RFC2865在用户服务中的远程身份验证拨号(RADIUS)(4)

2.2 用不加密验证和加密验证配合动作

对口令验证协议（PAP），NAS采取了PAP ID和密码，在一个接入请求包中将它们作为用户名和用户密码传输出去。NAS可以包含服务类型属性Attribute Service-Type＝ Framed-User，和Framed-Protocol＝PPP作为一个提示告诉RADIUS服务器PPP服务是所希望的服务。

对质询握手身份认证协议（CHAP），NAS创建一个随机质询（最好是是16个字节），然后把它传输给用户，用户返回一个带有CHAP ID和CHAP用户名的CHAP响应。NAS随后传输一个请求接入数据包给RADIUS服务器，该请求包中，CHAP用户名称替代了用户名（User-Name）、CHAP ID和加密的响应值代替CHAP密码（CHAP-Password）(属性3 )。随机质询或者被包含在CHAP盘问（CHAP-Challenge）属性中，或者如果它是16个字节长，它可被放到接入请求数据包中的请求鉴别码（Request Authenticator）域中。NAS可以包含Attribute Service-Type＝Framed-User，和Framed-Protocol＝PPP作为一个提示告诉RADIUS服务器PPP服务是所希望的服务。

RADIUS服务器根据用户名检查对应的密码，加密盘问，用MD5算法对CHAP ID字节，前面找到的密码和CHAP盘问（如果在CHAP盘问属性存在则来自与此，否则来自请求认证者），把这个结果与CHAP密码进行比较。如果它们是相匹配，服务器送回一个接入允许数据包，否则送回一个接入拒绝数据包。

如果RADIUS服务器不能执行被请求的认证，它一定返回一个接入拒绝数据包。例如，CHAP要求以明文方式给服务器传输密码，以便它能加密CHAP盘问并与CHAP响应相比较。如果不是以明文传输密码，服务器一定会给客户端传输一个接入拒绝包。

7

RFC2865 NetWare/IP Domain Name and Information 远程拨入用户认证服务

2.3 代理

对RADIUS代理服务器来说，一个RADIUS服务器在收到一个来自RADIUS客户端（例如NAS服务器）的验证请求（或者记账请求）后，向一个远程的RADIUS服务器提交该请求，收到来自远程服务器的回复后，将这个回复传输给客户，这个回复可能带有反映本地管理策略的变化。使用RADIUS代理服务器通常是为了漫游。漫游功能使两个或更多的管理实体允许每一个用户为某项服务而拨入到任一个实体网络中。 NAS传输RADIUS接入请求给“转送服务器(forwarding server)”，转送服务器把这个请求转送给“远程服务器(remote server)”。远程服务器送回一个响应（接入允许、接入拒绝、接入质询）给转送服务器，转送服务器再把这个响应返回给NAS。对于RADIUS代理操作，用户名属性可以包含一个网络接口标识符[8]。哪一个服务器应该接收转送请求是根据认证域确定。认证域可以是网络接口标识符（指定的域）的一部分。或者，哪个服务器接收转送请求的选择可以基于任何一种转送服务器指定使用的标准，例如“调用站编号(Called-Station Id)”。

一个RADIUS服务器可以同时作为转送服务器和远程服务器运行。在某些域中作为一个转发服务器，在其他域中作为一个远程服务器。一个转发服务器可以作为任何数量远程服务器的转发者。一个远程服务器可以有任意数量的转发服务器向它转发，也能向任意数量域提供认证。一个转发服务器可以向另一个转发服务器转发，从而生成一个代理链，应当注意避免循环引用。

下面的过程解释了一个代理服务器在一个NAS服务器、转发服务器和远程服务器之间的通信。

1．NAS向一个转发服务器发出接入请求。

2．转发服务器把这个请求转发给一个远程服务器。

3．远程服务器给转发服务器送回接入允许、接入拒绝或接入盘问。在这个例子中，服

务器送回的是接入允许。

4．转发服务器将接入允许传输给NAS。

转发服务器必须把已经存在于数据包中的任何代理状态属性当作不可见的数据。它的操作禁止依靠被前面服务器添加到代理状态属性中的内容 如果收到来自客户端的请求中有任何代理状态属性，在给客户端的回复中，转发服务器必须在给客户端的回复中包括这些代理状态属性。当转发服务器转发这个请求时，它可以把代理状态属性包含在其中，也可以在已转发的请求中忽略代理状态属性。如果转发服务器在转发的接入请求中忽略了代理状态属性，它必须在响应返回给用户之前把这些代理状态属性添加到该响应中。

现在我们更为详细地说明每一步。

1．NAS传输它的接入请求给转发服务器。如果用户密码存在，转发服务器会用与NAS共有的密钥对用户密码进行解密。如果在数据包中有一个CHAP密码属性存在，没有CHAP盘问属性存在，转发服务器必须保证请求鉴别码完整的情况下，或者把它拷贝到CHAP盘问属性中。

转发服务器可以向数据包添加一个代理状态属性（只能添加一个）。如果它添加了代理状态，该代理状态只能出现在数据包中任何其他代理状态属性之后。转发服务器禁止修改任何其他已经存在于数据包中的代理状态属性（转发服务器可以选择不转发它们，但一定不能对它们修改）。转发服务器禁止改变包括代理状态在内的同种类型任何属性的顺序。

2．如果用户密码存在的话，转发服务器用和远程服务器共有的密钥对用户密码进行加

8

RFC2865 NetWare/IP Domain Name and Information 远程拨入用户认证服务

密。它还会根据要求设置标识，向远程服务器转发接入请求。

3．远程服务器（如果是最终目标服务器）会使用用户密码、CHAP密码或者是将来扩 展时指定的一些方法验证用户的合法性，然后返回接入允许、接入拒绝或者接入盘问给转发 服务器。对于这个例子，远程服务器传输的是一个接入允许数据包，远程服务器必须按照原 有的顺序而且不做任何修改的情况下，把所有的代理状态属性从接入请求中拷贝到响应数据 包中。

4．转发服务器使用它与远程服务器共有的密钥对响应鉴别码(Response Authenticator） 进行验证，如果验证失败，它会简单的将数据包丢弃。如果验证通过，转发服务器去掉最后 的代理状态（如果数据包内它附加过一个），使用它与NAS共有的密钥签发响应鉴别码，恢 复标识使它与NAS传输的源请求标识匹配，然后传输接入允许给NAS。

转发服务器可能修改属性以执行本地策略。关于这种策略的讨论是在这篇文档范围之 外，而且是受以下限制的。转发服务器禁止修改数据包中存在的代理状态、状态或类别属性。 转发服务器的实施者应该认真考虑什么样的值可以做为服务类型（Service-Type）接受。 对在代理请求允许中通过NAS提示的服务种类或管理的服务种类一起传输服务种类的结果 要给与认真的考虑，而且实施者希望可以提供一些机制阻止那些以上提到的这些种类，或者 是其他的服务种类，或者是其他的属性。关于这些机制的讨论不是在本文档范围之内的。

2.4 为什么使用UDP

一个经常问到的问题是为什么使用UDP而不是TCP作为传输协议。选择UDP是基于严格的技术上的原因。

这有许多必须被理解的论点。RADIUS是一个事务,基于几个具有有趣特点的协议。 1．如果向主验证服务器发出的请求失败，则必须查找备用服务器。

为了满足这个要求，考虑到向备用服务器传输请求，请求副本必须保留在传输层。 这意味着重发计时器仍然是需要的。

2．这个特别协议的计时要求与TCP所提供的有较大的不同。 < …… 此处隐藏：3967字，全部文档内容请下载后查看。喜欢就下载吧 ……