Để hiểu rõ kiến trúc của RADIUS, ta phải hiểu được nhiều các thành phần khác của hệ thống và sự tương tác giữa chúng. Một hệ thống xác thực đơn giản gồm một user muốn truy nhập vào mạng, một NAS hoặc một ứng dụng cần xác thực và RADIUS server để xác thực và phân quyền truy nhập của người dùng.
Hình 2 : Cơ chế hoạt động của RADIUS
+ User quay số yêu cầu được thiết lập phiên truy cập vào mạng cung cấp dịch vụ (1).
Remote User NAS RADIUS Server Authentication Database Authentication Database 1 2 3 4 5
+ Khi nhận được một yêu cầu kết nối từ phía người dùng, NAS sẽ thực hiện dàn xếp giao thức truy cập ban đầu qua giao thức PPP hoặc SLIP và hỏi Username, Password qua giao thức PAP hay CHAP (quá trình (1,2)). NAS tạo ra một gói dữ liệu (tên truy cập, mật khẩu, NAS nhận diện, Cổng NAS, ...) gọi là Authentication Request.
+ NAS gửi yêu cầu kết nối (Authentication Request) đã mã hoá tới RADIUS server và yêu cầu xác thực (3).
+ RADIUS server nhận yêu cầu xác thực từ NAS dựa trên các thông tin được NAS cung cấp. + RADIUS server sẽ truy vấn CSDL xác thực (5). Nếu tìm thấy (hoặc không) thông tin xác thực người dùng trong CSDL thì dựa vào các thông tin từ CSDL đó RADIUS server sẽ trả kết quả cho NAS gồm các thông tin như cho phép truy cập hay không, các dịch vụ được cấp... (4).
Dựa vào kết quả trả về của RADIUS server NAS sẽ quyết định có thiết lập hay không kết nối cho người dùng. Nếu thiết lập được kết nối, NAS sẽ phát đi một bản tin thống kê (Account Record) tới RADIUS server. RADIUS server có thể lưu trữ hoặc chuyển tiếp thông điệp này tới một Server khác để phục vụ cho việc tính cước.
CSDL của Radius Server có thể là các loại Text File, Unix Password File, Sun NIS, NIS+, hay dịch vụ thư mục LDAP... Với kiểu text, Unix thì số lượng người dùng được hỗ trợ bị giới hạn bởi số lượng bản ghi có thể đọc từ file text vào bộ nhớ, hoặc số lượng mục vào trong file /etc/passwd của UNIX.