RFC2865在用户服务中的远程身份验证拨号(RADIUS)(2)

3

RFC2865 NetWare/IP Domain Name and Information 远程拨入用户认证服务

5.41 NAS端口类型 ................................................................................................ 54 5.42 端口限制 ........................................................................................................ 55 5.43 登录LAT端口 ............................................................................................. 56 5.44 属性表 ............................................................................................................ 57 6. IANA考虑 .................................................................................................................. 58

6.1 术语定义 .......................................................................................................... 58 6.2 推荐登记政策 .................................................................................................. 58 7. 例子 ............................................................................................................................ 59

7.1 用户远程登录到特定主机 .............................................................................. 59 7.2 用CHAP配置用户认证 ................................................................................. 60 7.3 拥有盘问响应插件的用户 .............................................................................. 61 8. 安全考虑 .................................................................................................................... 63 9. 更改记录 .................................................................................................................... 64 10. 参考资料 .................................................................................................................. 64 11. 致谢 .......................................................................................................................... 65 12. 主席地址 .................................................................................................................. 65 13. 作者地址 .................................................................................................................. 66 14. 版权陈述 .................................................................................................................. 67

内容 1. 介绍

这篇文档废除了RFC2138[1]。这篇文档对RFC2138的修改可以在“更改记录（Chang Log）”附录中找到。

管理用户大量分散的串行线（serial line）或调制池（modem pools）用户会产生一种明显的管理支持需求。既然调制池（modem pools）已被解释为一种到达外部世界的连接，则他们需要在安全、授权和计费方面给予认真的关注，通过管理一个用户数据库，可以把这种关注良好的体现出来，此数据库兼顾了认证（验证用户名和密码）和配置信息细节——交付给用户的服务类型(如：串行线路接口协议（SLIP），端对端协议（PPP），远程连接的标准协议（Telnet），远程登录（rLogin）)。

客户/服务模式(Client/Server)

网络接入服务器（Network Access Server）是作为RADIUS的客户端运作的。这个客户端负责将用户信息传递给指定的RADIUS服务器，并负责执行返回的响应。 RADIUS 服务器负责接收用户的连接请求，鉴别用户，并为客户端返回所有为用户提供服务所必须的配置信息。

一个RADIUS服务器可以为其他的RADIUS Server或其他种类认证服务器担当代理。 网络安全 (Network Security)

客户端和RADIUS服务器之间的事务是通过使用一种从来不会在网上传输的共享机密进行鉴别的。另外，在客户端和RADIUS服务器之间的任何用户密码都是被加密后传输的，

4

RFC2865 NetWare/IP Domain Name and Information 远程拨入用户认证服务

这是为了避免某些人在不安全的网络上监听获取用户密码的可能性。 灵活的认证机制 (Flexible Authentication Mechanisms)

RADIUS服务器能支持多种认证用户的方法。当用户提供了用户名和原始密码后，RADIUS服务器可以支持点对点的PAP认证（PPP PAP）、点对点的CHAP认证（PPP CHAP）、UNIX的登录操作（UNIX Login）、和其他认证机制。

扩展协议(Extensible Protocol）

所有事务由变长的属性、长度和值，这样的三元组组成。新属性的值可以在不中断已存在协议执行的前提下进行添加。

1.1要求术语的说明

本文中的关键字“必须”，“必须不”，“要求的”，“应该”，“不应该”，“会”，“不会”，“建议”，“或许”，“可选的”在这篇文档中的解释是和BCP 14 [2]中描述的意思是一样。而且不管它们是否为大写，它们所表述的意思都是一样的。

如果一项操作对它执行的协议不能满足一个或多个必须条件或满足了不可被满足的条件，则此项操作不会被执行。一项操作对它要执行的协议满足了所有“必须”，“必须不”，“应该”，“不应该”的必要条件，它被称为“无条件服从”；一项操作对它要执行的协议满足了所有“必须”，“必须不”必要条件，但没有完全达到“会”，“不会”条件，则被称为“有条件服从”。

一个不执行给定服务的网络接入服务器（Network Access Server）一定没有具备执行那项服务的RADIUS属性。例如，一个不能提供Apple Talk 远程接入协议（ARAP）服务的NAS服务器一定没有满足执行ARAP服务RADIUS属性。一个NAS 服务器一定会把一项在接入允许数据包中的不可实现的指定服务看作是收到了接入拒绝数据包。

1.2 术语

这篇文档将会常用到以下术语： 服务

网络接入服务器对拨号接入的用户提供的一种服务。例如，点对点传输，远程登录。 会话

每一个由NAS服务器提供的给拨号用户的服务由会话组成，它的起始被定义为服务首 次被提供的那点，会话结束被定义为服务结束的那一点。在NAS服务器支持的前提下，用户可以有多个并行或串行的会话。 简单丢弃

这意味着执行操作没有做进一步处理的能力，只是将数据包简单的丢弃。该执行应该提 供记录错误的能力，如丢弃包的内容；并在统计处记录下该事件。

2. 运行

在一个客户端被设置使用RADIUS协议后，任何使用这个终端的用户都需要向这个客户端提供认证信息。此信息或许以一种定制化的提示信息出现，用户需要输入他们的用户名

5