RADIUS jest strażnikiem sieci. Mówi, kto może uzyskać dostęp do sieci i na jakich warunkach.
W bezprzewodowym punkcie dostępowym (AP) ustawiamy adres serwera, na którym znajdzie go serwer RADIUS. Następnie wpisujemy hasło zabezpieczające komunikację pomiędzy RADIUS Northa AP. Dzięki temu bezprzewodowy punkt dostępowy jest przedłużeniem serwera RADIUS.
Wyobraźmy sobie, że nowy klient chce dołączyć do sieci. Serwer RADIUS wysyła mu certyfikat za pośrednictwem ramki AP EAPOL. Gdy tylko nowy klient uzyska certyfikat, zostaje ustanowiony kanał SSL pomiędzy nowym klientem a serwerem RADIUS. Jest to normalny, standardowy kanał SSL, taki sam jak w przypadku HTTPS, FTPS lub IMAPS. Klient przesyła swoje imię i nazwisko oraz hasło (w gorszym przypadku) lub certyfikat (w lepszym przypadku). Serwer RADIUS sprawdza, czy nasza nazwa i hasło odpowiadają (np.) domenie Windows za pośrednictwem kontrolera domeny (kontrolera domeny). Jeśli pasuje, serwer RADIUS wysyła klucz szyfrujący AP przez sieć Ethernet tylko do punktu dostępowego i wysyła ten sam klucz szyfrujący do klienta za pośrednictwem utworzonego kanału SSL. Chociaż klucz leci w powietrzu, jest chroniony przez SSL. Ponieważ jest szyfrowany za pomocą protokołu SSL, nikt nie może go przechwycić, chyba że ma klucze prywatne (PK) certyfikatu serwera RADIUS, czego w rzeczywistości nie ma. Zarówno punkt dostępowy, jak i klient otrzymali klucze szyfrujące w bezpieczny sposób, dlatego nie można ich podsłuchać.
Marián Knězek