rfc2865[1] (1027731), страница 3
Текст из файла (страница 3)
Новые атрибуты могутдобавляться без нарушения работы существующих реализаций протокола.1.1. Спецификация уровня требованийКлючевые слова необходимо (MUST), недопустимо (MUST NOT), требуется (REQUIRED), нужно (SHALL), не нужно (SHALLNOT), следует (SHOULD), не следует (SHOULD NOT), рекомендуется (RECOMMENDED), возможно (MAY), необязательно(OPTIONAL) в данном документе должны интерпретироваться в соответствии с BCP 14 [2]. Значение этих слов не зависит отшрифтового выделения.Реализация протокола считается “несовместимой” со стандартом, если она не соответствует хотя бы одному из обязательных(необходимо, недопустимо) условий. Реализация, в которой выполняются все обязательные и желательные (следует, не следует)условия, считается “безусловно совместимой”, а реализации, в которых выполнены все обязательные условия, но не всежелательные, считаются “условно совместимыми”.Для серверов NAS, которые не поддерживают тот или иной сервис, недопустимо использование атрибутов RADIUS для такогосервиса.
Например, для сервера NAS, который не поддерживает ARAP недопустима реализация атрибутов RADIUS для ARAP.NAS должен MUST трактовать RADIUS Access-Accept (доступ разрешен) для недоступного сервиса как Access-Reject (доступзакрыт).1.2. ТерминологияНиже приведены определения некоторых терминов, часто встречающихся в документе:Service – сервис, служба, обслуживаниеСервер NAS обеспечивает сервис (например, PPP или Telnet) для подключающихся по коммутируемым линиям пользователей.Session – сессия, сеансКаждый тип сервиса, обеспечиваемого NAS пользователям, предоставляется в форме сеанса, начало которого определяетсямоментом предоставления первой услуги, а завершение – моментом выполнения последней услуги.
Пользователь можеторганизовать множество параллельных (одновременных) сеансов, если NAS поддерживает такой режим.Silently discard – отбрасывание без уведомленияОтбрасывание пакетов без дальнейшей обработки. Реализациям протокола следует обеспечивать возможность ведения журналаошибок, включающего содержимое отбрасываемых без уведомления пакетов.
Также следует поддерживать статистику (счетчики)таких событий.2. Работа протоколаКогда клиент настроен на использование RADIUS, каждый пользователь должен предоставить клиенту свою идентификационнуюинформацию. Это может выполняться в форме приглашения на вход в систему (login prompt), где пользователь должен ввестисвое регистрационное имя и пароль. Другим вариантом может быть использование канальных протоколов типа PPP 3, в которыхподдерживаются специальные пакеты идентификации для передачи сведений о пользователе.После того того, как клиент получит идентификационные данные пользователя, он может провести процесс идентификации сиспользованием RADIUS.
Для этого клиент создает пакет Access-Request 4, содержащий такие атрибуты, как регистрационное имяпользователя, пароль, идентификатор клиента и порта (Port ID), через который регистрируется в системе данный пользователь.При наличии пароля он кодируется с использованием алгоритма RSA MD5 [3].Пакет Access-Request передается серверу RADIUS через сеть. Если в течение продолжительного времени на запрос не будетполучено отклика, передача запроса повторяется несколько раз. Клиент может также пересылать запросы другим серверам в техслучаях, когда основной сервер не работает или недоступен. Дополнительные (альтернативные) серверы могут использоватьсяпосле некоторого числа неудачных попыток или в режиме кругового обхода известных серверов.
Алгоритмы повтора и переборасервером являются предметом специального исследования и не рассматриваются детально в этом документе.После получения клиентского запроса сервер RADIUS проверяет передавшего этот запрос клиента. Запросы от клиентов, длякоторых сервер RADIUS не имеет разделяемого ключа, должны отбрасываться без уведомления. Если проверка клиентазавершилась успешно, сервер RADIUS обращается к базе данных о пользователях для поиска указанного в запросе имени.Пользовательская запись в базе данных содержит список требований, которым пользователь должен удовлетворять для получениядоступа в сеть. К таким требованиям относится проверка пароля, но в базе данных может также указываться клиент (клиенты) ипорт (порты), через которые разрешен доступ пользователя.Attribute-Length-Value.
В последнее время для таких триплетов чаще используют обозначение TLV (Type-Length-Value – типразмер-значение). Прим. перев.3Point-to-Point Protocol.4Запрос доступа.www.bilim.com3www.protocols.ru2Разумные сети от компании BiLiM SystemsСервер RADIUS может делать запросы к другим серверам, выступая в таких случаях как клиент.Перевод RFC 2865Если в запросе Access-Request присутствует хотя бы один атрибут Proxy-State, такой атрибут должен без каких-либо измененийкопироваться в пакет отклика. Другие атрибуты могут до атрибутов Proxy-State, после них и даже между такими атрибутами.При невыполнении любого из условий сервер RADIUS передает отклик Access-Reject, показывающий некорректность данногопользовательского запроса. При желании сервер может включать в Access-Reject текстовое сообщение, которое можетпередаваться пользователю клиентом.
Никакие иные атрибуты (за исключением Proxy-State) не могут включаться в Access-Reject.Если все условия выполнены и сервер RADIUS хочет “задать пользователю дополнительные вопросы”, на которые последнийдолжен ответить, сервер RADIUS передает отклик Access-Challenge. Такой отклик может включать текстовое сообщение,выводимое клиентом для пользователя с приглашением ответить на вопросы сервера. Кроме того, отклик может включатьатрибут State.Если клиент получает отклик Access-Challenge и поддерживает режим challenge/response, он может вывести текстовое сообщение(если оно имеется в пакете отклика) для пользователя, чтобы получить от того отклик.
После этого клиент снова передаетпервоначальный запрос Access-Request с новым идентификатором (request ID), заменой атрибута User-Password на полученную отпользователя информацию (зашифрованную) и включением атрибута State из Access-Challenge (если этот атрибут присутствовал вотклике).
В запрос не следует включать более одного атрибута State. Сервер может передать в ответ на новый запрос AccessRequest отклик типа Access-Accept, Access-Reject или Access-Challenge.При выполнении всех условий в отклик Access-Accept включается список всех конфигурационных параметров для данногопользователя. К таким параметрам относятся тип сервиса (например, SLIP, PPP, Login User) и все требуемые для предоставленияэтого сервиса значения. Для протоколов SLIP и PPP могут включаться такие параметры, как адрес IP, маска подсети, MTU,желательность использования компрессии и идентификаторы желаемых фильтров.
Для терминальных пользователей этипараметры могут указывать желаемый протокол и хост.2.1. Режим Challenge/ResponseПри использовании режима challenge/response пользователю передается непредсказуемое число и ожидается возвратзашифрованного отклика на это число. У легитимных пользователей имеется специальное устройство (например, смарт-карта)или программа для вычисления корректного отклика. Пользователь, не имеющий нужного устройства или программы и незнающий секретного ключа, который позволит эмулировать устройство/программу, может лишь попытаться угадать правильныйотклик.Пакет Access-Challenge обычно содержит атрибут Reply-Message, включающий передаваемый пользователю запрос (challenge), вкачестве которого могут использоваться редко повторяющиеся числа. Обычно запрос получают от внешнего сервера, которомуизвестен тип идентификатора, доступного пользователю и который, следовательно, может выбрать случайное или редкоповторяющееся число с подходящим основанием и длиной.Пользователь вводит это число в свое устройство (или программу), вычисляющее отклик, которого ожидает сервер RADIUS вовтором запросе Access-Request.
Если полученное от пользователя значение соответствует ожидаемому, сервер RADIUSвозвращает отклик Access-Accept, а при несоответствии - Access-Reject.Пример: Сервер NAS передает серверу RADIUS пакет Access-Request с атрибутами NAS-Identifier, NAS-Port, User-Name, UserPassword (это может быть просто фиксированная строка типа challenge или пустое значение). Сервер возвращает пакет AccessChallenge с атрибутами State и Reply-Message (строка “Challenge 12345678, enter your response at the prompt5", которую NASпередает пользователю). NAS принимает введенное пользователем значение и передает серверу новый запрос Access-Request сновым идентификатором, атрибутами NAS-Identifier, NAS-Port, User-Name, User-Password (зашифрованный отклик отпользователя) и значение атрибута State из пакета Access-Challenge. Сервер в ответ шлет отклик Access-Accept или Access-Reject взависимости от результатов проверки введенного пользователем значения.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
