rfc2865[1] (1027731), страница 12
Текст из файла (страница 12)
Login-LAT-PortЭтот атрибут указывает порт, через который пользователь будет подключаться по протоколу LAT. Атрибут может передаваться впакетах Access-Accept, но только при указании протокола LAT в качестве Login-Service. Можно использовать атрибут в пакетахAccess-Request как рекомендацию для сервера, но сервер не обязан принимать такие рекомендации во внимание.Формат атрибута Login-LAT-Port показан ниже. Поля передаются слева направо.0120 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|Type|Length| String ...+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+Type = 63Length ≥ 3StringПоле String содержит по крайней мере один октет, идентифицирующий порт LAT, который будет использоваться дляподключения.
Архитектура LAT позволяет включать в строку символы $ (доллар), - (дефис), . (точка), _ (подчеркивание), числа,строчные м прописные буквы, а также символы расширенного набора ISO Latin-1 [11]. При сравнении строк LAT прописные истрочные буквы не различаются.5.44. Таблица атрибутовВ таблице приведен список атрибутов с указанием типа пакетов, в которые каждый атрибут может быть включен и допустимогочисла экземпляров атрибута в пакете.RequestAcceptRejectChallenge#Attribute0-10-1001User-Name0-10002User-Password 160-10003CHAP-Password 160-10004NAS-IP-Address 170-10005NAS-Port0-10-1006Service-Type0-10-1007Framed-Protocol0-10-1008Framed-IP-Address0-10-1009Framed-IP-Netmask00-10010Framed-Routing00+0011Filter-Id0-10-10012Framed-MTU0+0+0013Framed-Compression0+0+0014Login-IP-Host16Пакет Access-Request должен включать атрибут User-Password, CHAP-Password или State.
Недопустимо одновременноевключение в пакеты Access-Request атрибутов User-Password и CHAP-Password. Если в будущем появятся новые типыаутентификации для использования в пакетах Access-Request, соответствующие атрибуты будут применяться взамен UserPassword или CHAP-Password.17Пакеты Access-Request должны включать по крайней мере один из атрибутов NAS-IP-Address и NAS-Identifier.www.bilim.com25www.protocols.ruРазумные сети от компании BiLiM SystemsRequestAcceptПеревод RFC 2865RejectChallenge#Attribute00-10015Login-Service00-10016Login-TCP-Port00+0+0+18Reply-Message0-10-10019Callback-Number00-10020Callback-Id00+0022Framed-Route00-10023Framed-IPX-Network0-10-10-1024State 1800+0025Class0+000+26Vendor-Specific00-100-127Session-Timeout00-100-128Idle-Timeout00-10029Termination-Action0-100010Called-Station-Id0-100031Calling-Station-Id0-100032NAS-Identifier 190+0+0+0+33Proxy-State0-10-10034Login-LAT-Service0-10-10035Login-LAT-Node0-10-10036Login-LAT-Group00-10037Framed-AppleTalk-Link00+0038Framed-AppleTalk-Network00-10039Framed-AppleTalk-Zone0-100060CHAP-Challenge0-100061NAS-Port-Type0-10-10062Port-Limit0-10-10063 Login-LAT-PortПриведенные для каждого типа пакетов количественные значения имеют следующий смысл.0недопустимо включение данного атрибута в пакеты этого типа;0+ атрибут является необязательным и может присутствовать в нескольких экземплярах;0-1 необязательный атрибут, который может присутствовать в единственном экземпляре;1обязательный атрибут, который должен присутствовать в единственном экземпляре;6.
Согласование с IANAВ этом разделе содержатся рекомендации по регистрации в IANA (Internet Assigned Numbers Authority) значения, связанных спротоколом RADIUS, как это указано в документе BCP 26 [13].существует три области имен RADIUS, требующие регистрации: коды типа пакетов (Packet Type Code), типы атрибутов (AttributeType) и, в отдельных случаях, значения атрибутов (Attribute Value).Протокол RADIUS не предназначен для использования в качестве протокола управления общего назначения для серверов NAS(Network Access Server) и выделение значений не должно осуществляться для целей, отличных от AAA (Authentication,Authorization, Accounting – идентификация, проверка полномочий, учет).6.1. Определения терминовBCP 26 содержит определения используемых здесь терминов "name space" (пространство имен), "assigned value" (присвоенноезначение), "registration" (регистрация).BCP 26 содержит определения используемых здесь правил: "Private Use" (приватное использование), "First Come First Served"(первым пришел – первого обслужили), "Expert Review" (требуется одобрение экспертов), "Specification Required" (требуетсяспецификация), "IETF Consensus" (согласие IETF), "Standards Action" (значения присваиваются только для RFC, одобренныхIESG).18Пакет Access-Request должен включать атрибут User-Password, CHAP-Password или State.
Недопустимо одновременноевключение в пакеты Access-Request атрибутов User-Password и CHAP-Password. Если в будущем появятся новые типыаутентификации для использования в пакетах Access-Request, соответствующие атрибуты будут применяться взамен UserPassword или CHAP-Password.19Пакеты Access-Request должны включать по крайней мере один из атрибутов NAS-IP-Address и NAS-Identifier.www.bilim.com26www.protocols.ruПеревод RFC 2865Разумные сети от компании BiLiM Systems6.2. Рекомендуемая политика регистрацииДля регистрационных запросов, которые требуют экспертизы (Designated Expert), экспертов назначает IESG Area Director forOperations.Для регистрационных запросов, требующих обзора экспертов (Expert Review), следует обращаться к списку рассылки ietf-radius.Коды типа пакетов (Packet Type Code) имеют значения в диапазоне от 1 до 254, из которого значения 1 – 5, 11 - 13 ужеиспользованы.
Поскольку новые типы пакетов будут оказывать влияние на взаимодействие реализаций, выделение новых типоврассматривается как Standards Action. Для новых типов следует использовать коды, начиная с 14.Идентификаторы типа атрибутов имеют значения в диапазоне от 1 до 255. Для протокола RADIUS такое количествоидентификаторов достаточно мало, поэтому их распределение требует внимания. Значения 1 – 53, 55, 60 – 88, 90 - 91 ужераспределены, при этом атрибуты 17 и 21 доступны для повторного использования.
Для выделения значений 17, 21, 54, 56 - 59, 89,92 - 191 требуется уровень Expert Review вкупе со Specification Required. Выделение блоков значения (более 3) требуетсогласования с IETF (IETF Consensus). Рекомендуется использовать значения 17 и 21 лишь после того, как будут распределены вседругие значения.Отметим, что протокол RADIUS определяет механизм расширений Vendor-Specific (атрибут 26) и следует по возможностипользоваться этим расширением вместо выделения новых глобальных типов, если атрибут связан с реализациями RADIUS одногопроизводителя и для его использования не требуется интероперабельности с другими реализациями.Как было отмечено выше в разделе "Атрибуты":"[Type] Значения 192-223 предназначены для экспериментальных целей, значения 224-240 зарезервированы для разработчиков(специфические для реализации типы), а значения 241-255 являются резервными и не должны использоваться.."Следовательно, атрибуты 192-240 рассматриваются как приватные (Private Use), а значения 241-255 требуют Standards Action.Некоторые атрибуты (например, NAS-Port-Type) протокола RADIUS определяют список значений, которые могут иметь разныйсмысл.
Для каждого из таких атрибутов возможны 4 миллиарда (232) значений. Добавление в такие списки новых значенийосуществляется по принципу First Come, First Served 20 в понимании IANA.7. ПримерыНиже представлено несколько примеров пакетов, содержащих достаточно типичные варианты атрибутов. Список примеров неявляется исчерпывающим – можно найти множество других вариантов.
Шестнадцатеричные дампы пакетов приводятся сиспользованием сетевого порядка следования байтов для разделяемого ключа xyzzy5461.7.1. Telnet-доступ к заданному хостуСервер NAS с адресом 192.168.1.16 передает пакет UDP типа Access-Request серверу RADIUS для пользователя с именем nemo,подключающегося через порт 3 с паролем arctangent.Поле Request Authenticator (16 октетов) содержит случайное значение, созданное NAS.Поле User-Password является результатом применения операции XOR по отношению к 16-октетному паролю (может бытьдополнен нулями до 16 октетов) и MD5(shared secret|Request Authenticator).01 00 00 38 0f98 f4 22 7a 0193 d4 13 ce 3101 10 05 06 001 Code = Access-Request (1)400696003f6ee40094 73 97 80 57 bd 83 d5 cb65 6d 6f 02 12 0d be 70 8d3f 78 2a 0a ee 04 06 c0 a8031 ID = 02 Length = 5616 Request AuthenticatorАтрибуты:6 User-Name = "nemo"18 User-Password6 NAS-IP-Address = 192.168.1.166 NAS-Port = 3Сервер RADIUS проверяет пользователя nemo и передает пакет UDP типа Access-Accept серверу NAS, позволяющий клиентуnemo доступ по протоколу telnet к хосту 192.168.1.3.Поле Response Authenticator содержит 16-октетную контрольную сумму MD5 полей code (2), id (0), Length (38), поля RequestAuthenticator из предыдущего пакета, атрибутов отклика и разделяемого ключа.02 00 00 26 86 fe 22 0e 76 24 ba 2a 10 05 f6 bf9b 55 e0 b2 06 06 00 00 00 01 0f 06 00 00 00 000e 06 c0 a8 01 031 Code = Access-Accept (2)1 ID = 0 (тот же самый, что в пакете Access-Request)2 Length = 3816 Response Authenticator20Т.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
