Giao thức RADIUS là gì? RADIUS là một giao thức mạng được sử dụng để xác thực và cho phép người dùng truy cập vào một mạng từ xa. Thuật ngữ RADIUS là từ viết tắt của Remote Authentication Dial-In User Service.
Được giới thiệu lần đầu tiên vào năm 1991, RADIUS vẫn là một công cụ mạnh mẽ để quản lý quyền truy cập của người dùng mạng. Để hiểu lý do tại sao, hãy cùng xem qua sự phát triển của giao thức RADIUS trong nhiều năm.
Nguồn gốc của RADIUS
Theo John Vollbrecht, người sáng lập Interlink Networks và là người đóng vai trò quan trọng trong sự xuất hiện của giao thức RADIUS, câu chuyện về RADIUS thực sự bắt đầu vào năm 1987 khi Quỹ khoa học quốc gia (NSF) trao hợp đồng mở rộng NSFnet (tức là tiền thân của Internet hiện đại) cho Merit Network Inc.
Merit Network Inc. là một tập đoàn phi lợi nhuận đã phát triển một giao thức xác thực mạng độc quyền để kết nối các trường đại học trên khắp Michigan. Vào thời điểm đó, hầu hết các mạng tận dụng những giao thức độc quyền theo cách này. Hợp đồng của NSF nhằm mở rộng NSFnet là một nỗ lực để đưa Internet đến với công chúng.
Tuy nhiên, để làm như vậy, mạng độc quyền của Merit, đã phải được chuyển đổi sang mạng NSFnet dựa trên IP. Sau đó, Merit đã tập hợp các đề xuất từ những nhà cung cấp để phát triển một giao thức có thể hỗ trợ phương pháp xác thực dial-in của Merit, nhưng cho các mạng dựa trên IP. Họ đã nhận được phản hồi từ một công ty có tên Livingston Enterprises, với đề xuất về cơ bản chứa mô tả cho giao thức RADIUS. Merit Networks Inc. đã chấp nhận đề xuất từ Livingston Enterprises năm 1991 và giao thức RADIUS ra đời.
RADIUS hoạt động như thế nào?
RADIUS tận dụng mô hình máy khách/máy chủ để xác thực quyền truy cập của người dùng mạng. Trong thực tế, yêu cầu người dùng truy cập mạng được gửi từ máy khách như hệ thống người dùng hoặc điểm truy cập WiFi đến máy chủ RADIUS để xác thực.
Các máy chủ RADIUS thường được kết hợp với một identity provider (hệ thống tạo, duy trì và quản lý thông tin nhận dạng, đồng thời cung cấp dịch vụ xác thực) riêng biệt. Khi người dùng cố gắng truy cập vào một mạng được bảo vệ bằng RADIUS từ xa, họ phải cung cấp thông tin xác thực người dùng duy nhất được liên kết với danh tính người dùng của mình, lưu trữ trong cơ sở dữ liệu thư mục được liên kết.
Sau khi được người dùng cung cấp, thông tin đăng nhập sẽ được chuyển từ máy khách đến máy chủ RADIUS thông qua một supplicant (một chương trình chịu trách nhiệm thực hiện các yêu cầu đăng nhập vào mạng không dây).
Nói một cách đơn giản, các yêu cầu và thông tin xác thực được gửi từ thiết bị của người dùng thông qua supplicant đến thiết bị mạng hỗ trợ RADIUS. Sau đó, thiết bị mạng hỗ trợ RADIUS chuyển tiếp yêu cầu đến máy chủ RADIUS để xác thực. Khi nhận được yêu cầu và thông tin xác thực người dùng, máy chủ RADIUS sẽ xác thực thông tin đăng nhập của người dùng đối với cơ sở dữ liệu directory service liên quan.
Nếu thông tin người dùng khớp với thông tin lưu trữ trong cơ sở dữ liệu thư mục được liên kết, thông báo xác thực hợp lệ sẽ được gửi lại cho máy khách RADIUS để bắt đầu kết nối với mạng. Nếu không, một thông báo từ chối sẽ được đưa ra.
Hạn chế của RADIUS
Giao thức RADIUS đã được chứng minh là giúp tăng khả năng kiểm soát và bảo mật mạng, nhưng không phải không có những thách thức nhất định.
Ví dụ, trước đây, RADIUS là một triển khai tại chỗ (on-prem) yêu cầu hiệu quả cơ sở hạ tầng quản lý nhận dạng tại chỗ để vận hành (ví dụ: hệ thống, máy chủ, router, switch, v.v...). Thiết lập này có thể khó khăn và tốn kém. Hơn nữa, cơ sở hạ tầng quản lý danh tính tại chỗ chủ yếu tập trung vào Microsoft Windows, với Microsoft Active Directory (AD) đóng vai trò là identity provider chính.
Để công bằng, AD không cung cấp chức năng RADIUS phụ trợ của riêng mình. Tuy nhiên, khi bối cảnh CNTT hiện đại tiếp tục đa dạng hóa, nhiều tổ chức CNTT đang chuyển sang triển khai AD tại chỗ, do nhiều hạn chế của nó trong môi trường đa nền tảng và hybrid-cloud.
Trên thực tế, nhiều tổ chức CNTT đang chuyển toàn bộ cơ sở hạ tầng quản lý danh tính tại chỗ của họ sang đám mây, với các lựa chọn thay thế Active Directory. Có một số lợi ích với phương pháp này là tăng tính linh hoạt và giảm chi phí, nhưng làm thế nào để các tổ chức CNTT tiếp tục cung cấp xác thực RADIUS bảo mật, khi không có bất cứ thứ gì “on-prem”?
Xác thực RADIUS từ đám mây
May mắn thay, một giải pháp quản lý truy cập và nhận dạng thế hệ tiếp theo đã xuất hiện có thể cung cấp RADIUS-as-a-Service, dưới dạng dịch vụ phân phối trên nền tảng đám mây.
Giải pháp này được gọi là JumpCloud Directory-as-a-Service và nó không chỉ cung cấp xác thực RADIUS từ đám mây, mà còn phục vụ như một giải pháp thay thế dựa trên đám mây toàn diện cho Active Directory.
Điều này là do JumpCloud là nền tảng directory service dựa trên đám mây đầu tiên áp dụng cách tiếp cận dựa trên giao thức, trung lập với nhà cung cấp để quản lý các mạng CNTT hiện đại. Khi làm như vậy, các tổ chức CNTT có thể quản lý và kết nối người dùng một cách bảo mật với hệ thống, ứng dụng, file và mạng qua RADIUS.
Khi đó, các quản trị viên có thể tự do tận dụng các tài nguyên CNTT tốt nhất cho tổ chức với sự an tâm khi biết rằng, họ có thể quản lý hiệu quả toàn bộ mạng từ đám mây với JumpCloud Directory-as-a-Service.