Un server AAA si riferisce al processo di autenticazione, autorizzazione e contabilità utilizzato dal protocollo di rete RADIUS (Remote Authentication Dial In User Services). RADIUS consente a utenti o computer remoti di accedere a un server di rete computerizzato. Quando il processo del server AAA non è richiesto, un server viene chiamato “aperto” o “anonimo”. Il protocollo server RADIUS e AAA viene solitamente utilizzato dai provider di servizi Internet (ISP) per identificare e fatturare i propri clienti. Viene anche utilizzato dalle aziende per identificare e consentire l’accesso alla rete ai propri dipendenti quando lavorano da una postazione remota.
Quando un utente invia una richiesta di accesso a un server di rete da una postazione remota, deve identificarsi con il server. La richiesta è solitamente composta da “credenziali”, che di solito assumono la forma di nome utente e password o passphrase. La richiesta invia anche informazioni come un numero di telefono dial-up o un indirizzo di rete per la rete per verificare l’identità dell’utente. La rete controlla le informazioni dell’utente rispetto al proprio database.
Una volta verificata l’identità dell’utente, la rete restituisce una risposta di “accesso rifiutato”, “accesso negato” o “accesso accettato”. Se l’accesso viene rifiutato, all’utente viene totalmente negato l’accesso alla rete, solitamente a causa di credenziali non confermate o non valide. Se l’accesso viene contestato, la rete richiederà ulteriori informazioni per verificare l’utente. Di solito, ciò si verifica nelle reti con un livello di sicurezza più elevato. Se l’accesso viene accettato, l’utente viene autenticato e gli viene concesso l’accesso alla rete.
Una volta autenticato, il server verificherà se l’utente è autorizzato ad accedere per utilizzare i particolari programmi o pagine che l’utente richiede di utilizzare. Alcuni utenti potranno accedere ad alcune parti del server ma non saranno autorizzati ad utilizzarne altre.
Il processo finale nel protocollo del server AAA è la contabilità. Quando a un utente viene concesso l’accesso al server di una rete, viene trasmesso al server un segnale di “inizio contabilità”. Mentre l’utente è in rete, i segnali di accesso provvisorio possono essere inviati al server di rete per gli aggiornamenti sulla sessione dell’utente. Quando l’utente chiude il proprio accesso alla rete, viene trasmesso e registrato in rete un segnale di “arresto contabile”, che fornisce informazioni sull’ora, i dati trasferiti e altre informazioni relative all’accesso dell’utente. Questi dati vengono inviati in modo che l’utente possa essere addebitato per il suo utilizzo, ma possono anche essere utilizzati per scopi di sicurezza, monitoraggio o raccolta di statistiche.