Dựa trên cách kiến trúc cung cấp dịch vụ mà có thể chọn một trong các mô hình triển khai dịch vụ RADIUS sau:
1- Cấu hình RADIUS tập trung (Central RADIUS Service)
Là mô hình triển khai đơn giản nhất, trong mô hình này, ISP kiểm soát toàn bộ các dịch vụ RADIUS kể cả việc duy trì CSDL của ngươi dùng.
Các thành phần của mô hình RADIUS tập trung bao gồm: - Một hay nhiều NAS
- CSDL người dùng, bao gồm tên truy cập, mật khẩu và các thông tin xác thực. CSDL người dùng có thể dặt ngay trong bản thân RADIUS server hoặc có thể là CSDL LDAP hay SQL riêng.
Hình 3 Ví dụ về mô hình RADIUS tập trung
Hình 1 minh hoạ một mô hình RADIUS tập trung. Khi một người dùng từ xa truy cập vào mạng qua một NAS. NAS sẽ gửi một yêu cầu truy cập tới Home RADIUS server, Home RADIUS server sẽ truy vấn CSDL xác thực và xác định rõ người dùng có được phép truy cập hay không, và nếu có thì các loại dịch vụ nào được cung cấp. Sau đó nó trả kết quả về NAS, NAS sẽ thiết lập loại kết nối phù hợp cho người dùng.
Nếu người dùng được phép vào mạng, NAS cũng sẽ gửi một thông điệp thống kê cho Home RADIUS server vào thời điểm bắt đầu phiên truy cập và một thông điệp vào thời điểm kết thúc truy cập. RADIUS server tạo một bản tin lưu trữ (Accouting Record) dựa trên các thông điệp thống kê, theo dõi các thông tin về mỗi phiên truy cập như: Tên truy cập, thời gian bắt đầu, thời gian kết thúc., tài nguyên đã sử dụng...
2- Cấu hình Proxy RADIUS Server (Radius phân tán).
Mức độ phức tạp tiếp theo của là việc sử dụng các RADIUS proxy server (hay còn gọi là Distributed Radius Server). Trong mô hình này, nhiệm vụ của RADIUS là xác thực, quản lý và giữ các thông tin về người dùng được phân phát từ RADIUS server ở vị trí nhận các request (proxy server) đến RADIUS server ở vị trí khác (home server).
NAS gửi yêu cầu tới Proxy server và nếu thông tin không nằm trong Database của Home Server (hay Local Access Server -LAS) cục bộ của nó, yêu cầu sẽ được chuyển tiếp tới LAS tương ứng để giải quyết, sau đó trả lại kết quả về cho Proxy Server.
Việc lựa chọn gửi yêu cầu tới LAS nào dựa vào tên miền của người dùng (realm name); có thể chuyển theo tiền tố (Realm/User) hoặc hậu tố (user@realm), ví dụ ptic@hn.vnn.vn sẽ chuyển tới
Database Backup
Server
Communication Network
Remote User NAS
RADIUS Server
Database ACCESS
NAS Hà nội, Ptic@hcm.vnn.vn sẽ chuyển tới LAS HCM City; hoặc có thể chuyển tiếp dựa trên DNIS (Dial Name Information Service): chuyển tiếp các yêu cầu đến server đích dựa trên số điện thoại mà người dùng từ xa truy cập vào.
Một RADIUS server có thể hoạt động cả 2 chức năng Proxy Server và LAS server tại cùng thời điểm, cấu hình này thường dùng cho các ISP nhỏ nhưng sẽ phát triển nhanh.
Các Proxy server có thể đấu thành chuỗi, nếu một user chưa được xác thực kết nối, yêu cầu sẽ được chuyển tiếp tới server tiếp trong chuỗi cho tới khi tìm thấy server xác thực. Sử dụng phương pháp này có thể bỏ qua cách dùng Realm nhưng làm giảm tốc độ việc xác thực; kỹ thuật này cũng được dùng cho các ISP nhỏ nhưng sẽ phát triển trong tương lai.
Hình 4: Ví dụ về mô hình RADIUS phân tán
Cần lưu ý trong mô hình RADIUS này là nơi phân phát các bản ghi Accounting. Các khách hàng có thể muốn giữ các bản ghi thông tin về việc sử dụng của họ để kiểm tra, hoặc ISP có thể phải chịu trách nhiệm lưu giữ các thông tin về việc sử dụng.
+ Lưu trữ cục bộ: Proxy Server lưu trữ các thống kê RADIUS vào một log file cục bộ.
+ Chuyển tiếp: Proxy Server chuyển tất cả các Accounting Record đến home RADIUS server đích và home RADIUS server sẽ lưu trữ chúng.
+ Lưu trữ và chuyển tiếp: Proxy Server vừa lưu trữ tất cả Accounting Record, vừa chuyển tiếp các thông tin này cho home RADIUS server đích để xử lý.
Communication Network
Remote User NAS
ACCESSPROVIDER PROVIDER RADIUS Server Internet/ Intranet Database Database Database Database RADIUS Server RADIUS Server CUSTOMER A CUSTOMER B
Một chức năng đặc biệt của RADIUS server là cho phép hạn chế số lượng các kết nối đồng thời dùng một tên truy cập (Concurrency User), cho phép nhận diện các account bị lấy cắp, hạn chế sử dụng,... các concurent login này có thể thực hiện trên một hoặc nhiều Radius Server. Việc triển khai một Concurrency Server cho phép nhà cung cấp dịch vụ Internet kiểm soát được các gian lận trong việc chia sẻ tên và mật khẩu truy cập. Một Proxy hay Home RADIUS server cũng có thể đóng vai trò của một Concurrency server hoặc trong trường hợp nhà cần theo dõi những login trùng nhau ở một số RADIUS server có thể thiết lập một RADIUS server riêng.
Nói chung, nên chọn mô hình RADIUS phân tán nếu ISP cung cấp các dịch vụ như quản lý một VPN cho khách hàng hay khách hàng có thể là các ISP khác hoặc các nhà kinh doanh. Mô hình này đáp ứng được các đòi hỏi của khách hàng về việc họ có thể tự duy trì và kiểm soát dữ liệu xác thực của mình. Nó cũng làm giảm gánh nặng quản trị cho nhà cung cấp trong trường hợp khách hàng là số lượng lớn.
3- Cấu hình Hosted RADIUS (Hosted RADIUS Service)
Mô hình này kết hợp các đặc điểm của cả hai mô hình trên. Nó là mô hình phân tán bởi vì mỗi tài nguyên của khách hàng đều được cung cấp bởi một RADIUS server riêng, tuy nhiên các server này được đặt tại các ISP. Các server của khách hàng có thể khác nhau về mặt vật lý hay về mặt lôgic (các server ảo) chạy trên cùng Server.
Trong mô hình này ISP thiết lập và duy trì một RADIUS server tại vị trí của mình phục vụ cho mỗi khách hàng của bạn. Mô hình này rất phổ biến khi có các khách hàng không muốn duy trì các RADIUS server của riêng mình.. . .
Triển khai theo mô hình hosting RADIUS có các đặc trưng sau:
+ Một số môi trường gồm 4 thành phần: các NAS, RADIUS server thiết lập cho mỗi host của khách hàng, Một CSDL xác thực cho mỗi host của khách hàng. Ngoài ra có thể có riêng một CSDL thống kê.
+ Tất cả các thành phần đều được đặt trên cùng một mạng.
+ ISP có trách nhiệm duy trì CSDL tên và mật khẩu của khách hàng hoặc phải thiết lập xử lý làm làm sao cho khách hàng có thể truy cập quản lý dữ liệu của họ.
Trang 79Table for
Communication Network
Remote User NAS
ACCESSPROVIDER PROVIDER Database Backup Server RADIUS Server Table for Customer A 79
Hình 5: Mô hình Hosted RADIUS
Trong mô hình này mỗi khách hàng có một RADIUS server riêng và một Proxy server để giao tiếp giữa NAS và các RADIUS Proxy. Trong trường hợp này các Accounting Record sẽ được chuyển tới cùng một home RADIUS server cũng như yêu cầu xác thực.
Có thể dùng một RADIUS server cấu hình directed realm để phục vụ tất cả các host của khách hàng. Trong trường hợp này NAS giao tiếp với RADIUS server truy vấn các vùng thông tin dành cho khách hàng tương ứng của CSDL để xác định nếu người dùng được quyền kết nối.