Bis zu Version 6.30 unterstützt der LCOS-RADIUS-Server nur PAP als Authentifizierungsverfahren, d. h. der RADIUS-Client (im Weiteren als NAS bezeichnet – Network Access Server) übermittelt den Benutzernamen und das Passwort, der Server beantwortet diese Anfrage mit einem Access- Accept oder Access-Reject. Dieses Verfahren ist allerdings nur eine Möglichkeit aus einer Reihe von Authentifizierungsverfahren, die über RADIUS abgewickelt werden können. Der RADIUS-Server des LCOS unterstützt folgende Authentifizierungsverfahren
- PAP: Der NAS übermittelt den Benutzernamen und das Passwort. Der RADIUS-Server durchsucht seine Datensätze nach einem passenden Eintrag für den Benutzernamen, vergleicht dann das Passwort und antwortet mit einem RADIUS-Accept oder RADIUS-Reject.
- CHAP: Der NAS übermittelt den Benutzernamen, die CHAP-Aufforderung (Challenge) und die Passwort-Eigenschaften (nicht das Passwort selbst!). Der RADIUS-Server durchsucht seine Datensätze nach einem passenden Eintrag für den Benutzernamen und errechnet aus dem zugehörigen Passwort und der vom NAS übermittelten CHAP-Challenge die CHAP-Antwort. Wenn die berechnete Antwort mit der vom Client über den NAS gesendeten Antwort übereinstimmt sendet der RADIUS-Server einen RADIUS-Accept, ansonsten einen RADIUS-Reject.
- MS-CHAP: Der NAS übermittelt den Benutzernamen, die MS-CHAP-Challenge und die MS-CHAP-Passwort-Eigenschaften. Der weitere Vorgang ist der gleiche wie bei CHAP, die Antworten sind dabei allerdings nach dem MS-CHAP-Algorithmus berechnet (RFC 2433).
- MS-CHAPv2: Der NAS übermittelt den Benutzernamen, die MS-CHAP-Challenge und die MS-CHAP2-Antwort. Der weitere Vorgang ist der gleiche wie bei CHAP und MS-CHAP, die Antworten sind dabei allerdings nach dem MS-CHAPv2-Algorithmus berechnet (RFC 2759). Außerdem überträgt der RADIUS-Server eine MS-CHAP2-Bestätigung, wenn die Authentifizierung erfolgreich durchgeführt wurde. Diese Bestätigung enthält die Antwort des Servers auf die Aufforderung des Clients und ermöglicht so eine gegenseitige Authentifizierung.
- EAP: Der NAS übermittelt den Benutzernamen und eine EAP-Nachricht. Im Gegensatz zu allen vorherigen Methoden ist EAP nicht zustandslos, d. h. der RADIUS-Server kann mit einer eigenen Aufforderung (Challenge) statt nur mit einem Access-Accept oder Access-Reject antworten und so weitere Anforderungen vor dem Abschluss der Authentifizierung stellen. EAP ist selbst ein modulares Authentifizierungsprotokoll, das unterschiedliche Authentifizierungsverfahren erlaubt.