RADIUS(remote authentication dial in user service)は,リモート・アクセスを受け付けるアクセス・サーバーが,ユーザーの認証情報を格納した認証サーバーにユーザー認証を依頼する場面でやり取りされる認証用プロトコルである。
ダイアルアップ・ユーザーがNASに対してリモート・アクセスする場合,通常は,NASに対してユーザーIDとパスワードを送付する。たいていは,PPPの拡張プロトコルであるPAPやCHAPなどの認証プロトコルでやり取りする。これによってユーザーIDとパスワードを受け取ったアクセス・サーバーは,今度はRADIUSを使って認証サーバーに認証処理を依頼する。
認証依頼は一般にUDPパケットで運ばれる。RADIUSは要求メッセージと応答メッセージの組み合わせという単純なシーケンスであるため,ステータスを管理する必要がない。それゆえ,TCPを使う必要がない。また,素早く応答を返すことができるということもUDPが使われる理由である。
アクセス・サーバーが認証依頼を認証サーバーに送っても返信がない場合は,何度かこれを繰り返す。それでも返答が返ってこない場合は,別の認証サーバーに認証依頼を送付する。このようなしくみがあるため,複数の認証サーバーを設置することによって,システムの信頼性を高めることができる。
RADIUSは,単にユーザーのアクセス権限を認証するためだけに使われているわけではない。認証サーバーが格納するさまざまなユーザー情報を取り出す用途でも使える。典型的な属性情報としては,アクセスしてきたユーザーに割り当てるIPアドレスやサブネットマスク,コールバック番号,各種の課金情報などがある。
RADIUSのIPv6対応は大きく二つある。一つは,IPv6ネットワーク経由でRADIUSメッセージをやり取りできるということ。もう一つは,IPv6ならではの属性情報をやり取りすることである。後者を実現するために,RADIUSメッセージの種類が拡張されている。やり取りできるようになったIPv6関連情報としては,プレフィクスやログイン先のホスト名などがある。
■RADIUSの仕様
ftp://ftp.isi.edu/in-notes/rfc2865.txt
■RADIUSのIPv6向けの仕様
ftp://ftp.isi.edu/in-notes/rfc3162.txt
