RADIUS - Authentifizierung, Autorisierung und Accounting

RADIUS ist die Abkürzung für "Remote Authentication Dial-In User Service" und bezeichnet ein Protokoll bzw. einen Internet-Dienst, den die ZEDAT bei Services einsetzt, die eine Prüfung von Username und Passwort eines Nutzers verlangen.

RADIUS arbeitet nach dem Client-Server-Prinzip: Ein Gerät, Server oder Dienst (Client) erfragt vor der Gewährung des Zuganges oder Dienstes den Nutzer nach Username und Passwort, übermittelt beides dem RADIUS-Server und erhält von diesem die Antwort, ob die Username-Passwort-Kombination gültig ist. Falls das nicht der Fall ist, werden Zugang bzw. Dienst verweigert.

Der RADIUS-Server ist im Besitz von Informationen über den Nutzer wie zum Beispiel Username, (verschlüsseltes) Passwort, persönliche IP-Adresse etc. Tatsächlich erfüllt der RADIUS-Server drei wichtige Aufgaben:

• Authentifizierung: Mit Username und Passwort identifiziert sich ein Nutzer als berechtigt
• Autorisierung: der RADIUS-Server übermittelt ggf. dem Client Dienst-spezifische Informationen wie z.B. die IP-Nummer oder Bandbreitenbeschränkungen
• Accounting: der RADIUS-Server kann für Abrechnungszwecke Beginn und Ende einer Verbindung oder Sitzung protokollieren

Aus Redundanz- und Sicherheitsgründen betreibt die ZEDAT mehrere RADIUS-Server, die u.a. bei folgenden Services eingesetzt werden:

• Login
• E-Mail-Zugang
• WLAN
• VPN
• ZEDAT-Portal
• HTTP-Proxy
• Single Sign-On

Technische Angaben

• Server-Hardware: Dell PowerEdge R740
• Betriebssystem: Debian Linux
• RADIUS-Software: FreeRADIUS