本地username将会被用来验证ppp.