El servidor Radius utiliza WPA-Enterprise (WPA-802.1x/EAP)
WPA-enterprise permite realizar la autenticación con ayuda de un servidor RADIUS a través de protocolo 802.1X.
El Proceso de autenticación WPA-Radius, son 3 elementos que interviene que son:
1.- Cliente accede a la red
2.- AP realiza proceso de autenticación
3.- Servidor Autentica y mantiene un repositorio de usuarios
Al detalle seria
Primero el cliente desea ser autenticado, entonces envía la petición al punto de acceso. Luego el AP habilita un puerto para el cliente, en este puerto solo pueden viajar mensajes de autenticación en tramas de gestión. Los demás puertos son filtrados. El cliente envía su identidad al AP, luego el AP envía la identidad del cliente al servidor Radius mediante EAP, entonces el cliente y el servidor Radius establecen un dialogo mediante el protocolo EAP. Terminado el dialogo, el cliente y el servidor comparten una clave de sesión, luego el servidor Radius o servidor de autenticación envía la clave de sesión al AP o autenticador mediante el protocolo Radius. Y finalmente el AP habilita el puerto para la dirección MAC del cliente y adicionalmente establece una clave de encriptación con el solicitante.
Y analizando mi pregunta, creo que hay dos enfoques que se pueden tomar, una del lado del servidor Radius cuando realiza la autenticación que me parece que es transporte,(como dice uNbAs) y otra del lado del cliente que a mi parecer es la capa sesión, porque te pide que ingreses tu nombre de usuario y contraseña
Pues me gustaria que confirmen lo que pienso, xq tal vez sea erroneo.