RADIUS - Authentifizierung, Autorisierung und Accounting

RADIUS ist die Abkürzung für "Remote Authentication Dial-In User Service" und bezeichnet ein Protokoll bzw. einen Internet-Dienst, den die ZEDAT bei Services einsetzt, die eine Prüfung von Username und Passwort eines Nutzers verlangen.

RADIUS arbeitet nach dem Client-Server-Prinzip: Ein Gerät, Server oder Dienst (Client) erfragt vor der Gewährung des Zuganges oder Dienstes den Nutzer nach Username und Passwort, übermittelt beides dem RADIUS-Server und erhält von diesem die Antwort, ob die Username-Passwort-Kombination gültig ist. Falls das nicht der Fall, werden Zugang bzw. Dienst verweigert.

Der RADIUS-Server ist im Besitz von Informationen über den Nutzer wie zum Beispiel Username, (verschlüsseltes) Passwort, persönliche IP-Adresse etc. Tatsächlich erfüllt der RADIUS-Server drei wichtige Aufgaben:

  • Authentifizierung: Mit Username und Passwort identifiziert sich ein Nutzer als berechtigt
  • Autorisierung: der RADIUS-Server übermittelt ggf. dem Client Dienst-spezifische Informationen wie z.B. die IP-Nummer oder Bandbreitenbeschränkungen
  • Accounting: der RADIUS-Server kann für Abrechnungszwecke Beginn und Ende einer Verbindung oder Sitzung protokollieren

Aus Redundanz- und Sicherheitsgründen betreibt die ZEDAT mehrere RADIUS-Server, die u.a. bei folgenden Services eingesetzt werden:

  • Login
  • E-Mail-Zugang
  • WLAN
  • VPN
  • ZEDAT-Portal
  • HTTP-Proxy
  • Single Sign-On

Technische Angaben

  • Server-Hardware: HP DL380
  • Betriebssystem: Debian Linux
  • RADIUS-Software: FreeRADIUS