[bewerk] Wat is RADIUS?

RADIUS werd oorspronkelijk gebruikt om dialin gebruikers te authenticeren. De NAS communiceert hiertoe d.m.v. het radius-protocol met de radius-server die een database van toe te laten gebruikers bevat. Het radius-protocol voorziet o.a. in encryptie voor eventueel over te zenden wachtwoorden. Hiervoor maakt het gebruik van een gedeelde sleutel. Het radius-protocol draait over UDP.

Formaat RADIUS-pakketten.

   0                   1                   2                   3
   0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
  +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
  |     Code      |  Identifier   |            Length             |
  +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
  |                                                               |
  |                         Authenticator                         |
  |                                                               |
  |                                                               |
  +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
  |  Attributes ...
  +-+-+-+-+-+-+-+-+-+-+-+-+-

De velden hebben de volgende betekenis:

• Code: Dit identificeert het type RADIUS pakket. We hebben volgende waarden:
  • 1: Access-Request
  • 2: Access-Accept
  • 3: Access-Reject
  • 4: Accounting-Request
  • 5: Accounting-Response
  • 11: Access-Challenge
  • 12: Status-Server (experimental)
  • 13: Status-Client (experimental)
  • 255: Reserved
• Identifier: Helpt in het herkennen van verschillende pakketten. Eenzelfde vraag die meerdere malen wordt gesteld zal afkomstig zijn van hetzelfde IP-adres/poort en dezelfde identifier hebben.
• Length: Totale lengte van het pakket.
• Authenticator: In geval van een Acces-Request pakket bevat dit veld een willekeurig getal dat samen met het gedeelde secret tussen server en client wordt gebruikt voor encryptie van wachtwoorden. Voor de overige Acces pakketten bevat dit een MD5 hash van de Acces-Request.
• Attributes: RADIUS attributen, via deze worden gegevens of boodschappen doorgegeven.

EAP over RADIUS.

Het attribuut van het RADIUS pakket voor een EAP boodschap ziet eruit als volgt:

      0                   1                   2
      0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3
     +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
     |     Type      |    Length     |     String...
     +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

• Type: 79 voor EAP boodschap.
• Length: >= 3.
• String: Bevat het EAP pakket.

[bewerk] Ethereal voorbeeld

Supplicant (192.168.0.11): Windows XP Authenticator (192.168.0.10): Cisco 2950 Authentication Server (192.168.0.1): Freeradius

Letten we op de gegevens die de authenticator doorspeelt naar de server via de attributen-value pairs (AVP's). Radius maakt gebruik van het AVP User-Name voor identificatie van de supplicant. Gebruikt men EAP-MD5 (login/wachtwoord combinatie) als authenicatie methode dan is dit AVP de login naam. De EAP-boodschap wordt in RADIUS doorgegeven via een AVP.