Tìm hiểu giao thức xác thực radius và radius server giao thức radius



tải về 1.66 Mb.
trang4/14
Chuyển đổi dữ liệu15.10.2022
Kích1.66 Mb.
#53568
1   2   3   4   5   6   7   8   9   ...   14
TÌM HIỂU GIAO THỨC XÁC THỰC RADIUS VÀ RADIUS SERVER

Administrative Note

Thông tin bí mật (chia sẽ password giữa client và RADIUS server) nên ít nhất là lớn và phứt tạp đó là cách lựa chọn mật khẩu tốt. Mức ưu tiên có thể chấp nhận được ít nhất là 16 octet. Điều này để đảm bảo phạm vi đủ lớn cho việc cung cấp các cơ chế bảo mật chống lại các cuộc tấn công tìm kiếm.

        1. Packet type (kiểu packet)


Packet type được xác định bởi code field chiếm byte đầu tiên của gói RADIUS.

  • Access-Request

Gói access-request được gửi tới RADIUS server. Nó chuyên chở thông tin dùng để xác định xem user có được phép truy cập vào NAS và các dịch vụ được chỉ định hay không. Code field của gói phải có giá trị 1. Gói access-request phải chứa các thuộc tính user-name, user-password hoặc CHAP-password, và có thể chứa các thuộc tính NAS-IP-Address, NAS-Indentifier, NAS-PORT, NAS-PORT-TYPE.
Trường indentifier phải được thay đổi khi nội dung của trường thuộc tính bị thay đổi khi nội dung của trường thuộc tính bị thay đổi hoặc là đã nhận được trả lời hợp lệ cho yêu cầu trước đó. Trong trường hợp phải gửi lại gói, trường indentifier không đượ thay đổi.

Hình 4‑2 Access-request Packet Format

  • Access-accept

Gói access-accept đưcọ gởi trả bởi RADIUS server khi tất cả các giá trị thuộc tính của gói access-request. Nó cung cấp thông tin cấu hình cần thiết để cấp phát các dịch vụ cho user. Trường code phải có giá trị 2. Gói access-accept nhận được ở NAS phải có trường danh hiệu trùng khớp với access-request tương ứng đã gởi trước đó và phải có xác nhận (response authenticator) phù hợp với thông tin bí mật dùng chung.

Hình 4‑3 Access-accept Packet Format

  • Access-reject

Gói access-reject được gởi trả từ RADIUS server khi có giá trị thuộc tính không được thỏa. Trường code của mã phải có giá trị 3. Gói có thể chứa 1 hoặc nhiều thuộc tính reply-message với một thông báo dạng văn bản mà NAS sẽ hiển thị nó với user. Trường indentifier của gói access-reject chính là bản sao của gói access-request tương ứng.

Hình 4‑4 Access-reject packet format
1   2   3   4   5   6   7   8   9   ...   14



Cơ sở dữ liệu được bảo vệ bởi bản quyền ©hocday.com 2024
được sử dụng cho việc quản lý
    Quê hương
BÁO CÁO
Tài liệu