Tìm hiểu giao thức xác thực radius và radius server giao thức radius



tải về 1.66 Mb.
trang5/14
Chuyển đổi dữ liệu15.10.2022
Kích1.66 Mb.
#53568
1   2   3   4   5   6   7   8   9   ...   14
TÌM HIỂU GIAO THỨC XÁC THỰC RADIUS VÀ RADIUS SERVER

Access-challenge

Gói access-challenge được RADIUS server gửi đến user đòi hỏi thêm thông tin cần thiết mà user phải trả lời. Trường code của gói phải có giá trị 11. Gói có thể chứa 1 hoặc nhiều thuộc tính reply-message và có thể có 1 thuộc tính state. Các thuộc tính khác không được xuất hiện trong gói access-chanllenge. Trường indentifier của gói access-challenge phải trùng khớp với gói access-request tương ứng đã gửi đi trước đó và phải có trường xác nhận (authenticator field) phù hợp với thông tin bí mật dùng chung. Nếu NAS không được trang bị challenge/ response thì gói access-challenge nhận được sẽ coi như gói access-reject. Nếu NAS được trang bị chức năng challenge/ response và gói access-challenge nhận được là hợp lệ thì NAS sẽ hiển thị thông báo và yêu cầu user trả lời thông tin mà RADIUS server yêu cầu. Sau đó NAS sẽ gửi gói access-request gốc nhưng với danh hiệu yêu cầu (request ID) và xác nhận yêu cầu (request authenticator) mới, đồng thời thuộc tính user-password cũng được thay thế bởi thông tin trả lời của user (đã được mã hóa) và có thể bao gồm cả thuộc tính state từ gói access-challenge.

Hình 4‑5 Access-challenge packet format

  • Attributes (các thuộc tính)

Các thuộc tính của RADIUS, chứa trong các gói yêu cầu/ trả lời, mang thông tin xác thực quyền, phân quyền, cấu hình cần thiết để cấp phát các dịch vụ cho user. Giá trị các trường length của gói RADIUS sẽ qui định điểm kết thúc của các thuộc tính trong gói. Dạng của thuộc tính như sau:



Hình 4‑6 Attributes type

    • Type

Mỗi trường type là một octet, giá trị từ 192-223 là dành riêng cho nghiên cứu, giá trị từ 224-240 là dành cho việc thực hiện cụ thể, 241-255 là dành riêng và không nên sử dụng.
RADIUS server có thể bỏ qua các thuộc tính với một loại không rõ.
RADIUS client có thể bỏ qua các thuộc tính với một loại không rõ.
Điều này quan tâm đặc tả các giá trị sau:
1 User-Name
2 User-Password
3 CHAP-Password
4 NAS-IP-Address
5 NAS-Port
6 Service-Type
7 Framed-Protocol
8 Framed-IP-Address
9 Framed-IP-Netmask
10 Framed-Routing
11 Filter-Id
12 Framed-MTU
13 Framed-Compression
14 Login-IP-Host
15 Login-Service
16 Login-TCP-Port
17 (unassigned)
18 Reply-Message
19 Callback-Number
20 Callback-Id
21 (unassigned)
22 Framed-Route
23 Framed-IPX-Network
24 State
25 Class
26 Vendor-Specific
27 Session-Timeout
28 Idle-Timeout
29 Termination-Action
30 Called-Station-Id
31 Calling-Station-Id
32 NAS-Identifier
33 Proxy-State
34 Login-LAT-Service
35 Login-LAT-Node
36 Login-LAT-Group
37 Framed-AppleTalk-Link
38 Framed-AppleTalk-Network
39 Framed-AppleTalk-Zone
40-59 (reserved for accounting)
60 CHAP-Challenge
61 NAS-Port-Type
62 Port-Limit
63 Login-LAT-Port

    • Length (trường độ dài)

Biểu thị độ dài của thuộc tính cho các trường kiểu, length và value. Nếu thuộc tính trong gói access-request có trường độ dài không hợp lệ thì RADIUS server sẽ trả về gói access-reject. Nếu thuộc tính trong gói access-reject, access-accept, access-challenge có trường độ dài không hợp lệ thì NAS client sẽ xem như là gói access-reject hoặc là không xác nhận và trả lời.
1   2   3   4   5   6   7   8   9   ...   14



Cơ sở dữ liệu được bảo vệ bởi bản quyền ©hocday.com 2024
được sử dụng cho việc quản lý
    Quê hương
BÁO CÁO
Tài liệu