https://en.wikipedia.org/wiki/RADIUS
リモート認証ダイヤルイン ユーザー サービス (RADIUS) は、ネットワーク サービスに接続して使用するユーザーに集中的な認証、認可、アカウンティング (AAA) 管理を提供するネットワーキング プロトコルです。
RADIUS は、アプリケーション層で実行されるクライアント/サーバー プロトコルであり、TCP または UDP を使用できます。ネットワークへのアクセスを制御するネットワーク アクセス サーバーには、通常、RADIUS サーバーと通信する RADIUS クライアント コンポーネントが含まれています。RADIUS は、多くの場合、802.1X 認証のバックエンドとして選択されます。RADIUS サーバーは通常、UNIX または Microsoft Windows 上で実行されるバックグラウンド プロセスです。
認証と認可
ユーザーまたはマシンは、ネットワーク アクセス サーバー (NAS) にリクエストを送信し、アクセス資格情報を使用して特定のネットワーク リソースにアクセスします。資格情報は、リンク層プロトコル (多くのダイヤルアップまたは DSL プロバイダーの場合はポイントツーポイント プロトコル (PPP) など) を介して NAS デバイスに渡されるか、HTTPS セキュア Web フォームで送信されます。
次に、NAS は RADIUS サーバーに RADIUS アクセス要求メッセージを送信し、RADIUS プロトコル経由でアクセスを許可する許可を要求します。
このリクエストには、通常はユーザー名とパスワード、またはユーザーが提供するセキュリティ証明書の形式でアクセス資格情報が含まれます。さらに、要求には、ネットワーク アドレスや電話番号など、NAS がユーザーについて知っている他の情報や、ユーザーの NAS への物理的な接続点に関する情報が含まれる場合があります。
RADIUS サーバーは、PAP、CHAP、EAP などの認証スキームを使用して、情報が正しいことを確認します。ユーザーの身元証明は、オプションでユーザーのネットワーク アドレスや電話番号、アカウントのステータス、特定のネットワーク サービスのアクセス権限など、リクエストに関連する他の情報とともに検証されます。従来、RADIUS サーバーはローカルに保存されたフラット ファイル データベースと照合してユーザーの情報をチェックしていました。最新の RADIUS サーバーはこれを実行したり、外部ソース (通常は SQL、Kerberos、LDAP、または Active Directory サーバー) を参照してユーザーの資格情報を検証したりできます。

次に、RADIUS サーバーは 3 つの応答のいずれかを NAS に返します。
1) アクセス拒否、
2) アクセスチャレンジ、
3) アクセス - 承認。
アクセス拒否
ユーザーは、要求されたすべてのネットワーク リソースへのアクセスを無条件に拒否されます。理由には、身元証明の提出の失敗、不明または非アクティブなユーザー アカウントが含まれる場合があります。
アクセスチャレンジ
二次パスワード、PIN、トークン、カードなどの追加情報をユーザーに要求します。Access-Challenge は、アクセス資格情報が NAS から隠蔽される方法でユーザー マシンと Radius サーバーの間に安全なトンネルが確立される、より複雑な認証ダイアログでも使用されます。
アクセス許可
ユーザーにはアクセスが許可されます。ユーザーが認証されると、RADIUS サーバーは多くの場合、ユーザーが要求されたネットワーク サービスの使用を許可されているかどうかを確認します。たとえば、特定のユーザーが会社のワイヤレス ネットワークの使用を許可されても、その VPN サービスの使用は許可されない場合があります。繰り返しになりますが、この情報は RADIUS サーバーにローカルに保存されることも、LDAP や Active Directory などの外部ソースで検索されることもあります。