شاع في الآونة الاخيرة مصطلح (radius) وكثر استخدامه في عالم الشبكات وفي الحقيقة لم اجد له شرحاً وافياً في العالم العربي لحد الان مما اضطرني للبحث عن مصادره الاجنبية وترجمتها وشرحها لفهمه وها أنذا اشارككم ما فهمت:
بداية يرمز هذا المصطلح الى (RADIUS: Remote Authentication Dial In User Service) ويعني خدمة التحقق من دخول المستخدم عن بعد وهو بروتوكول اتصال في شبكات الحاسوب تم تصميمه لتوفير خدمات ادارة امنية الشبكة وجمع احصائياتها في بيئة الانظمة الموزعة المتصلة عبر شبكة سلكية او لا سلكية وخصوصاً شبكات الاتصال من نوع ال (Dial in) أي الدخول الى سيرفر عن طريق اسم مستخدم وكلمة مرور. فمن خلال قاعدة بيانات مركزية يقوم سيرفر ال(radius) بأنشاء وصيانة وتحديث بيانات امنية الشبكة مثل بروفايلات المستخدمين واحصائيات كل منهم مثل كم عدد البايتات التي قام المستخدم بأرسالها واستلامها خلال جلسته الحالية والجلسات الماضية الامر الذي يسمح بحفظ مركزي لكل بيانات امنية الشبكة كإجراء اكثر اماناً واسهل للإدارة والتوسيع بمرونة اكثر مما لو كانت تلك البيانات موزعة في عدة اماكن في الشبكة.
معمارية ال (RADIUS)
كما ذكرنا فأنه بروتوكول مركزي أي انه يعتمد مفهوم الاتصال بطريقة الخادم والزبائن (client server) الامر الذي يعني وجود جهاز او اجهزة تعمل كخوادم (servers) واجهزة اخرى تعمل كزبائن لاستلام خدمات السيرفرات وتنقسم السيرفرات الى ثلاث انواع:
1- سيرفر التحقق: ويوفر خدمات الامنية وحفظ ملفات امن المعلومات.
2- سيرفر الحسابات: ويقوم بجمع وحفظ البيانات الاحصائية لكل مستخدم.
ملاحظة: هذان السيرفران قد يكونان في جهاز واحد او جهازين منفصلين وحين يكونان في جهاز واحد يكون لمدير الشبكة صلاحية تفعيل كلاهما او احدهما فقط.
3- الزبون لل (radius) وهو سيرفر الوصول الى الشبكة (Network Access Server NAS) ومثاله في الصورة اعلاه هو سيرفر ال (Patton RAS) وقد يكون أي منتج لأي شركة اخرى وظيفته التحكم في الوصول الى الشبكة وقد يكون جهاز الراوتر العادي لشركة مايكروتك او التي بي لنك وغيرها وتنحسر وظيفته في توفير الية وصول مستخدم واحد او اكثر الى الشبكة. قد يخدم سيرفر (Radius) مئات الزبائن والاف المستخدمين النهائيين وتتوفر فيه امكانيات التعامل مع الخطأ (Fault tolerant) والاحتياط (Redundancy) لتجنب حالات الفشل في احد سيرفرات الزبائن حيث يتم توفير الخدمة من قبل سيرفر زبون اخر متصل بنفس الشبكة ويستطيع (NAS) الوصول الى سيرفر (RADIUS) موجود ضمن نفس شبكة (LAN) او في شبكات بعيدة من نوع (WAN).
خدمات ال (Radius)
يوفر هذا السيرفر بأجزائه المختلفة ثلاث خدمات رئيسية يرمز لها للسهولة (AAA) وهي مختصر (Authentication, Authorization, and Accounting) وهي خدمات التحقق من المستخدمين ومن يحق له الدخول الى الشبكة وخدمة تحديد الصلاحيات لكل مستخدم وما يحق له الوصول له وما يستطيع فعله واخيراً خدمة ادارة الحسابات وتتضمن تتبع الموارد التي يستهلكها كل مستخدم لعمل قائمة حسابات الدفع لكل مستخدم اعتماداً على الموارد المصروفة من قبل كل مستخدم.
تضم وظيفة تسجيل الدخول الى السيرفر بكلمة مرور واسم مستخدم كل من الخدمتين الاولى والثانية وهي التحقق والصلاحيات حيث ان ادخال كلمة المرور واسم المستخدم الصحيح يعني ان المستخدم مخول بالدخول مبدئياً واما عن نوعية التركيبة لأسم المستخدم وكلمة المرور فتحدد نوعية المستخدم وصلاحياته المحددة مسبقاً عند التسجيل حيث ان كل مجموعة من المستخدمين تمنح صلاحيات من نوع معين كأن يسمح لبعضهم بالاطلاع على موجودات الشبكة فقط في حين تعطى لأخرين قابلية القراءة والكتابة دون التعديل ويمنح المدراء قابلية فعل كل شيء (full control) واخيراً فأن وظيفة ادارة الحسابات تعني ان يقوم السيرفر بجمع احصائيات عن كمية ونوعية الموارد التي قام المستخدم بأستهلاكها في كل جلسة من جلساته بعد تسجيل الدخول.
خطوات تسجيل الدخول والتحقق من هوية المستخدم للسيرفر.
وتضم الخطوات التالية:
1- يقوم المستخدم بالاتصال بسيرفر الدخول الى الشبكة (NAS server) وهو في مثالنا هذا (RAS server) ويؤسس لبدء الاتصال.
2- يقوم سيرفر ال (NAS) بطلب اسم المستخدم (user name) وكلمة المرور (pass word) من المستخدم بشكل مباشر او مشفر باستخدام بروتوكول (CHAP).
3- يستجيب المستخدم بكتابة اسم المستخدم وكلمة المرور كما هو مطلوب.
4- يقوم سيرفر ال (NAS) بتوجيه بكت طلب التحقق الى سيرفر ال (RADIUS) والذي يضم اسم المستخدم وكلمة المرور المشفرة ومعرف سيرفر الوصول الى الشبكة.
5- يقوم سيرفر ال (RADIUS) بالتحقق من اسم المستخدم وكلمة المرور وارسال بكت الموافقة على الدخول بعد التحقق والذي يضم اعدادات المستخدم واي من الردين التاليين :
– تحديد ما هي خدمات الشبكة والامتيازات التي يجب ان يوفرها ال (NAS) للمستخدم ان كان المستخدم مسجلاً بشكل صحيح.
– رفض طلب التسجيل ان كانت تركيبة اسم المستخدم وكلمة المرور غير صحيحة.