Remote Authentication Dial-In User Service - Définition
La liste des auteurs de cet article est disponible ici.
Comptabilisation (accounting)
La deuxième fonction d'un serveur Radius est l'accounting (ou comptabilisation) assurant à la fois la journalisation des accès et la facturation. Définie par des RFC différents, gérée sur des ports UDP différents (1646 ou 1813 pour les plus courants alors que l'identification est faite sur les ports 1645 ou 1812), cette fonction est souvent assurée par un programme ou même un serveur différent.
L'accounting se base sur deux types de paquets principaux: Accounting Start et Accounting Stop, une session est définie comme l'intervalle entre un Start et un Stop. Le paquet Accounting Start émis par le client Radius après connexion effective de l'utilisateur suite à une phase d'identification réussie contient des données de base: nom d'utilisateur (mais pas le mot de passe inutile ici), adresse IP affectée, date et heure de connexion, type de connexion, type de service, etc.
Quand l'utilisateur se déconnecte du service ou que le client Radius le déconnecte sur inactivité, dépassement de temps de connexion ou autre, ce client Radius envoie un paquet Accounting Stop avec le même identificateur de session, le serveur Radius peut alors clore la session et journaliser la déconnexion, souvent avec un grand nombre de paramètres dans le paquet Stop : temps de connexion, type d'utilisation, nombre de paquets et d'octets échangés selon les divers protocoles, et éventuellement des informations plus confidentielles sur les sites visités ou contenus échangés.
Il existe d'autres types de paquets d'accounting : Intermédiaire (émis à intervalles périodiques par le client entre Start et Stop, utile au cas où le Stop serait perdu), On (le client Radius a démarré) et Off (le client Radius va s'arrêter), ce dernier pour mémoire, il est rare qu'un appareil prévienne avant de tomber en panne ou de planter.
Pour faciliter le travail de liaison entre la phase d'identification et la phase de comptabilisation (le serveur radius peut avoir reçu des centaines d'autres requêtes entre les deux), l'attribut Class est envoyé vers le client avec le paquet Access-Accept; le client Radius a pour consigne de le renvoyer tel quel dans le paquet Accounting Start. Le serveur Radius peut donc inclure dans cet attribut toutes les informations utiles pour faire la liaison entre une identification réussie, accompagnée souvent d'une réservation de ressources - canal, PVC ou adresse IP par exemple - et l'utilisation effective de ces ressources.
Dans le cas où l'opération est abandonnée (il n'y a pas de paquet Accounting Start correspondant après une identification réussie), un mécanisme doit restituer les ressources réservées; la plupart des mises en œuvre utilisent un mécanisme de temporisation pour cela (phantom accounting record). Les ressources réservées par l'identification, occupées par l'Accounting Start sont normalement libérées par le paquet Accounting Stop, ce qui implique par exemple qu'un serveur Radius ne peut attribuer des adresses IP que s'il gère aussi la fonction d'accounting.
L'accounting a aussi une fonction légale: l'accès à l'Internet doit être identifié, et tout utilisateur doit être traçable au moins vers un numéro de compte ou de carte bancaire, c'est pourquoi la fonction d'accounting est toujours activée chez les FAI et les enregistrements conservés: sur commission rogatoire d'un juge, le FAI peut fournir l'identification à un instant donné de toute adresse IP.
Autorisation
L'identification RADIUS peut être enrichie d'une autorisation, par exemple pour un client de fournisseur d'accès son adresse IP, son temps de connexion maximal, son temps d'inactivité. Tous ces paramètres sont définis par des attributs du paquet dans les RFC, en l'occurrence pour cet exemple l'attribut 8, plus connu sous son nom "convivial" Framed-IP-Address, bien que le protocole ne connaisse en fait que les numéros, et les attributs Session-Timeout et Idle-Timeout. Les attributs standards sont définis dans les RFC, les attributs spécifiques d'un fournisseur ou VSA (Vendor Specific Attributes) sont multiplexés dans l'attribut 26 : chaque fournisseur se voit attribuer un numéro unique permettant de l'identifier, un octet de cet attribut définit un numéro de VSA, ce qui permet à chaque fournisseur de définir jusqu'à 255 attributs spécifiques pour son matériel. Le serveur Radius s'adapte à ces "dialectes" par des dictionnaires d'attributs...
