La instalación y configuración de un servidor RADIUS (Remote Authentication Dial-In User Service) dará soporte en la autenticación y autorización (y opcionalmente auditoría), apoyándose sobre una base de datos propia o ajena, como puede ser la del Directorio Activo de Microsoft para la autorización, SQL Server, u otras.

El servidor RADIUS dará respuesta a las peticiones provenientes de un servidor o servidores NAS (Network Access Server), o también denominado clientes RADIUS. A su vez, un cliente realizará una petición de autenticación y autorización a los servidores de acceso NAS (o cliente RADIUS).

A continuación, se muestra el proceso de autenticación, autorización, y opcionalmente, también auditoría AAA:

​Como se ve en la fotografía, es indiferente la tecnología de acceso del cliente, siempre y cuando esté soportada por el NAS, ya que, el cliente RADIUS hará de capa de abstracción para el cliente en el proceso de autenticación con el servidor RADIUS, de hecho, para el cliente, el proceso de autenticación y autorización es transparente para él.

Conviene tener en cuenta, que dado que se trata de un proceso en el cual están implicados numerosos actores que deben poder comunicarse de manera satisfactoria, una configuración incorrecta entre ellos puede ocasionar un mal funcionamiento, o directamente, imposibilitar que funcione correctamente el proceso en el que están implicados los clientes y servidores RADIUS.

Uno de los potenciales errores que puede ocurrir es que, el cliente y el servidor no compartan la misma clave precompartida, lo que propiciará que ambos extremos no sean confiables entre sí, y dicha comunicación no tenga lugar. Conviene indicar, que en aras a una buena seguridad entre ambos extremos, dicha clave precompartida, debería ser lo más robusta posible.

Adicionalmente, cuando virtualizamos este entorno, las interfaces de red de las máquinas virtuales, deben estar configuradas acorde con el escenario que desea virtualizarse. Por ejemplo, un servidor NAS, contendrá al menos dos interfaces de red; una de ellas, será una interfaz que estará en una red externa que recibirá las peticiones de autenticación de los clientes. Por otro lado, tendrá una segunda interfaz que entroncará en la red del servidor RADIUS. Dichas interfaces, deberán de estar correctamente configuradas, ya que, de no ser así, los diferentes tipos de comunicaciones que tienen lugar, no se producirán de manera exitosa, imposibilitando la autenticación, autorización, y opcionalmente, auditoría de los clientes.

El cliente RADIUS o NAS, realizará transparentemente para los clientes y el servidor RADIUS, la función de Enrutamiento y Acceso Remoto RRAS (Routing And Remote Access Service) que posibilitará que el diferente direccionamiento existente entre ambos, puedan ser traducidas mediante un proceso de traducción de direcciones NAT (Network Adress Translation), naturalmente, si se trata de un direccionamiento IPv4. Sin él, dicha traducción no tendría lugar, y, por tanto, el proceso de autenticación, autorización, y opcionalmente, auditoría, no tendría lugar.

Autor: Guillermo Lozano Rivada

Curso: MCSA+MCSE, TAJAMAR.

Fecha: 2015/2016