RADIUS steht für "Remote Authentication Dial-In User Service" und wird als "Triple-A-Protokoll" bezeichnet. Dabei stehen die drei "A" für
- Authentication (Authentifizierung)
- Authorization (Autorisierung)
- Accounting (Abrechnung)
Sie können mit diesem Protokoll Benutzern Zugang zu einem Netz gewähren, ihnen bestimmte Rechte zuweisen und ihre Aktionen verfolgen. Gegebenenfalls können Sie auch die in Anspruch genommenen Leistungen gegenüber dem Benutzer mit Hilfe des RADIUS-Servers abrechnen (z. B. bei WLAN Hotspots). Für jede Aktion, die vom Benutzer durchgeführt wird, kann der RADIUS-Server eine Autorisierung durchführen, und so den Zugriff auf Netzwerkressourcen je nach Benutzer freigeben oder sperren.
Damit RADIUS funktioniert, sind 3 verschiedene Geräte nötig.
- Client: Das ist ein Gerät (PC, Notebook etc.) über das der Benutzer sich in das Netz einwählen möchte.
- Authenticator: Eine Netzwerkkomponente, welche die Authentifizierung weiterleitet und zwischen dem Netz und dem Client liegt.
Diese Aufgabe kann z. B. ein Access Point übernehmen. Der Authenticator wird auch als Network Access Server (NAS) bezeichnet.
- Authentication-Server: RADIUS-Server, auf dem die Daten für die Benutzer konfiguriert sind. Dieser steht gewöhnlich in dem Netz, für das er Zugangsberechtigungen erteilen soll. Er ist für den Client über den Authenticator erreichbar. Auch für diese Aufgabe kann in entsprechenden Szenarien ein Access Point eingesetzt werden.
Der Authenticator hat zunächst keine Informationen über die Clients, die sich anmelden wollen. Diese sind alle in einer Datenbank des RADIUS-Servers gespeichert. Welche Anmeldeinformationen der RADIUS-Server für die Authentifizierung benötigt, ist dort in der Datenbank hinterlegt und kann von Netzwerk zu Netzwerk variieren. Der Authenticator hat nur die Aufgabe, die Informationen zwischen dem Client und dem RADIUS-Server zu übertragen.
Der Zugang zu einem RADIUS-Server kann über verschiedene Wege aufgebaut werden:
- Über PPP bei der Einwahl in ein Netzwerk
- Über WLAN
- Über einen Public Spot für Benutzer, die sich per Browser anmelden
- über das 802.1X-Protokoll
