Войти
Служба удаленной аутентификации пользователей с телефонным подключением (RADIUS ) является сетевым протокол, работающий на порту 1812, который обеспечивает централизованное управление аутентификацией, авторизацией и учетом (AAA или Triple A) для пользователей, которые подключаются и используют сетевой сервис. RADIUS был разработан Livingston Enterprises, Inc. в 1991 году как протокол аутентификации и учета сервера доступа, а затем внесен в стандарты Internet Engineering Task Force (IETF).
RADIUS - это протокол клиент / сервер, который работает на уровне приложений и может использовать TCP или UDP <123.>как транспорт. Серверы доступа к сети, шлюзы, управляющие доступом к сети, обычно содержат клиентский компонент RADIUS, который взаимодействует с сервером RADIUS. RADIUS часто является сервером для аутентификации 802.1X.
Сервер RADIUS обычно является фоновым процессом, работающим на сервер UNIX или Microsoft Windows.
RADIUS - это протокол AAA, который управляет доступом к сети. AAA означает «Аутентификация, авторизация и учет». RADIUS использует два типа пакетов для управления полным процессом AAA: Access-Request, который управляет аутентификацией и авторизацией; и Accounting-Request, который управляет бухгалтерским учетом. Аутентификация и авторизация определены в RFC 2865, в то время как учет описан в RFC 2866.
Пользователь или машина отправляет запрос на сервер доступа к сети (NAS), чтобы получить доступ к определенному сетевому ресурсу с использованием учетных данных для доступа. Учетные данные передаются на устройство NAS по протоколу канального уровня, например, протокол точка-точка (PPP) в случае большого количества коммутируемых соединений или поставщиков DSL или размещены в защищенной веб-форме HTTPS.
В свою очередь, NAS отправляет сообщение запроса доступа RADIUS на сервер RADIUS, запрашивая авторизацию для предоставления доступа по протоколу RADIUS.
Этот запрос включает учетные данные для доступа, обычно в форме имя пользователя и пароль или сертификат безопасности, предоставленный пользователем. Кроме того, запрос может содержать другую информацию, известную NAS о пользователе, такую как его сетевой адрес или номер телефона, а также информацию о физической точке подключения пользователя к NAS.
Сервер RADIUS проверяет правильность информации с помощью таких схем аутентификации, как PAP, CHAP или EAP. Подтверждение идентификации пользователя проверяется вместе с (необязательно) другой информацией, относящейся к запросу, такой как сетевой адрес или номер телефона пользователя, статус учетной записи и определенные привилегии доступа к сетевым службам. Исторически серверы RADIUS сверяли информацию пользователя с локально хранимой базой данных плоских файлов. Современные серверы RADIUS могут это делать или могут обращаться к внешним источникам - обычно к серверам SQL, Kerberos, LDAP или Active Directory - для проверки учетных данных пользователя.
Процесс аутентификации и авторизации RADIUS Затем сервер RADIUS возвращает один из трех ответов NAS: 1) отказ в доступе, 2) запрос доступа или 3) принятие доступа.
Каждый из этих трех ответов RADIUS может включать атрибут Reply-Message, который может указывать причину для отклонения, приглашение к вызову или приветственное сообщение для принятия. Текст в атрибуте может быть передан пользователю на веб-странице возврата.
Авторизация , атрибуты передаются NAS, определяя условия предоставления доступа. Например, следующие атрибуты авторизации могут быть включены в Access-Accept:
Когда клиент настроен на использование RADIUS, любой пользователь клиента представляет клиенту информацию аутентификации. Это может быть настраиваемая подсказка входа в систему, где пользователь должен ввести свое имя пользователя и пароль. В качестве альтернативы пользователь может использовать протокол кадровой связи, такой как протокол точка-точка (PPP), который имеет пакеты аутентификации, которые несут эту информацию.
После того, как клиент получил такую информацию, он может выбрать аутентификацию с использованием RADIUS. Для этого клиент создает «запрос доступа», содержащий такие атрибуты, как имя пользователя, пароль пользователя, идентификатор клиента и идентификатор порта, к которому пользователь обращается. Если пароль присутствует, он скрывается с помощью метода, основанного на алгоритме дайджеста сообщений RSA MD5.
Поток учета RADIUS Учет описан в RFC 2866.
Когда доступ к сети предоставляется пользователю с помощью NAS, запуск учета ( пакет RADIUS Accounting Request, содержащий атрибут Acct-Status-Type со значением «start»), отправляется NAS на сервер RADIUS, чтобы сигнализировать о начале доступа пользователя к сети. «Начальные» записи обычно содержат идентификацию пользователя, сетевой адрес, точку подключения и уникальный идентификатор сеанса.
Периодически, записи промежуточного обновления (пакет RADIUS Accounting Request, содержащий атрибут Acct-Status-Type со значением «промежуточное обновление») может быть отправлено NAS на сервер RADIUS для обновления статуса активного сеанса. «Промежуточные» записи обычно содержат текущую продолжительность сеанса и информацию о текущем использовании данных.
Наконец, когда доступ пользователя к сети закрыт, NAS выдает последнюю запись об остановке учета (пакет RADIUS Accounting Request, содержащий атрибут Acct-Status-Type со значением «stop») серверу RADIUS, предоставление информации о конечном использовании с точки зрения времени, переданных пакетов, переданных данных, причины отключения и другой информации, связанной с доступом пользователя к сети.
Обычно клиент отправляет пакеты Accounting-Request до тех пор, пока он не получит подтверждение ответа Accounting-Response, используя некоторый интервал повтора.
Основная цель этих данных состоит в том, чтобы пользователю был выставлен счет соответственно; данные также обычно используются для статистических целей и для общего мониторинга сети.
Роуминг с использованием прокси-сервера RADIUS AAA. RADIUS обычно используется для облегчения роуминга между интернет-провайдерами, например:
RADIUS облегчает это за счет использования областей, которые определяют, куда сервер RADIUS должен пересылать запросы AAA для обработки.
Область обычно добавляется к имени пользователя и разделяется знаком '@', напоминая доменное имя адреса электронной почты. Это известно как постфиксное обозначение области. Другое распространенное использование - это префиксная нотация, которая включает добавление области к имени пользователя и использование '\' в качестве разделителя. Современные серверы RADIUS позволяют использовать любой символ в качестве разделителя области, хотя на практике обычно используются '@' и '\'.
Области также могут быть объединены с использованием как префиксной, так и постфиксной нотации, чтобы учесть сложные сценарии роуминга; например, somedomain.com \ [email#160;protected] может быть действительным именем пользователя с двумя областями.
Хотя области часто напоминают домены, важно отметить, что области на самом деле представляют собой произвольный текст и не обязательно должны содержать настоящие доменные имена. Форматы областей стандартизированы в RFC 4282, который определяет идентификатор доступа к сети (NAI) в форме 'user @ realm'. В этой спецификации требуется, чтобы часть «область» была доменным именем. Однако эта практика соблюдается не всегда. RFC 7542 заменил RFC 4282 в мае 2015 года.
Когда сервер RADIUS получает запрос AAA для имени пользователя, содержащего область, сервер будет ссылаться на таблицу настроенных областей. Если область известна, сервер затем будет передавать запрос настроенному домашнему серверу для этого домена. Поведение прокси-сервера в отношении удаления области из запроса («зачистки») зависит от конфигурации большинства серверов. Кроме того, проксирующий сервер можно настроить для добавления, удаления или перезаписи запросов AAA, когда они снова проксируются через какое-то время.
Связь прокси возможна в RADIUS, а пакеты аутентификации / авторизации и учета обычно маршрутизируются между устройством NAS и домашним сервером через серию прокси-серверов. Некоторые из преимуществ использования цепочек прокси включают улучшения масштабируемости, реализацию политик и корректировку возможностей. Но в сценариях роуминга NAS, прокси и домашний сервер обычно могут управляться разными административными объектами. Следовательно, фактор доверия между прокси-серверами приобретает большее значение в таких междоменных приложениях. Кроме того, отсутствие сквозной безопасности в RADIUS повышает критичность доверия между задействованными прокси-серверами. Цепочки прокси описаны в RFC 2607.
Роуминг с RADIUS подвергает пользователей различным проблемам безопасности и конфиденциальности. В более общем плане некоторые партнеры по роумингу устанавливают безопасный туннель между серверами RADIUS, чтобы гарантировать, что учетные данные пользователей не могут быть перехвачены во время проксирования через Интернет. Это вызывает беспокойство, поскольку хэш MD5, встроенный в RADIUS, считается небезопасным.
Формат пакетных данных RADIUS. Формат пакетных данных RADIUS показан справа. Поля передаются слева направо, начиная с кода, идентификатора, длины, аутентификатора и атрибутов.
Коды RADIUS (десятичные) назначаются следующим образом:
| Code | Assignment |
|---|---|
| 1 | Access-Request |
| 2 | Access-Accept |
| 3 | Access-Reject |
| 4 | Учет- Запрос |
| 5 | Accounting-Response |
| 11 | Access-Challenge |
| 12 | Status-Server (экспериментальный) |
| 13 | Status-Client (экспериментальный) |
| 40 | Disconnect-Request |
| 41 | Disconnect-ACK |
| 42 | Disconnect-NAK |
| 43 | CoA-Request |
| 44 | CoA-ACK |
| 45 | CoA-NAK |
| 255 | Зарезервировано |
Поле идентификатора помогает в сопоставлении запросов и ответов.
Поле длины указывает длину всего пакета RADIUS, включая поля кода, идентификатора, длины, аутентификатора и дополнительных атрибутов.
Аутентификатор используется для аутентификации ответа от сервера RADIUS и используется для шифрования паролей; его длина составляет 16 байт.
Схема RADIUS AVP Пары значений атрибутов RADIUS (AVP) переносят данные как в запросе, так и в ответе для транзакций аутентификации, авторизации и учета. Длина радиуса пакета используется для определения конца AVP.
| Тип AVP | Назначение |
|---|---|
| 1 | Имя пользователя |
| 2 | Пароль пользователя |
| 3 | CHAP -Пароль |
| 4 | IP-адрес NAS |
| 5 | Порт NAS |
| 6 | Service-Type |
| 7 | Framed-Protocol |
| 8 | Framed-IP-Address |
| 9 | Framed-IP-Netmask |
| 10 | Framed-Routing |
| 11 | Filter-Id |
| 12 | Framed-MTU |
| 13 | Framed-Compression |
| 14 | Login-IP-Host |
| 15 | Login-Service |
| 16 | Login-TCP-Port |
| 18 | Reply-Message |
| 19 | Callback-Number |
| 20 | Callback-Id |
| 22 | Framed-Route |
| 23 | Framed- IPX-Network |
| 24 | State |
| 25 | Class |
| 26 | Vendor-Specific |
| 27 | Session-Timeout |
| 28 | Idle-Timeout |
| 29 | Termination-Action |
| 30 | Called-Station-Id |
| 31 | Calling-Station- Id |
| 32 | NAS-Identifier |
| 33 | Proxy-State |
| 34 | Login-LAT-Service |
| 35 | Login-LAT-Node |
| 36 | Login-LAT-Group |
| 37 | Framed-AppleTalk-Link |
| 38 | Framed- AppleTalk-Network |
| 39 | Framed-AppleTalk-Zone |
| 40 | Acct-Status-Type |
| 41 | Acct-Delay-Time |
| 42 | Acct-Input-Octets |
| 43 | Acct-Output-Octets |
| 44 | Acct-Session- Id |
| 45 | Acct-Authentic |
| 46 | Acct-Session-Time |
| 47 | Acct-Input-Packets |
| 48 | Acct-Output-Packets |
| 49 | Acct-Terminat e-Cause |
| 50 | Acct-Multi-Session-Id |
| 51 | Acct-Link-Count |
| 52 | Acct-Input-Gigawords |
| 53 | Acct-Output-Gigawords |
| 55 | Event-Timestamp |
| 56 | Egress-VLANID |
| 57 | Ingress-Filters |
| 58 | Egress-VLAN-Name |
| 59 | User-Priority-Table |
| 60 | CHAP -Challenge |
| 61 | NAS-Port-Type |
| 62 | Port-Limit |
| 63 | Login-LAT -Port |
| 64 | Tunnel-Type |
| 65 | Tunnel-Medium-Type |
| 66 | Tunnel-Client-Endpoint |
| 67 | Tunnel-Server-Endpoint |
| 68 | Acct-Tunnel-Connection |
| 69 | Tunnel-Password |
| 70 | ARAP -Password |
| 71 | ARAP-Features |
| 72 | ARAP-Zone-Access |
| 73 | ARAP-Security |
| 74 | ARAP-Security-Data |
| 75 | Password-Retry |
| 76 | Prompt |
| 77 | Connect-Info |
| 78 | Configuration -Token |
| 79 | EAP-Message |
| 80 | Message-Authenticator |
| 81 | Tunnel-Private-Group-ID |
| 82 | Tunnel-Assignment-ID |
| 83 | Tunnel-Preference |
| 84 | ARAP-Challenge-Response |
| 85 | Acct -Interim-Interval |
| 86 | Acct-Tunnel-Packets-Lost |
| 87 | NAS-Port-Id |
| 88 | Framed-Pool |
| 89 | CUI |
| 90 | Tunnel-Client-Auth-ID |
| 91 | Tunnel-Server-Auth -ID |
| 92 | Правило-фильтра NAS |
| 94 | Информация об исходной линии |
| 95 | IPv6-адрес NAS |
| 96 | Framed-Interface-Id |
| 97 | Framed-IPv6-Prefix |
| 98 | Login-IPv6-Host |
| 99 | Framed-IPv6-Route |
| 100 | Framed-IPv6-Pool |
| 101 | Атрибут причины ошибки |
| 102 | EAP-Key-Name |
| 103 | Digest-Response |
| 104 | Digest-Realm |
| 105 | Digest-Nonce |
| 106 | Digest-Response-Auth |
| 107 | Digest-Nextnonce |
| 108 | Digest-Method |
| 109 | Digest-URI |
| 110 | Digest-Qop |
| 111 | Digest-Algorithm |
| 112 | Digest-Entity-Body-Hash |
| 113 | Digest-CNonce |
| 114 | Digest-Nonce-Count |
| 115 | Digest- Имя пользователя |
| 116 | Digest-Opaque |
| 117 | Digest-Auth-Param |
| 118 | Digest-AKA-Auts |
| 119 | Digest-Domain |
| 120 | Digest-Stale |
| 121 | Digest-HA1 |
| 122 | SIP-AOR |
| 123 | Делегированный префикс IPv6 |
| 124 | MIP6-Feature-Vector |
| 125 | Префикс MIP6-Home-Link |
| 126 | Имя оператора |
| 127 | Информация о местоположении |
| 128 | Данные о местоположении |
| 129 | Основные правила политики местоположения |
| 130 | Правила расширенной политики местоположения |
| 131 | Location-Capable |
| 132 | Requested-Location-Info |
| 133 | Framed-Management-Protocol |
| 134 | Management-Transport-Protection |
| 135 | Management-Policy-Id |
| 136 | Management-Privilege-Level |
| 137 | PKM-SS-Cert |
| 138 | PKM-CA-Cert |
| 139 | PKM-Config-Settings |
| 140 | PKM-Cryptosuite-List |
| 141 | PKM- SAID |
| 142 | PKM-SA-Descriptor |
| 143 | PKM-Auth-Key |
| 144 | DS-Lite-Tunnel-Name |
| 145 | Идентификатор мобильного узла |
| 146 | Выбор службы |
| 147 | PMIP6-Home-LMA-IPv6-Address |
| 148 | PMIP6-Visited-LMA-IPv6-Address |
| 149 | PMIP6-Home-LMA-IPv4-Address |
| 150 | PMIP6-Visited-LMA-IPv4 -Address |
| 151 | PMIP6-Home-HN-Prefix |
| 152 | PMIP6-Visited-HN-Prefix |
| 153 | PMIP6-Home- ID интерфейса |
| 154 | PMIP6- Идентификатор посещенного интерфейса |
| 155 | PMIP6-Home-IPv4-HoA |
| 156 | PMIP6-Visited-IPv4-HoA |
| 157 | PMIP6 -Home-DHCP4-Server-Address |
| 158 | PMIP6-Visited-DHCP4-Server-Address |
| 159 | PMIP6-Home-DHCP6-Server-Address |
| 160 | PMIP6-Visited-DHCP6-Server-Address |
| 161 | PMIP6-Home-IPv4-Gateway |
| 162 | PMIP6-Visited-IPv4-Gateway |
| 163 | EAP-нижний уровень |
| 164 | GSS-Acceptor-Service-Name |
| 165 | GSS-Acceptor-Host-Name |
| 166 | GSS-Acceptor-Service-Specifics |
| 167 | GSS-Acceptor-Realm-Name |
| 168 | Framed-IPv6-Address |
| 169 | DNS-сервер-IPv6-адрес |
| 170 | Маршрут-IPv6-информация |
| 171 | Пул префиксов делегированного IPv6 |
| 172 | Stateful-IPv6-Address-Pool |
| 173 | IPv6-6rd-Configuration |
| 174 | Allowed-Called-Station-Id |
| 175 | EAP-Peer-Id |
| 176 | EAP-Server-Id |
| 177 | Mobility-Domain-Id |
| 178 | Тайм-аут преаутентификации |
| 179 | Network-Id-Name |
| 180 | EAPoL-Announcement |
| 181 | WLAN-HESSID |
| 182 | WLAN-Venue-Info |
| 183 | WLAN-Venue-Language |
| 184 | WLAN-Venue-Name |
| 185 | Код-причины-WLAN |
| 186 | WLAN-Pairwise-Cipher |
| 187 | WLAN-Group-Cipher |
| 188 | WLAN-AKM-Suite |
| 189 | WLAN-Group- Mgmt-Cipher |
| 190 | WLAN-RF-Band |
RADIUS является расширяемым; многие производители оборудования и программного обеспечения RADIUS реализуют свои собственные варианты с использованием атрибутов, зависящих от поставщика (VSA). Microsoft опубликовала некоторые из своих VSA. Определения VSA от многих других компаний остаются собственными и / или специальными, тем не менее, многие словари VSA можно найти, загрузив исходный код реализаций RADIUS с открытым исходным кодом, например FreeRADIUS или openRADIUS.
Протокол RADIUS передает зашифрованные пароли с использованием общего секрета и алгоритма хеширования MD5. Поскольку эта конкретная реализация обеспечивает только слабую защиту учетных данных пользователя, для дальнейшей защиты трафика RADIUS между устройством NAS и RADIUS следует использовать дополнительную защиту, такую как туннели IPsec или физически защищенные сети центров обработки данных. сервер. Кроме того, учетные данные пользователя являются единственной частью, защищенной самим RADIUS, однако другие специфические для пользователя атрибуты, такие как идентификаторы туннельных групп или членство в vlan, передаваемые через RADIUS, могут считаться конфиденциальными (полезными для злоумышленника) или частными (достаточными для идентификации индивидуального клиента). Протокол RadSec утверждает, что решает вышеупомянутые проблемы безопасности.
По мере того, как все больше клиентов коммутируемого доступа использовали NSFnet, запрос предложения был отправлен Merit Network в 1991 г., чтобы объединить свои различные проприетарные системы аутентификации, авторизации и учета. Среди первых респондентов была компания Livingston Enterprises, и ранняя версия RADIUS была написана после встречи. Ранний сервер RADIUS был установлен в операционной системе UNIX . Компания Livingston Enterprises была приобретена Lucent, и вместе с Merit были предприняты шаги для получения отраслевого признания RADIUS в качестве протокола. Обе компании предложили сервер RADIUS бесплатно. В 1997 году RADIUS был опубликован как RFC 2058 и RFC 2059, текущие версии - RFC 2865 и RFC 2866.
Исходный стандарт RADIUS указывал, что RADIUS является без сохранения состояния и должен работать по протоколу пользовательских дейтаграмм (UDP). Для аутентификации было предусмотрено, что RADIUS должен поддерживать протокол аутентификации паролей (PAP) и протокол аутентификации вызов-рукопожатие (CHAP) по протоколу точка-точка. Пароли скрываются путем взятия хэша MD5 пакета и общего секрета, а затем выполнения XOR этого хэша с паролем. Исходный RADIUS также предоставлял более 50 пар атрибутов или значений с возможностью для поставщиков настраивать свои собственные пары.
Выбор модели безопасности по этапам, а не сквозной -end encryption, означало, что если используются несколько прокси-серверов RADIUS, каждый сервер должен проверить, выполнить логику и передать все данные в запросе. Это предоставляет такие данные, как пароли и сертификаты, на каждом этапе. Серверы RADIUS также не имели возможности прекратить доступ к ресурсам после выдачи авторизации. Последующие стандарты, такие как RFC 3576 и его преемник RFC 5176, позволяли серверам RADIUS динамически изменять авторизацию пользователей или полностью отключать пользователя.
Сейчас существует несколько коммерческих серверов RADIUS с открытым исходным кодом. Возможности могут различаться, но большинство из них может искать пользователей в текстовых файлах, LDAP серверах, различных базах данных и т. Д. Учетные записи могут быть записаны в текстовые файлы, различные базы данных, пересылаться на внешние серверы и т.>SNMP часто используется для удаленного мониторинга и проверки активности сервера RADIUS. Прокси-серверы RADIUS используются для централизованного администрирования и могут на лету перезаписывать пакеты RADIUS по соображениям безопасности или для преобразования между диалектами поставщика.
Протокол Diameter был предназначен для замены RADIUS. Хотя оба являются протоколами аутентификации, авторизации и учета (AAA), с тех пор варианты использования этих двух протоколов разошлись. Диаметр в основном используется в пространстве 3G. RADIUS используется в другом месте. Одним из самых серьезных препятствий к замене RADIUS на Diameter является то, что переключает и точки доступа обычно реализуют RADIUS, но не Diameter. Diameter использует SCTP или TCP, тогда как RADIUS обычно использует UDP в качестве транспортного уровня. С 2012 года RADIUS также может использовать TCP в качестве транспортного уровня с TLS для безопасности.
Протокол RADIUS в настоящее время определен в следующих документах IETF RFC.
| RFC | Название | Дата публикации | Статья по теме | Связанные RFC | Примечания |
|---|---|---|---|---|---|
| RFC 2058 | Служба удаленной аутентификации для пользователей с набором номера (RADIUS) | январь 1997 г. | RADIUS | Отменено RFC 2138 | |
| RFC 2059 | RADIUS Accounting | Январь 1997 г. | RADIUS | Отменено в соответствии с RFC 2139 | |
| RFC 2138 | Служба удаленной аутентификации пользователей с набором номера (RADIUS) | апрель 1997 г. | RADIUS | Отменено RFC 2865 | |
| RFC 2139 | RADIUS Accounting | апрель 1997 г. | RADIUS | Устарело в соответствии с RFC 2866 | |
| RFC 2548 | Атрибуты RADIUS, зависящие от поставщика Microsoft | Март 1999 г. | RADIUS | ||
| RFC 2607 | Создание цепочки прокси и реализация политики в роуминге | июнь 1999 г. | |||
| RFC 2618 | MIB клиента аутентификации RADIUS | База информации управления | Устарело в соответствии с RFC 4668 | ||
| RFC 2619 | MIB сервера аутентификации RADIUS | База управляющей информации | Устарела в соответствии с RFC 4669 | ||
| RFC 2620 | RAD MIB клиента учета IUS | июнь 1999 г. | База управленческой информации | Устарела в соответствии с RFC 4670 | |
| RFC 2621 | MIB сервера учета RADIUS | июнь 1999 г. | База управляющей информации | Устарела в соответствии с RFC 4671 | |
| RFC 2809 | Реализация L2TP принудительного туннелирования через RADIUS | апрель 2000 г. | |||
| RFC 2865 | Служба удаленной аутентификации для пользователей с набором номера (RADIUS) | июнь 2000 г. | RADIUS | Обновлено в соответствии с RFC 2868, RFC 3575, RFC 5080 | Этот стандарт описывает аутентификацию и авторизацию RADIUS между сервером доступа к сети (NAS) и общим сервером аутентификации RADIUS. Этот протокол также используется для передачи информации о конфигурации с сервера RADIUS на NAS. |
| RFC 2866 | Учет RADIUS | июнь 2000 г. | RADIUS | Этот стандарт описывает, как учетная информация переносится с NAS на общий учетный сервер RADIUS. | |
| RFC 2867 | Модификации учета RADIUS для поддержки туннельного протокола | июнь 2000 г. | RADIUS | Обновления RFC 2866 | |
| RFC 2868 | Атрибуты RADIUS для поддержки туннельного протокола | июнь 2000 г. | Обновления RFC 2865 | ||
| RFC 2869 | Расширения RADIUS | июнь 2000 г. | Обновлено RFC 3579, RFC 5080 | ||
| RFC 2882 | Требования к серверам доступа к сети: расширенная практика RADIUS | июль 2000 | |||
| RFC 3162 | RADIUS и IPv6 | Август 2001 | |||
| RFC 3575 | Соображения IANA для RADIUS | Июль 2003 г. | |||
| RFC 3576 | Расширения динамической авторизации для RADIUS | Июль 2003 г. | Устранено RFC 5176 | ||
| RFC 3579 | Поддержка RADIUS для EAP | сентябрь 2003 г. | Extensible Authentication Protocol | Обновления RFC 2869 | |
| RFC 3580 | IEEE 802.1X Рекомендации по использованию RADIUS | сентябрь 2003 г. | 802.1X | ||
| RFC 4014 | Подопция атрибутов RADIUS для параметра информации агента ретрансляции DHCP | февраль 2005 г. | |||
| RFC 43 72 | Платная идентификация пользователя | Январь 2006 г. | |||
| RFC 4590 | Расширение RADIUS для дайджест-аутентификации | июль 2006 г. | Отменено RFC 5090 | ||
| RFC 4668 | MIB клиента аутентификации RADIUS для IPv6 | август 2006 г. | База управляющей информации | ||
| RFC 4669 | MIB сервера аутентификации RADIUS для IPv6 | Август 2006 г. | Управление информационная база | ||
| RFC 4670 | MIB клиента учета RADIUS для IPv6 | август 2006 г. | База данных управления | ||
| RFC 4671 | MIB сервера учета RADIUS для IPv6 | Август 2006 г. | База управленческой информации | ||
| RFC 4675 | Атрибуты RADIUS для виртуальной LAN и приоритетной поддержки | Сентябрь 2006 г. | |||
| RFC 4679 | Атрибуты RADIUS, зависящие от поставщика DSL Forum | Сентябрь 2006 г. | |||
| RFC 4818 | Атрибут делегированного IPv6-префикса RADIUS | Апрель 2007 г. | |||
| RFC 4849 | Атрибут правила фильтра RADIUS | апрель 2007 г. | |||
| RFC 5080 | Общие проблемы реализации RADIUS и предлагаемые исправления | декабрь 2007 г. | Обновления RFC 3579 | ||
| RFC 5090 | Расширение RADIUS для дайджест-аутентификации | Февраль 2008 г. | |||
| RFC 5176 | Расширения динамической авторизации для RADIUS | Январь 2008 | |||
| RFC 5607 | Авторизация RADIUS для управления NAS | июль 2009 г. | |||
| RFC 5997 | Использование пакетов сервера состояния в протоколе RADIUS | август 2010 г. | Обновления RFC 2866 | ||
| RFC 6158 | Рекомендации по проектированию RADIUS | март 2011 г. | |||
| RFC 6218 | Атрибуты RADIUS, специфичные для поставщика Cisco, для доставки ключевого материала | апрель 2011 | |||
| RFC 6421 | Требования к крипто-гибкости для службы удаленной аутентификации пользователей с телефонным подключением (RADIUS) | ноябрь 2011 | |||
| RFC 6613 | RADIUS через TCP | май 2012 г. | экспериментальный | ||
| RFC 6614 | шифрование TLS для RADIUS | май 2012 г. | экспериментальный | ||
| RFC 6911 | атрибуты RADIUS для доступа IPv6 Сети | Апрель 2013 г. | Отслеживание стандартов | ||
| RFC 6929 | Служба удаленной аутентификации пользователей с телефонным подключением (RADI США) Protocol Extensions | Апрель 2013 г. | Обновления RFC 2865, RFC 3575, RFC 6158 | ||
| RFC 7360 | Транспортный уровень дейтаграмм Безопасность (DTLS) как транспортный уровень для RADIUS | сентябрь 2014 г. | Экспериментальный | ||
| RFC 7585 | Динамическое обнаружение одноранговых узлов для RADIUS / TLS и RADIUS / DTLS на основе идентификатора доступа к сети (NAI) | Октябрь 2015 г. | Экспериментальные | ||
| RFC 8044 | Типы данных в RADIUS | Январь 2017 г. | Обновления: 2865, 3162, 4072, 6158, 6572, 7268 |
