# RADIUS Server **Remote Authentication Dial-In User Service，遠端身份驗證撥入使用者服務** 一種網路協議，廣泛用於集中式的「認證、授權和計費」（AAA，Authentication, Authorization, and Accounting）管理。RADIUS最初設計用於撥號網路的身份驗證，如今廣泛應用於各種需要使用者身份驗證的網路服務中，例如Wi-Fi網路、VPN連線、企業內部網等。 ## RADIUS主要提供以下三個核心功能： ### 認證（Authentication）： RADIUS伺服器負責驗證使用者的身份。這通常包括檢查使用者名稱和密碼是否正確，或者使用其他驗證方法（如證書、雙因素驗證等）來確認使用者身份。 當使用者嘗試連接到網路時，客戶端設備（如Wi-Fi存取點、VPN伺服器等）會將使用者的認證請求發送至RADIUS伺服器，RADIUS伺服器根據其內部存儲或外部身份驗證來源（如LDAP、Active Directory）來驗證使用者的憑證。 ### 授權（Authorization）： 在使用者身份驗證通過後，RADIUS伺服器還負責決定使用者可以存取哪些資源或執行哪些操作。例如，它可以限制使用者存取特定的網路區域、分配IP地址、限制頻寬等。 授權通常基於使用者的身份、所屬群組、請求的來源等資訊。 ### 計費（Accounting）： RADIUS會記錄使用者的活動資訊，例如連接時間、使用的頻寬、存取的資源等。這些資訊可以用於計費、監控和分析。 計費資訊通常會記錄在日誌文件或資料庫中，以便後續分析和報告。 ## RADIUS的工作流程 1. 使用者請求：使用者嘗試連接到RADIUS客戶端設備（如Wi-Fi存取點或VPN伺服器），並提交其認證資訊（如使用者名稱和密碼）。 1. **客戶端發送請求**：RADIUS客戶端將使用者的認證資訊發送至RADIUS伺服器，通常通過UDP協議傳輸。 1. **RADIUS伺服器處理**：RADIUS伺服器接收到請求後，驗證使用者的身份。如果使用了外部身份驗證來源（如LDAP），伺服器會查詢這些系統來驗證憑證。 1. **返回回應**：RADIUS伺服器根據驗證結果返回回應。如果認證通過，伺服器會同時發送使用者的授權資訊；如果認證失敗，則拒絕連接。 1.** 使用者連接**：如果認證和授權成功，使用者將獲得網路存取權限，同時RADIUS伺服器開始記錄使用者的使用情況。 ## RADIUS的應用場景 1. **Wi-Fi網路認證**：企業和公共Wi-Fi網路經常使用RADIUS來管理和控制使用者的存取權限，確保只有授權使用者能夠連接網路。 1. **VPN認證**：RADIUS用於驗證遠端使用者的VPN連線請求，確保只有合法使用者能夠存取公司內部網路。 1. **企業網路存取控制**：RADIUS廣泛用於企業內部網的存取控制，確保使用者只能存取其有權限的資源。1. 1. **電信服務**：RADIUS在電信行業中廣泛用於撥號網路、DSL、光纖存取等服務的認證和計費。 ## RADIUS的特點 1. **集中管理**：RADIUS允許集中管理使用者身份驗證和存取控制，簡化了大規模網路的管理。 1. **多協議支持**：RADIUS支持多種身份驗證協議（如PAP、CHAP、EAP等），使其適用於多種網路環境和應用場景。 1. **安全性**：雖然RADIUS本身使用UDP傳輸，但可以結合IPsec或其他加密方法增強安全性，確保認證資訊的安全傳輸。 1. **擴展性**：RADIUS能夠處理大量的使用者認證請求，並且可以與LDAP、Active Directory等目錄服務整合，提供強大的擴展能力。