O
protocolo RADIUS segue a arquitetura servidor/cliente. O
usuário que deseja utilizar um determinado serviço de
rede envia as suas informações para o NAS solicitado (o
NAS atua como um cliente para o servidor RADIUS), que pode
solicitar a autenticação deste usuário a um servidor
RADIUS AAA, na forma de uma mensagem de requisição de
acesso (Access- Request message). De acordo com a resposta
fornecida pelo servidor AAA, o cliente (NAS) pode então
fornecer os serviços requisitados pelo usuário de acordo
com as políticas e informações estabelecidas pelo
servidor RADIUS AAA. Após receber uma requisição do
cliente, o servidor RADIUS tenta promover a autenticação
do usuário, e retorna as informações de
configuração e as políticas a serem aplicadas para o
mesmo.
Devido a grande
flexibilidade do protocolo e devido as diferentes tecnologias
agregadas ao RADIUS, o servidor pode ser configurado para
autenticar os usuários localmente ou como um cliente
proxy que redireciona os pedidos de acesso para outro
servidor AAA remoto. Quando utilizamos o servidor RADIUS desta
forma, o servidor AAA que atua como proxy passa a ser o
responsável pela intermediação das mensagens
trocadas entre o cliente e o servidor remoto. Um servidor RADIUS
pode ser configurado para efetuar determinadas
requisições localmente e atuar como proxy para
outros servidores remotos. Um exemplo muito prático e
útil desta flexibilidade do RADIUS é a
utilização do mesmo para a autenticação em
serviços que executam em sistemas embarcados. Como os sistemas
embarcados geralmente possuem limitações de gasto de
energia e de espaço de armazenamento e memória, a
utilização de um servidor AAA embarcado atuando
somente como proxy pode garantir a autenticação
segura de usuários de um serviço, como o acesso de uma
rede sem-fio em um ponto de acesso.
Figura 3.1A: Exemplo
de uma configuração que utiliza o RADIUS. Nesta figura,
suponha que os serviços do NAS1 são autenticados pelo
servidor RADIUS 1, enquanto os serviços do NAS 2 são
autenticados pelo servidor RADIUS 2.
Podemos observar um
exemplo típico de um sistema utilizando RADIUS. O Usuário
A, por exemplo, deseja utilizar um serviço fornecido pelo
NAS1. Após o usuário A enviar um pedido para o NAS1, o
NAS1 que atua como um cliente RADIUS, envia para o Servidor RADIUS
1 a requisição de acesso, indicando que o usuário A
deseja utilizar o serviço fornecido pelo NAS 1. Neste exemplo,
o servidor RADIUS 1 conseguiu autenticar o Usuário A com
sucesso. O servidor RADIUS então informa ao NAS1 da
autenticidade do usuário A, que pode agora utilizar o
serviço por ele requisitado. Ainda na figura 3.1A, o
usuário C deseja utilizar um serviço fornecido pelo NAS
2. Para este caso, o servidor RADIUS 1 funciona apenas como um
proxy para o servidor RADIUS 2, de forma que a
intermediação do processo de autenticação entre
o servidor RADIUS 2 e o NAS 2 será feita pelo servidor RADIUS
1. Neste exemplo, podemos verificar o grande grau de flexibilidade
do Servidor RADIUS, que pode autenticar determinados serviços
localmente e ao mesmo tempo intermediar a autenticação de
outros serviços de autenticação
remotos.