Petri Virkkula
Tietotekniikan Osasto
Teknillinen Korkeakoulu
<[email protected]>
Abstracti
Etäkäytön kasvettua kasvoi samalla tarve estää mahdolliset väärinkäytökset. RADIUS on eräs käyttäjien tunnistamiseen tarkoitettu yhteyskäytäntö [1]. Tässä dokumentissa tarkastellaan sen kehittymistä alkuperäisestä muodostaan vastaamaan nykyhetken vaatimuksia. Samalla arvioidaan kuinka se on pystynyt täyttämään nämä vaatimukset.
Remote Authentication Dial In User Service (RADIUS) on palvelin/asiakaspohjainen tunnistamiseen, pääsynvalvontaan, asetustietojen välittämiseen ja käyttötilastointiin kehitetty yhteyskäytäntö [2].
RFC 2138 on tällä hetkellä voimassa oleva yhteyskäytännön määrittely. Tässä dokumentissa annetaan yleiskatsaus itse yhteyskäytännöstä sekä arvioidaan sen toimivuutta ja ajankohtaisuutta nykypäivän Internetissä.
RADIUS on asiakaspalvelinpohjainen järjestelmä. Järjestelmässä voi olla useita asiakkaita (yleensä päätepalvelimia tai vastaavia), sekä useita palvelimia. Asiakaslaitteet voivat tarpeen mukaan pyytää palvelimilta käyttäjän varmentamista, saada tiedon hänen käyttöoikeuksistaan sekä käyttöasetuksistaan. Palvelimet vastaavat asiakkaiden tekemiin kyselyihin tai tarpeen vaatiessa toimivat palvelupyyntöjen välittäjinä toisille palvelimille, mahdollisesti käyttäen myös jotain muuta yhteyskäytäntöä kuin RADIUS.
Käyttäjän salainen tunnistetta (pääsääntöisesti salasanaa) ei koskaan välitetä selväkielisenä asiakkaalta palvelimelle eikä palvelimelta toiselle. Siirto tapahtuu aina tai suojattuna MD5 tiivistealgoritmillä. Tiivistealgoritmin syötteen osana käytetään ainoastaan asiakkaan ja palvelimen tuntemaa salaista avainta. Todennus voi myös toimia haaste/vaste periaatteella. [2]
Yhteyskäytäntö on helposti laajennettavissa. Joka viestiin sisältyy komento ja komentokoodiin liittyviä erityyppisiä tietueita. Tietueita on monenlaisia, esimerkiksi yksi tietue voi sisältää käyttätunnuksen, toinen salasanan, jne. Yhteyskäytäntöä voidaankin laajentaa pelkästään määrittelemällä uusia tietuetyyppejä ja niitä vastaavan tiedon sisältö. Koska tietue sisältää myös pituuskentän voi tietuetyyppiä tunnistamaton osapuoli helposti hylätä tietueen vaikka se ei tunnistaisikaan sen tyyppiä.
RADIUS käyttää UDP yhteyskäytännön porttia numero 1812 [3] asiakkaan ja palvelimen väliseen yhteydenpitoon. Asiakkaan ja käyttäjän liikennöinti sen sijaan vaihtelee käytetystä tunnistustavasta riippuen.
Livingston Enterprises kehitti aikanaan RADIUS yhteyskäytännön omiin tarpeisiinsa. Sen standardointityö aloitettiin tammikuussa 1996, ja ensimmäinen RFC julkaistiin tammikuussa 1997 [4] . Toinen ja samalla nykyisin voimassa oleva julkaistiin huhtikuussa 1997 RFC [1] , eli kolme kuukautta ensimmäisen jälkeen.
RADIUS yhteyskäytäntö on tällä hetkellä äänestyksen alainen [5], eli sillä ei ole virallista standardin asemaa. Sen sijaan sitä voidaan pitää IETF:n hyväksymänä turvaratkaisuna päätepalvelimiin [6].
Yhteyskäytännön merkitys kasvaa varmasti tulevaisuudessa, varsinkin soittosarjojen kautta tulevien, käyttäjien lukumäärän kasvaessa. Tätä ennustetta tukee varsinkin yhteyskäytännön vapaa saatavuus useille käyttöympäristöille, sen laajennettavuus ja tuki hajauttamiselle.
| [1] | C. Rigney, A. Rubens, W. Simpson ja S. Willens,
"Remote Authentication Dial In User Service (RADIUS)", RFC 2138,
Internet Engineering Tasking Force, Network Working Group,
Huhtikuu 1997, viitattu 6.4.1998. <URL:ftp://ftp.funet.fi/pub/doc/rfc/rfc2138.txt> |
| [2] | C. Rigney,
"RADIUS Accounting", RFC 2139,
Internet Engineering Tasking Force, Network Working Group,
Huhtikuu 1997, viitattu 6.4.1998. <URL:ftp://ftp.funet.fi/pub/doc/rfc/rfc2139.txt> |
| [3] | J. Reynolds, J. Postel,
"Assigned Numbers", STD 2, RFC 1700,
USC/Information Sciences Institute,
Lokakuu 1994, viitattu 6.4.1998. <URL:ftp://ftp.funet.fi/pub/doc/rfc/rfc1700.txt> |
| [4] | C. Rigney, A. Rubens, W. Simpson ja S. Willens,
"Remote Authentication Dial In User Service (RADIUS)", RFC 2058,
Internet Engineering Tasking Force, Network Working Group,
Tammikuu 1997, viitattu 6.4.1998. <URL:ftp://ftp.funet.fi/pub/doc/rfc/rfc2058.txt> |
| [5] | J. Poster, editori,
"Internet Official Protocol Standards", STD 1, RFC 2200,
Internet Engineering Tasking Force, Network Working Group,
Kesäkuu 1997, viitattu 6.4.1998. <URL:ftp://ftp.funet.fi/pub/doc/rfc/rfc2200.txt> |
| [6] | "RADIUS Whitepaper",
Livingston Enterprises, Inc.,
Viimeksi päivitetty 3.4.1998, viitattu 6.4.1998. <URLhttp://www.livingston.com/Marketing/Whitepapers/radius_paper.html> |