Zur Funktionsweise eines Radius-Servers

DSL-Hardware und Technik: Die Radius-Identität

Bestimmt kennen Sie den Sicherheits-Grundsatz, dass Passwörter nirgendwo hinterlegt werden sollten. So weit, so gut. Aber was nützt ein Passwort, wenn die Gegenstelle es nicht bestätigen kann - gerade weil es nirgends gespeichert ist? Folglich muss irgendwo im Netz eine Liste der Zugangsberechtigten hinterlegt sein.

?
?


Anzeige

Die Szene ist hinreichend bekannt: In einer Empfangshalle sitzt der Pförtner und prüft anhand seiner Unterlagen, wer das Gebäude betreten darf. Existiert kein Vermerk über den Besucher, sollte dieser den Aktionsradius des Pförtners möglichst schnell verlassen. Bei der Datenverarbeitung steht die Abkürzung Radius allerdings für "Remote Authentication Dial-In User Service", frei übersetzt heißt das soviel wie Fernüberprüfungs-Kundeneinwahl-Service.

Werbung

Keine geringere Aufgabe als die des Pförtners kommt dem Radiusserver zu. Er entscheidet, ob ein User mit bestimmten Zugangsdaten sich über den jeweiligen Provider einwählen darf. Dabei kommuniziert er aus Sicherheitsgründen nicht direkt mit dem Rechner, von dem die Anfrage gestartet wurde. Einen Pförtner könnte man ja schließlich hypnotisieren - oder in diesem Fall hacken.

Pförtner des Providers

Startet ein Rechner eine Verbindungsanfrage, wird er als erstes mit dem entsprechenden Einwahlserver verbunden. Sobald sich die Geräte synchronisiert haben, übermittelt der anfragende Rechner Benutzerkennung und Passwort an den Einwahlserver, der diese via Radius-Protokoll an einen Radiusserver mit der Benutzerdatenbank weiterleitet. Für ADSL-Zugänge ist dieses Protokoll genormt (RFC-2138/2139).

Der Radiusserver vergleicht nun die gespeicherten mit den übermittelten Daten: ist der Account aktiviert und stimmen Benutzerkennung und Passwort überein, setzt er sich wiederum mit dem Einwahlserver in Verbindung und bestätigt die Anfrage als berechtigt. Daraufhin gibt der Einwahlserver die Verbindung in den Backbone frei.

Links zum Thema



Forum