Как работает аутентификация RADIUS?

Проверка подлинности RADIUS начинается, когда пользователь запрашивает доступ к сетевому ресурсу через сервер удаленного доступа NAS (RAS). Пользователь отправляет имя пользователя и пароль, которые шифруются сервером RADIUS перед отправкой через процесс аутентификации. Запрос может также включать в себя дополнительную информацию о пользователе, такую ​​как местоположение или сетевой адрес.

Затем сервер RADIUS проверяет точность информации, отправленной пользователем. Сервер RADIUS использует схемы аутентификации для проверки данных, либо проверяя предоставленную пользователем информацию по локальной файловой базе данных, либо обращаясь к внешним источникам, таким как серверы Active Directory.

Сервер RADIUS может ответить одним из трех способов:

1. Access Accept означает, что пользователю предоставлен доступ к серверу RADIUS. Каждому отдельному пользователю может быть предоставлен ограниченный доступ без ущерба для других пользователей.
2. Access Challenge означает, что сервер RADIUS запросит у пользователя дополнительную информацию для дальнейшей проверки идентификатора пользователя. Эта дополнительная информация может быть в виде PIN-кода, вторичного пароля или карты.
3. Access Reject означает, что пользователю безоговорочно отказано в любом доступе к протоколу RADIUS.