📄 中文rfc2865.txt
字号:
组织:中国互动出版网(http://www.china-pub.com/)
RFC文档中文翻译计划(http://www.china-pub.com/compters/emook/aboutemook.htm)
E-mail:Emook@china-pub.com
( 会员名:oscian oscian@yeah.com oscian@163.com )
译文发布时间:2002-6-21
版权:本中文翻译文档版权归中国互动出版网所有。可以用于非商业用途自由转载,但必须保留本文档的翻译及版权信息。
Network Working Group R. Droms
Request for Comments: 2242 Bucknell University
Category: Standards Track K. Fong
Novell
November 1997
远程拨入用户认证服务(RADIUS)
(Remote Authentication Dial In User Service (RADIUS))
写在翻译文档前的说明
本翻译文档中的所有“字节”都指的是八位二进制数。
本文档用到英文缩略语的中文说明
NAS 网络接入服务器
UTC 通用协调时间
本备忘录的状态
本文档讲述了一种Internet社区的Internet标准跟踪协议,它需要进一步进行讨论和建
议以得到改进。请参考最新版的“Internet正式协议标准” (STD1)来获得本协议的标准化程度和状态。本备忘录的发布不受任何限制。
版权声明
Copyright (C) The Internet Society (2000) 。
IESG提示
这个协议被广泛的实现和使用。试验已经证明在一个大规模的系统中使用时,它会降低性能和丢失数据,部分的原因是它没有提供阻塞控制的协议,这篇文档的阅读者或许会发现跟踪Internet工程任务组AAA工程小组得工程进程师有意义的,因为他们可能开发一种能更好的应用于大范围和阻塞控制情况的后续协议。
摘要
本文档描述了一种在希望对它的连接进行认证的网络接入服务器与共享认证服务器之间传送认证、授权和配置信息的一种协议。
应用提示
这篇备忘录说明的是RADIUS协议。早期的RADIUS配置是使用UDP端口,端口号是1645,它是与数据量度(datametrics)服务冲突。RADIUS正式分配的端口号是1812。
目录
写在翻译文档前的说明 1
本文档用到英文缩略语的中文说明 1
本备忘录的状态 1
IESG提示 1
摘要 1
应用提示 2
目录 2
内容 4
1. 介绍 4
1.1要求术语的说明 5
1.2 术语 5
2. 运行 5
2.1盘问/响应 6
2.2 用不加密验证和加密验证配合动作 7
2.3 代理 7
2.4 为什么使用UDP 9
2.5 中继提示 10
2.6 保持激活状态应该考虑的损害 10
3. 包的格式 10
编码 11
标识符 11
长度 11
鉴别码 12
管理标记 12
4.数据包的类型 13
4.1 接入请求 13
4.2 接入允许 14
4.3 接入拒绝 15
4.4 接入盘问 16
5. 属性 17
5.1 用户名 20
5.2 用户密码 21
5.3 CHAP密码 22
5.4 网络接口服务器IP地址 23
5.5 NAS端口 24
5.6 服务类型 24
5.7 帧协议 26
5.8 IP地址配置 27
5.9 IP网络掩码配置 28
5.10路由方法配置 28
5.11 筛选器编号 29
5.12 MTU配置 30
5.13压缩协议配置 31
5.14 登录IP主机 32
5.15 登录服务 32
5.16 登录TCP端口 33
5.17 未分配 34
5.18 回复消息 34
5.19 回叫号码 35
5.20 回叫Id 36
5.21 未分配 37
5.22路由配置 37
5.23 IPX网络配置 38
5.24 状态 38
5.25 类别 39
5.26 供应商特性 40
5.27 会话超时 41
5.28 空闲超时 42
5.29 终止动作 43
5.30 拨出号码 44
5.31 呼叫站ID 45
5.32 NAS标识符 45
5.33 代理状态 46
5.34登录LAT服务 47
5.35 登录LAT节点 48
5.36 登录LAT组 49
5.37 配置AppleTalk连接 50
5.38 配置AppleTalk网络 51
5.39 配置AppleTalk区域 51
5.40 CHAP盘问 52
5.41 NAS端口类型 53
5.42 端口限制 54
5.43 登录LAT端口 55
5.44 属性表 56
6. IANA考虑 57
6.1 术语定义 57
6.2 推荐登记政策 58
7. 例子 58
7.1 用户远程登录到特定主机 58
7.2 用CHAP配置用户认证 59
7.3 拥有盘问响应插件的用户 61
8. 安全考虑 62
9. 更改记录 63
10. 参考资料 64
11. 致谢 65
12. 主席地址 65
13. 作者地址 65
14. 版权陈述 66
内容
1. 介绍
这篇文档废除了RFC2138[1]。这篇文档对RFC2138的修改可以在“更改记录(Chang Log)”附录中找到。
管理用户大量分散的串行线(serial line)或调制池(modem pools)用户会产生一种明显的管理支持需求。既然调制池(modem pools)已被解释为一种到达外部世界的连接,则他们需要在安全、授权和计费方面给予认真的关注,通过管理一个用户数据库,可以把这种关注良好的体现出来,此数据库兼顾了认证(验证用户名和密码)和配置信息细节——交付给用户的服务类型(如:串行线路接口协议(SLIP),端对端协议(PPP),远程连接的标准协议(Telnet),远程登录(rLogin))。
客户/服务模式(Client/Server)
网络接入服务器(Network Access Server)是作为RADIUS的客户端运作的。这个客户端负责将用户信息传递给指定的RADIUS服务器,并负责执行返回的响应。
RADIUS 服务器负责接收用户的连接请求,鉴别用户,并为客户端返回所有为用户提供服务所必须的配置信息。
一个RADIUS服务器可以为其他的RADIUS Server或其他种类认证服务器担当代理。
网络安全 (Network Security)
客户端和RADIUS服务器之间的事务是通过使用一种从来不会在网上传输的共享机密进行鉴别的。另外,在客户端和RADIUS服务器之间的任何用户密码都是被加密后传输的,这是为了避免某些人在不安全的网络上监听获取用户密码的可能性。
灵活的认证机制 (Flexible Authentication Mechanisms)
RADIUS服务器能支持多种认证用户的方法。当用户提供了用户名和原始密码后,RADIUS服务器可以支持点对点的PAP认证(PPP PAP)、点对点的CHAP认证(PPP CHAP)、UNIX的登录操作(UNIX Login)、和其他认证机制。
扩展协议(Extensible Protocol)
所有事务由变长的属性、长度和值,这样的三元组组成。新属性的值可以在不中断已存在协议执行的前提下进行添加。
1.1要求术语的说明
本文中的关键字“必须”,“必须不”,“要求的”,“应该”,“不应该”,“会”,“不会”,“建议”,“或许”,“可选的”在这篇文档中的解释是和BCP 14 [2]中描述的意思是一样。而且不管它们是否为大写,它们所表述的意思都是一样的。
如果一项操作对它执行的协议不能满足一个或多个必须条件或满足了不可被满足的条件,则此项操作不会被执行。一项操作对它要执行的协议满足了所有“必须”,“必须不”,“应该”,“不应该”的必要条件,它被称为“无条件服从”;一项操作对它要执行的协议满足了所有“必须”,“必须不”必要条件,但没有完全达到“会”,“不会”条件,则被称为“有条件服从”。
一个不执行给定服务的网络接入服务器(Network Access Server)一定没有具备执行那项服务的RADIUS属性。例如,一个不能提供Apple Talk 远程接入协议(ARAP)服务的NAS服务器一定没有满足执行ARAP服务RADIUS属性。一个NAS 服务器一定会把一项在接入允许数据包中的不可实现的指定服务看作是收到了接入拒绝数据包。
1.2 术语
这篇文档将会常用到以下术语:
服务
网络接入服务器对拨号接入的用户提供的一种服务。例如,点对点传输,远程登录。
会话
每一个由NAS服务器提供的给拨号用户的服务由会话组成,它的起始被定义为服务首
次被提供的那点,会话结束被定义为服务结束的那一点。在NAS服务器支持的前提下,用户可以有多个并行或串行的会话。
简单丢弃
这意味着执行操作没有做进一步处理的能力,只是将数据包简单的丢弃。该执行应该提
供记录错误的能力,如丢弃包的内容;并在统计处记录下该事件。
2. 运行
在一个客户端被设置使用RADIUS协议后,任何使用这个终端的用户都需要向这个客户端提供认证信息。此信息或许以一种定制化的提示信息出现,用户需要输入他们的用户名和密码。或许也可以选择一种配置连接协议,比如像点对点的传输协议(Point-to-Point Protocol),通过认证包来传递这种认证信息。
⌨️ 快捷键说明
复制代码
Ctrl + C
搜索代码
Ctrl + F
全屏模式
F11
切换主题
Ctrl + Shift + D
显示快捷键
?
增大字号
Ctrl + =
减小字号
Ctrl + -