RADIUS เซิร์ฟเวอร์ ใช้แนวคิด AAA ในการจัดการการเข้าถึงเครือข่าย ในกระบวนการสองขั้นตอนดังต่อไปนี้, หรือที่เรียกว่า" การทำธุรกรรม AAA "AAA ย่อมาจาก " authentication, authorization and accounting" ลักษณะการตรวจสอบและอนุมัติใน RADIUS อธิบายไว้ใน RFC 2865 ในขณะที่การบัญชี อธิบายโดย RFC 2866

ตรวจสอบและอนุมัติ

ผู้ใช้หรืออุปกรณ์ส่งคำขอไปยังเซิร์ฟเวอร์การเข้าถึงระยะไกล (อังกฤษ: Remote Access Server) หรือ RAS เพื่อเข้าถึงทรัพยากรเครือข่ายเฉพาะอย่างโดยการใช้สิทธิการเข้าถึง. ข้อมูลประจำตัวจะถูกส่งผ่านไปยังอุปกรณ์ RAS ผ่านโพรโทคอลชั้นการเชื่อมโยง - ตัวอย่างเช่น Point-to-Point Protocol (PPP) ในกรณีของ หลาย dialup หรือผู้ให้บริการ DSL หรือการโพสต์ในแบบฟอร์มเว็บ HTTPS ที่ปลอดภัย

ในทางกลับกัน RAS ส่ง RADIUS Access Request message ไปยังเซิร์ฟเวอร์ RADIUS เพื่อขออนุญาตใช้สิทธิ์การเข้าถึงผ่านทางโปรโตคอล RADIUS.

คำขอนี้รวมถึงสิทธิการเข้าถึงที่มักจะอยู่ในรูปแบบของชื่อผู้ใช้และรหัสผ่านหรือใบรับรองความปลอดภัยของผู้ใช้ นอกจากนี้คำร้องขออาจมีข้อมูลอื่นๆที่ RAS รู้เกี่ยวกับผู้ใช้เช่นที่อยู่ เครือข่าย หรือหมายเลขโทรศัพท์ของตนและข้อมูลเกี่ยวกับจุดทางกายภาพของผู้ใช้ที่แนบกับ RAS

RADIUS เซิร์ฟเวอร์จะตรวจสอบว่าข้อมูลนั้นถูกต้องโดยใช้แผนการตรวจสอบ เช่น PAP, CHAP หรือ EAP. หลักฐานตัวบ่งชี้ประจำตัวของผู้ใช้ที่มีการยืนยัน พร้อมกับข้อมูลอื่นๆที่เกี่ยวข้องกับการ ร้องขอเช่นที่อยู่เครือข่ายของผู้ใช้หรือหมายเลขโทรศัพท์, สถานะบัญชี และ สิทธิ์การเข้าใช้ บริการที่เฉพาะเจาะจงของเครือข่าย ในอดีต, RADIUS เซิร์ฟเวอร์จะตรวจสอบข้อมูลของผู้ใช้เทียบกับฐานข้อมูลที่เก็บไว้ภายในไฟล์ RADIUS เซิร์ฟเวอร์ที่ทันสมัย​​สามารถทำเช่นนี้ หรือสามารถอ้างอิงไปยังแหล่งภายนอกโดยทั่วไปได้แก่ SQL, Kerberos, LDAP, หรือเซิร์ฟเวอร์ ไดเรกทอรีที่ใช้งานในการตรวจสอบสิทธิของผู้ใช้

จากนั้น RADIUS เซิร์ฟเวอร์จะตอบกลับไปยัง RAS หนึ่งในสามแบบนี้: 1) ปฏิเสธการเข้าถึง , 2) ท้าทายการเข้าถึง หรือ 3) ยอมรับการเข้าถึง

• Access Reject - ผู้ใช้ถูกปฏิเสธโดยไม่มีเงื่อนไขในการเข้าถึงทุกทรัพยากรเครือข่ายที่ร้องขอ เหตุผลอาจรวมถึงความล้มเหลวที่จะให้หลักฐานของตัวบ่งชี้ประจำตัวหรือบัญชีผู้ใช้ที่ไม่รู้จักหรือใช้งานไม่ได้
• Access Chalenge - ขอข้อมูลเพิ่มเติมจากผู้ใช้เช่นรหัสผ่านตัวที่สอง, PIN, โทเค็น หรือบัตร. การท้าทายการเข้าใช้งานยังใช้การโต้ตอบที่ซับซ้อนมากขึ้น ในที่ซึ่งอุโมงค์ที่มีความปลอดภัย ถูกสร้างขึ้นระหว่างเครื่องของผู้ใช้และเซิร์ฟเวอร์เรเดียสในทางที่สิทธฺิในการเข้าจะถูกซ่อนจาก RAS
• Access Accept - ผู้ใช้ได้รับอนุญาตให้เข้าใช้ เมื่อผู้ใช้ถูกรับรองความถูกต้อง RADIUS เซิร์ฟเวอร์มักจะตรวจสอบว่าผู้ใช้จะได้รับอนุญาตให้ใช้บริการเครือข่ายที่มีการร้องขอ ยกตัวอย่างเช่น ผู้ใช้อาจจะได้รับอนุญาตให้ใช้เครือข่ายไร้สายของบริษัทแต่ไม่ได้ให้ใช้บริการ VPN ของบริษัทด้วย อีกครั้ง ข้อมูลนี้อาจจะถูกเก็บไว้บนเซิร์ฟเวอร์ RADIUS หรืออาจจะถูก look up ในแหล่งข้อมูลภายนอกเช่น LDAP หรือไดเรกทอรีอื่น

ในแต่ละ response ของ RADIUS สามอย่างนี้ อาจรวมถึง Reply-Message attribute ซึ่งอาจ ให้เหตุผลประกอบการ Reject, หรือ prompt เพื่อ Challenge หรือข้อความต้อนรับ เมื่อ Accept ข้อความใน attribute สามารถถูกส่งผ่านไปยังหน้าเว็บของผู้ใช้

Authorization attributes จะถูกลำเลียงไปยัง RAS เพื่อกำหนดเงื่อนไขของการเข้าถึงที่ได้รับอนุมัติ ตัวอย่างเช่น

• ที่อยู่ IP เฉพาะจะถูกมอบหมายให้กับผู้ใช้
• ที่อยู่ IP pool ที่ผู้ใช้ควรเลือกใช้
• ระยะเวลาสูงสุดที่ผู้ใช้อาจจะยังคงเชื่อมต่อ
• รายการเข้าถึง, คิวลำดับความสำคัญ หรือ ข้อจำกัดอื่นๆในการเข้าถึงของผู้ใช้
• พารามิเตอร์ L2TP
• พารามิเตอร์ VLAN
• พารามิเตอร์ quality of service (QoS )