Remote Authentication Dial-In User Service (RADIUS) ist ein Client- Server-basiertes Sicherheitsprotokoll zur Authentifizierung und zur Kontrolle der Netzzugriffsberechtigung. Radius arbeitet mit dem Challenge-Response-Verfahren und unterstützt die zentrale Administration von Benutzerdaten wie Benutzerkennung, Passwörter, Rufnummern, Zugriffsrechte und auch Account- Daten und besteht aus einem Accounting- und Authentifizierungsprotokoll.
Das Radius- Protokoll kann auf Unix- und Windows- NT-Servern aufsetzen und stellt einem oder mehreren Remote Access Servern ( RAS) die gewünschten Authentifizierungsdaten auf Anfrage zur Verfügung, wobei Radius die Datenbank des Authentifikations- Servers nach einem entsprechenden Eintrag untersucht und bei positiver Überprüfung des Nutzerprofils eine Bestätigungsmeldung an den RAS-Server sendet.
Beim Radius-Protokoll sendet der Access Server einen Access Request an den Radius-Server und fragt damit nach der Authentifizierung des Benutzers. Der Response des Radius-Servers erfolgt mittels Access Challenge, mit dem die Authentifizierung von weiteren Informationen abhängig gemacht werden kann. Mit dem Access Accept gibt der Radius-Server dem Access Server die Authentifizierung des Benutzers. Dieses Datenpaket enthält das Benutzerprofil in dem das benutzerspezifische Authentication, Authorization, and Accounting ( AAA) definiert ist. Bei der Radius- Kommunikation wird lediglich das Passwort des bei der Kommunikation zwischen Radius-Client und -Server verschlüsselt. Alle anderen Informationen werden in Klartext übertragen.
Das Radius-Protokoll basiert auf dem verbindungslosen UDP-Protokoll, wohingegen TACACs+ auf dem verbindungsorientierten TCP-Protokoll aufsetzt. Das hat den Nachteil, dass beim Radius-Protokoll Übertragungsfehler wie Paketverluste oder das Überschreiten von Zeitbegrenzungen erkannt und behoben werden müssen. Beschrieben ist das Radius-Protokoll in den RFCs 2058, 2059, 2865 und 4004 beschrieben.