Die Philosophie
Der IEEE-802.1x-Standard stellt eine wichtige Weiterentwicklung der Netzsicherheit dar, da er es ermöglicht, Benutzer schon an einem Netzzugangs-Port zu identifizieren. Mit Hilfe von Single-Sign-on können sich die Benutzer mit einer einzigen Authentifizierung an verschiedenen Systemen und Anwendungen gleichzeitig anmelden, etwa bei Einwahl-Servern, Firewalls, VPNs oder Wireless LANs. Dabei erfolgt die Authentifizierung des Users einmalig an einem zentralen Radius-Server.
Was ist "Radius"?
Alle Provider, die eine Einwahl in ein Netz ermöglichen, stehen vor einem großen Problem. Sie bieten vielen Benutzern an verschiedenen Orten Zugang zum Internet. Aus Sicherheitsgründen muss genauestens geprüft werden, wer Zugang zum Netz bekommt, um einen Missbrauch der Server-Dienste von vornherein auszuschließen. Des Weiteren benötigen die Provider eventuell Mechanismen, die ihnen das Erfassen und Berechnen der Online-Zeiten für die Benutzer ermöglichen. Deshalb braucht man ein leistungsfähiges System, das zentral für Authentisierung, Autorisierung und Accounting (AAA) sorgen kann.
Das tut Radius. Der Service ist in RFC 2865 spezifiziert und kommuniziert über den UDP-Port 1812. Ein Network Access Server (NAS) fungiert als Client des Radius-Servers. Der kann auch als Proxy für andere Radius-Server oder auch für andere Arten von Authentifizierungs-Servern dienen.
Die Kommunikation zwischen Radius-Client und -Server wird dadurch gesichert, dass sich beide Kommunikationspartner gegenseitig durch ein "Shared Secret" authentifizieren und den Datentransfer verschlüsseln können. Radius unterstützt viele Authentifizierungsmöglichkeiten wie zum Beispiel PAP, CHAP, EAP oder Unix-Login und kann viele erweiterbare Attribute zu einem Benutzer verarbeiten und übermitteln.
Mittlerweile sind verschiedene Radius-Server mit 802.1x/EAP-Unterstützung auf dem Markt. Die Palette reicht vom komplexen Kommandozeilen-Tool bis hin zu benutzerfreundlicheren Servern mit eigenem Konfigurations-GUI. Zur Verfügung stehen Software-Server (Windows 2000, 2003, 2008 oder Linux beziehungsweise freie Anbieter) wie auch in Netzhardware (Router, Access Point Switch) integrierte Server.