ما هو بروتوكول RADIUS PROTOCOL في الشبكات

اقرأ في هذا المقال


تم تقديم (RADIUS) لأول مرة في عام 1991م وقد ظل أداة قوية لإدارة وصول مستخدمي الشبكة، كما يمكن لخادم (RADIUS) أيضاً وضع المستخدم في شبكة محلية ظاهرية معينة، أو تحدي عامل إضافي للوصول عبر (MFA).

ما هو بروتوكول RADIUS

بروتوكول (RADIUS): هو بروتوكول شبكة يستخدم لمصادقة وتفويض وصول المستخدم إلى شبكة سواء كانت بعيدة أو محلية، وهو أيضاً البروتوكول المستخدم للوصول إلى معدات البنية التحتية التي تدير الشبكة، ومصطلح (RADIUS) هو اختصار يرمز إلى خدمة المصادقة البعيدة لمستخدم الطلب الهاتفي.

وفقاً لـ (John Vollbrecht) مؤسس (Interlink Networks) والشخصية المركزية في ظهور بروتوكول (RADIUS) بدأت (RADIUS) في عام 1987م، عندما منحت مؤسسة العلوم الوطنية (NSF) عقدًا لشركة (Merit Network Inc) لتوسيع مقدمة للإنترنت الحديث (NSF.net).

  • “NSF” هي اختصار لـ “National Science Foundation”.
  • “MFA” هي اختصار لـ “Multi-factor Authentication”.
  • “RADIUS” هي اختصار لـ “Remote Authentication Dial-In User Service”.

كيفية عمل بروتوكول RADIUS

يستفيد (RADIUS) من نموذج العميل أو الخادم لمصادقة الانتقال لمستخدم الشبكة، وفي الممارسة العملية يتم إرسال طلب مستخدم للانتقال إلى الشبكة من عميل، مثل نظام مستخدم أو نقطة وصول (Wi-Fi) إلى خادم (RADIUS) للمصادقة.

تقترن خوادم (RADIUS) عادةً بقاعدة بيانات منفصلة لموفر الهوية الأساسية (IdP) والتي تعمل كمصدر الحقيقة لهويات المستخدم، كما أنّ خادم (RADIUS) يمكنه تخزين هويات المستخدمين ولكن معظم المؤسسات لا تختار هذا المسار؛ لأنّ الهوية مقفولة في نظام (RADIUS) الأساسي بدلاً من أن تكون متاحة لجميع أنواع موارد تكنولوجيا المعلومات.

نظراً لأنّ المستخدمين يحاولون الوصول إلى شبكة بعيدة محمية من (RADIUS)، فإنّهم يواجهون تحدياً لتقديم بيانات اعتماد المستخدم الفريدة، والمرتبطة بهوية المستخدم المخزنة في قاعدة بيانات الدليل المرتبطة، سواء كانت مستندة إلى مجموعة النظراء أو محلية، وبمجرد توفيرها من قبل المستخدم يتم نقل بيانات الاعتماد بعد ذلك من العميل إلى خادم (RADIUS) عبر ملتمس أي برنامج مسؤول عن تقديم طلبات تسجيل الدخول إلى شبكة لاسلكية.

يتم إرسال طلبات المصادقة وبيانات الاعتماد من جهاز المستخدم عبر الطالب إلى جهاز شبكة مدعوم من (RADIUS)، ثم يقوم جهاز الشبكة المدعوم من (RADIUS) بإعادة عملية إرسال طلبات المصادقة إلى خادم (RADIUS) للمصادقة، وعند تلقي طلب مصادقة المستخدم وبيانات اعتماده يقوم خادم (RADIUS) بالتحقق من صحة بيانات اعتماد المستخدم مقابل قاعدة بيانات خدمات الدليل المرتبطة.

إذا كانت بيانات اعتماد المستخدم تتطابق مع المعلومات المخزنة في قاعدة بيانات الدليل المرتبطة فسيتم إرسال التراخيص الصالحة مرة أخرى إلى عميل (RADIUS) لبدء الاتصال بالشبكة، وإذا لم يكن كذلك فسيتم إصدار إشعار الرفض.

  • “IdP” هي اختصار لـ “identity provider”.

قيود بروتوكول RADIUS

لقد أثبت بروتوكول (RADIUS) أنّه يزيد من أمان الشبكة والتحكم فيها ولكن هذا لا يخلو من بعض التحديات، وهذا صحيح بشكل خاص لمؤسسات تكنولوجيا المعلومات الأحدث السحابية وعلى سبيل المثال كان (RADIUS) من الناحية التاريخية، تطبيقاً محلياً يتطلب بشكل فعال البنية التحتية لإدارة الهوية والوصول (IAM) الموجودة في الشركة للعمل، كخادم الدليل وخادم (RADIUS) وأجهزة التوجيه والمحولات وموازنات التحميل.

قد يكون هذا الإعداد صعباً ومكلفاً لتحقيقه وعلاوة على ذلك ركزت البنية التحتية لإدارة الهوية في الشركة إلى حد كبير على (Microsoft Windows)، حيث يعمل (AD) كموفر أساسي للهوية ولكي نكون منصفين تقدم (AD) وظائف (RADIUS) الإضافية الخاصة بها، وفي شكل خادم آخر يسمى (Windows Server NPS) أي خادم نهج الشبكة.

ومع ذلك مع استمرار مشهد تكنولوجيا المعلومات الحديث في التنويع تبتعد العديد من مؤسسات تكنولوجيا المعلومات عن تطبيق الإعلان في مكان العمل، نظراً لقيودها العديدة في البيئات السحابية متعددة المنصات والهجينة.

في الواقع تقوم العديد من مؤسسات تكنولوجيا المعلومات بتحويل البنية التحتية لإدارة الهوية المحلية بالكامل إلى السحابة باستخدام بدائل (AD)، ويأتي هذا النهج مع مجموعة متنوعة من المزايا مثل زيادة السرعة وانخفاض التكاليف.

  • “AD” هي اختصار لـ “Microsoft Active Directory”.
  • “IAM” هي اختصار لـ “Identity and Access Management”.

مصادقة RADIUS من السحابة

ظهر الجيل التالي من حلول إدارة الوصول والهوية (IAM) المستندة إلى مجموعة النظراء والتي توفر (Cloud RADIUS) كخدمة صغيرة، ويُطلق على هذا الحل اسم (Jump Cloud Directory Platform) والذي لا يقدم فقط مصادقة (RADIUS) المستندة إلى مجموعة النظراء، ولكنّه يعمل أيضاً كبديل شامل لـ (AD) المستند إلى السحابة.

وهذا لأنّ منصة (Jump Cloud) هي أول منصة دليل قائمة على السحابة تتخذ نهجاً عبر الأنظمة الأساسية، وحيادياً من البائعين وقائم على البروتوكول لإدارة شبكات تكنولوجيا المعلومات الحديثة سواء كانت بعيدة أو محلية.

من خلال تنفيذ هذا النظام الأساسي يمكن لفرق تكنولوجيا المعلومات إدارة المستخدمين وتوصيلهم بأنظمتهم وتطبيقاتهم وملفاتهم بشكل آمن، وعلى وجه التحديد الشبكات عبر (RADIUS) بغض النظر عن النظام الأساسي والبروتوكول والمزود والموقع، وعند القيام بذلك يكون للمسؤولين الحرية في الاستفادة من أفضل موارد تكنولوجيا المعلومات لمؤسستهم مع راحة البال، والتي تأتي من معرفة أنهم يستطيعون إدارة الشبكة بالكامل بشكل فعال باستخدام مصادقة (RADIUS) المستندة إلى الويب.

كيفية عمل خادم بروتوكول RADIUS

  • يحاول عميل (RADIUS) المصادقة على خادم (RADIUS) باستخدام بيانات اعتماد المستخدم أي اسم المستخدم وكلمة المرور.
  • يرسل العميل رسالة طلب وصول إلى خادم (RADIUS).
  • تحتوي الرسالة على سر مشترك.
  • يتم دائماً تشفير كلمات المرور في رسالة طلب الوصول.
  • يقرأ خادم (RADIUS) السر المشترك ويضمن أن تكون رسالة طلب الوصول من عميل معتمد.
  • إذا لم يكن طلب الوصول من عميل معتمد فسيتم تجاهل الرسالة.
  • إذا تم تخويل العميل يقرأ خادم (RADIUS) طريقة المصادقة المطلوبة.
  • إذا تم السماح بطريقة المصادقة المستخدمة يقوم خادم (RADIUS) بقراءة بيانات اعتماد المستخدم من الرسالة.
  • يطابق بيانات اعتماد المستخدم مقابل قاعدة بيانات المستخدم.
  • في حالة وجود تطابق يستخرج خادم (RADIUS) تفاصيل المستخدم الإضافية من قاعدة بيانات المستخدم.
  • يتحقق خادم (RADIUS) الآن لمعرفة ما إذا كانت هناك سياسة وصول أو ملف تعريف يطابق بيانات اعتماد المستخدم.
  • إذا لم تكن هناك سياسة مطابقة فسيرسل الخادم رسالة رفض الوصول.
  • تنتهي معاملة (RADIUS) ويُمنع المستخدم من الوصول إلى النظام.
  • إذا كانت هناك سياسة مطابقة يرسل خادم (RADIUS) رسالة قبول وصول إلى الجهاز.
  • تتكون رسالة قبول الوصول من سر مشترك وسمة معرف عامل التصفية.
  • إذا لم يتطابق السر المشترك يرفض (RADIUS Client) الرسالة.
  • إذا تطابق السر المشترك يقرأ العميل قيمة سمة معرف الفلتر ومعرف المرشح هو سلسلة نصية.
  • يقوم عميل (RADIUS) بتوصيل المستخدم بمجموعة (RADIUS) معينة باعتماد معرف المرشح.
  • مجموعة (RADIUS) هي مجموعة من المستخدمين لديهم نفس قيمة (Filter ID).
  • عملياً تسهل مجموعة (RADIUS) تصنيف المستخدمين في مجموعات وظيفية مثل المبيعات والشبكات والنظام والموارد البشرية وتكنولوجيا المعلومات وما إلى ذلك.
  • تتم المصادقة على المستخدم وترخيصه وسيحصل على حق الوصول إلى (RADIUS Client).

المصدر: COMPUTER NETWORKING / James F. Kurose & Keith W. RossComputer Networks - The Swiss BayCOMPUTER NETWORKS LECTURE NOTES / B.TECH III YEAR – II SEM (R15)An Introduction to Computer Networks / Peter L Dordal


شارك المقالة: