O estabelecimento de uma sessão RADIUS ocorre
com uma série de trocas de mensagens que objetivam fornecer um
determinado serviço de rede para um usuário. Quando um
NAS (cliente) é configurado para utilizar o RADIUS, quaisquer
usuários que desejem acessar um serviço deste NAS
precisam apresentar suas credenciais de autenticação para
o NAS, por exemplo, através de uma tela de inicio de
sessão, onde o usuário pode inserir o seu nome e a sua
senha. Após receber estas informações do
usuário, o NAS pode autenticá-lo usando o RADIUS. Para
realizar esta autenticação, o NAS, que atua como cliente
do servidor RADIUS, envia um pacote do tipo Requisição de
Acesso, que contém atributos como o nome do usuário, a
sua senha, o seu numero de identificação, dentre outros.
As senhas de usuários são ocultadas através da
utilização de um método baseado no algoritmo
“RSA Message Digest 5” (MD5).
Figura 3.3A: Possibilidades da
requisição de acesso a um serviço
A mensagem de Requisição de acesso
é enviada pela rede. Se não houver resposta em um limite
de tempo pré- estabelecido, a Requisição de acesso
é re- enviada. O cliente ainda pode enviar a
Requisição para outros servidores alternativos, no caso
de falha na conexão com o servidor primário. Os
algoritmos que permitem a troca de servidores são baseados no
numero de tentativas de acesso ou em um esquema baseado em
round-robin.
Após o recebimento da mensagem de
Requisição, o servidor RADIUS tenta validar o cliente. O
servidor RADIUS descarta silenciosamente os clientes para os quais
ele não possui um segredo compartilhado. Após a
autenticação do cliente, o RADIUS consulta um banco de
dados de usuários para verificar se o usuário que esta
solicitando acesso ao NAS possui as permissões
necessárias para ter o acesso garantido.
No caso onde o servidor RADIUS está atuando
como um Proxy, ele repassa a Requisição de acesso
para o outro servidor RADIUS.
Se alguma das condições não for
satisfeita pelo usuário, o RADIUS emite um pacote de Acesso
negado, que indica que a requisição feita pelo
usuário é invalida. O NAS recebe esta mensagem, e
desconecta o usuário, podendo ou não enviar alguma
mensagem de aviso. Se o usuário satisfizer a todas as
condições, o servidor RADIUS pode, de forma a garantir
uma segurança adicional, enviar um pacote do tipo Desafio de
acesso. Este desafio pode vir na forma de uma pergunta que somente
o usuário sabe, ou vir na forma de um código que somente
os usuários com determinados dispositivos como
smartcards ou softwares específicos conseguirão
responder corretamente, garantindo a identidade do mesmo. A
resposta ao Desafio de aceso é outra mensagem do tipo
Requisição de acesso, onde o campo com a senha do
usuário é preenchida com a resposta do desafio
criptografada e uma marcação para indicar que a
requisição é uma resposta ao Desafio de
Acesso.
Por fim, se todas as condições forem
satisfeitas, e se o usuário responder corretamente ao desfio
de acesso, o servidor RADIUS envia um pacote do tipo Acesso aceito,
que contém informações a respeito do serviço a
ser oferecido. Dentre estas informações, podemos citar o
tipo de serviço, o IP atribuído ao usuário,
parâmetros de configuração, tempo de acesso
máximo, o protocolo que vai ser utilizado, etc.