📄 rfc2869.txt
字号:
CHAP-Password -> <- RADIUS Access-Reject <- PPP LCP Terminate (User Disconnected) 如果NAS不支持EAP,而需要对用户使用EAP认证,会话过程如下:Authenticating Peer NAS RADIUS Server------------------- --- ------------- <- PPP LCP Request-CHAP AuthPPP LCP ACK-CHAPauth -> <- PPP CHAP ChallengePPP CHAP Response -> RADIUS Access-Request/ User-Name, CHAP-Password -> <- RADIUS Access-Reject <- PPP LCP Terminate (User Disconnected)选择使用 目前,由于没有标准化,后端安全服务器和RADIUS服务器之间的会话是私有的。为了提高标准化程度,也为了提供RADIUS供应商和后端安全提供商之间的互通性,建议会话将EAP报文封装在RADIUS内。这样作的好处是RADIUS服务器为了支持EAP,不需要与具体某种特定认证有关的代码,与具体某种特定认证有关的代码可以潴留在后端安全服务器上。如果RADIUS服务器和后端安全服务器之间的会话使用RAIUS封装的EAP报文,那么后端安全服务器通常会返回一个Access-Accept/EAP-Success报文,报文中不需要包含当前Access-Accept中返回的属性。这意外着RADIUS服务器在向NAS发送Access-Accept/EAP-Success报文之前,必须添加这些属性。报文格式报文格式同RFC 2865和RFC 2866中描述的完全相同。报文类型报文类型同RFC 2865和RFC 2866中描述的完全相同。参见下面的“属性表”来确定什么报文类型可以包含此处定义的什么样的属性。属性 RADIUS属性携带着认证、授权和计费请求和响应的详细信息。某些属性可能被包含不止一次。这种效果是属性特有的,并且在每一个属性描述中指明。建议相同类型的属性保持顺序不变,而对于不同类型的属性其顺序则不必保持。以RADIUS报文的长度指明属性列表的末尾。属性格式的概述同RFC 2865描述的相同,但为了引用方便,此处又列出属性。按照从左至右的顺序传输各域。 0 1 2 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Type | Length | Value ... +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ Type Type域占一个字节。目前最新的RADIUS Type域值在最新的RFC 1994中分配。属性值192-223保留给实验用,值224-240保留给特别的实现用,值241-255保留不用。本规范涉及如下属性值: 1-39 (参照RFC 2865 [1], "RADIUS") 40-51 (参照 RFC 2866 [2], "RADIUS Accounting") 52 Acct-Input-Gigawords 53 Acct-Output-Gigawords 54 Unused 55 Event-Timestamp 56-59 Unused 60-63 (参照 RFC 2865 [1], "RADIUS") 64-67 (参照 RFC 2868) 68 (参照 RFC 2867) 69 (参照 RFC 2868) 70 ARAP-Password 71 ARAP-Features 72 ARAP-Zone-Access 73 ARAP-Security 74 ARAP-Security-Data 75 Password-Retry 76 Prompt 77 Connect-Info 78 Configuration-Token 79 EAP-Message 80 Message-Authenticator 81-83 (参照 RFC 2868) 84 ARAP-Challenge-Response 85 Acct-Interim-Interval 86 (参照 RFC 2867) 87 NAS-Port-Id 88 Framed-Pool 89 Unused 90-91 (参照 RFC 2868) 92-191 Unused Length Length域占一个字节,指明了属性的长度,长度包括Type, Length 和Value域的总长度。如果接收到的报文中属性长度错误,那么整个请求报文都要被默默丢弃。 Value Value域占0个或多个字节,里边包含属性特有的消息。格式和长度由Type和Length域决定。 需要注意的是对RADIUS的类型,其Value域都不以NULL(十六进制00)结束。特别地,“文本”类型和“字符串”类型都不以NULL结束(十六进制00)。属性有一个长度域,不使用结束符。文本包含UTF-8编码的10646字符,而字符串包含8位的二进制数据。服务器和客户端必须能够处理报文中包含的null。利用C作为实现工具的RADIUS一定要注意不能使用strcpy()函数处理字符串。 value域的格式使用无种类型中的一种,需要注意的是“文本”是“字符串”的子集。text 长度为1-253个字节,包含UTF-8格式编码的10646字符。如果文本的长度为0,那么就忽略掉此属性,不被传递。String 1-253个字节,包含二进制数据(也包括十进制0-255)。如果值域长度为0,那忽略整个属性,不予传递。Address 32 位的无符号值,最重要的字节在前。Integer 32 位的无符号值,最重要的字节在前。Time 32 位的无符号值,最重要的字节在前 -- 从00:00:00 UTC, January 1, 1970以后的时间(以秒为单位)。 Acct-Input-Gigawords描述这个属性描述了自从提供服务以来,Acct-Input-Octets 计数器已经反转过 2^32 多少次,并且此属性只能出现在Accounting-Request记录中,其中Acct-Status-Type值为Stop或Interim-Update。 Acct-Input-Gigawords属性格式如下所述,从左至右传输各域。 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Type | Length | Value +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ Value (cont) | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ Type 52 for Acct-Input-Gigawords. Length 6 Value Value 域占4个字节。Acct-Output-Gigawords描述这个属性描述了自从传递服务以来,Acct-Output-Octets 计数器已经反转过 2^32 多少次,并且此属性只能出现在Accounting-Request记录中,其中Acct-Status-Type 值为 Stop 或 Interim-Update。 Acct-Output-Octets属性格式如下所述,从左至右传输各域。 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Type | Length | Value +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ Value (cont) | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ Type 53 for Acct-Output-Gigawords. Length 6 Value Value 域占4个字节。Event-Timestamp描述这个属性包含在Accounting-Request报文中,记录了事件在NAS上的发生时间,从January 1, 1970 00:00 UTC开始计算(以秒为单位)。 Event-Timestamp属性格式如下所述,从左至右传输各域。 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Type | Length | Value +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ Value (cont) | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ Type 55 for Event-Timestamp Length 6 Value Value 域占4个字节,将从January 1,1970 00:00 UTC开始计算的时间(以秒为单位)编码成一个无符号的整数。ARAP-Password描述这个属性只出现在Access-Request报文中,报文中包含一个ARAP的Framed-Protocol。在Access-Request报文中,只需出现User-Password、CHAP-Password或ARAP-Password中的一个,报文中也出现一个或多个EAP-Messages。 ARAP-Password属性格式如下所述,从左至右传输各域。 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Type | Length | Value1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Value2 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Value3 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Value4 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ Type 70 for ARAP-Password. Length⌨️ 快捷键说明
复制代码
Ctrl + C
搜索代码
Ctrl + F
全屏模式
F11
切换主题
Ctrl + Shift + D
显示快捷键
?
增大字号
Ctrl + =
减小字号
Ctrl + -