RFC2865中文版

远程认证拨号用户服务(RADIUS) Remote Authentication Dial In User Service,远程用户拨号认证系统 [ri'm?ut]adj.远程的 Authentication:身份验证 备忘录状态 本文档描述了一种Internet社区的Internet 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 跟踪协议,它需要进一步进行讨论和建议以得到改进。请参考最新版的“Internet正式协议标准” (STD1)来获得本协议的标准化程度和状态。本备忘录可以不受限制地传播。 版权说明 Copyright (C) The Internet Society (2000). All Rights Reserved. IESG说明 本协议已经被广泛实现和使用,经验 表 关于同志近三年现实表现材料材料类招标技术评分表图表与交易pdf视力表打印pdf用图表说话 pdf 明当本协议在一个大范围的系统中使用会降低性能和丢失数据。部分原因是协议中没有提供拥塞控制的机制。读者可以发现阅读本文对跟踪IETF组织的AAA工作组的工作进程有很大的帮助,AAA工作组可能会开发一个能够更好的解决扩展性和拥塞控制问题的成功的协议。 摘要 本文描述了一个传输认证、授权和配置信息的协议。这些信息在想要认证链路的网络接入服务器(Network Access Server)和共享的认证服务器务器之间传递。 实现说明 本备忘录记录了RADIUS协议,RADIUS协议的早期版本使用的UDP端口是16 45,由于和"datametrics"服务冲突,官方为RADIUS协议分配了一个新的端口号1812。 目录 1. 简介 (3) 1.1 描述文档的约定 (4) 1.2 术语 (5) 2. 操作 (5) 2.1 挑战/回应 (7) 2.2 使用PAP和CHAP互操作 (8) 2.3 代理 (8) 2.4 为什么使用UDP (11) 2.5 重发提醒 (12) 2.6 被证明是有害的心跳 (13) 3. 报文格式 (13) 4. 报文类型 (17) 4.1 接入请求报文 (17) 4.2 接入成功回应报文 (18) 4.3 接入拒绝回应报文 (20) 4.4 接入挑战报文 (21) 5. 属性 (22) 5.1 User-Name (26) 5.2 User-Password (27) 5.3 CHAP-Password (28) 5.4 NAS-IP-Address (29) 5.5 NAS-Port (30) 5.6 Service-Type (31) 5.7 Framed-Protocol (33) 5.8 Framed-IP-Address (34) 5.9 Framed-IP-Netmask (34) 5.10 Framed-Routing (35) 5.11 Filter-Id (36) 5.12 Framed-MTU (37) 5.13 Framed-Compression (37) 5.14 Login-IP-Host (38) 5.15 Login-Service (39) 5.16 Login-TCP-Port (40) 5.17 (unassigned) (41) 5.18 Reply-Message (41) 5.19 Callback-Number (42) 5.20 Callback-Id (42) 5.21 (unassigned) (43) 5.22 Framed-Route (43) 5.23 Framed-IPX-Network (44) 5.24 State (45) 5.25 Class (46) 5.26 Vendor-Specific (47) 5.27 Session-Timeout (48) 5.28 Idle-Timeout (49) 5.29 Termination-Action (49) 5.30 Called-Station-Id (50) 5.31 Calling-Station-Id (51) 5.32 NAS-Identifier (52) 5.33 Proxy-State (53) 5.34 Login-LAT-Service (54) 5.35 Login-LAT-Node (55) 5.36 Login-LAT-Group (56) 5.37 Framed-AppleTalk-Link (57) 5.38 Framed-AppleTalk-Network (58) 5.39 Framed-AppleTalk-Zone (58) 5.40 CHAP-Challenge (59) 5.41 NAS-Port-Type (60) 5.42 Port-Limit (61) 5.43 Login-LAT-Port (62) 5.44 Table of Attributes (63) 6. IANA注意事项 (64) 6.1 术语定义 (64) 6.2 推荐的注册策略 (65) 7. 举例 (66) 7.1 用户Telnet到指定主机上 (66) 7.2 用户使用CHAP认证方式认证 (67) 7.3 用户使用挑战-回应卡 (68) 8. 安全事项 (71) 9. 更新记录 (71) 10. 参考文献 (73) 11. 致谢 (74) 12. AAA工作组主席地址 (74) 13. 作者地址 (75) 14. 版权声明 (76) 1. 简介 本文档废弃了RFC 2138 [1]。它与RFC 2138之间的差别可以在附录“更新记录”中找到。 要经营为众多的用户提供的串口线路和modem池,这会带来巨大的管理支持方面的需求。由于modem池是通向外部的链路,因此它对安全、认证、计费都提出了很高的要求。可以通过维护一个用户数据库来实现该需求,该数据库包含了认证(验证用户的名字和密码)以及为用户提供的服务类型的详细的配置信息(如SLIP、PPP、telnet和rlogin等)。 RADIUS协议的主要特性如下: 客户/服务器模式 网络接入服务器(NAS)是RADIUS的客户端。客户端负责将用户信息传递给指定的R ADIUS服务器,然后处理RADIUS服务器的回应。 RADIUS服务器负责接收用户的连接请求,认证该用户,然后给客户端返回能够给用户提供服务的所有必要的配置信息。 RADIUS服务器可以作为其它RADIUS服务器或者其他类型的认证服务器的代理客户端。 网络安全 客户端与RADIUS服务器之间的交互是通过共享密钥来进行相互认证的,共享密钥不会通过网络传送。另外,为了减少在不安全的网络中侦听到用户密码的可能性,在客户端和RADIUS服务器之间传送的密码都是加密的。 弹性的认证机制 RADIUS服务器能够支持多种认证用户的方式,如果用户提供了用户名和用户密码的明文,RADIUS协议能够支持PPP PAP或者CHAP、UNIX login以及其它的认证方式。 协议扩充性 所有的交互报文由多个不同长度的Attribute-Length-Value三元组组成,新属性值的加入不会破坏到协议的原有实现。 1.1. 描述文档的约定 本文中的关键词"MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", 以及"OPTION AL"的参见BCP 14 [2]中的描述。这些关键词意义与其是否大写无关。 如果一种实现没有满足本协议中的一个或者多个MUST或者MUST NOT要求,那么该实现和本协议是不兼容的;如果一个实现满足了本协议中所有的MUST、MUST NOT、S HOULD和SHOULD NOT要求,那么该实现和本协议是无条件兼容;如果该实现满足本协议所有的MUST和MUST NOT要求,但没有满足所有的SHOULD和SHOULD NOT 要求,那么该实现和本协议是有条件兼容。 不支持某个特定服务的NAS一定不要(MUST NOT)支持该服务的RADIUS属性,例如:不能提供ARAP服务的NAS一定不要(MUST NOT)支持ARAP服务的RADIUS 属性,对于授权不支持的服务的接入成功回应报文,NAS必须将之做为接入拒绝回应报文一样处理。 1.2. 术语 本文使用了以下的术语: 服务NAS为拨入用户提供的某种服务,如:PPP或者Telnet。 会话NAS为拨入用户提供的每一个服务都会建立一个会话。第一次开始提供服务做为会话的开始,服务终止做为会话的结束。如果NAS支持的话,一个用户可以有多个并行或者串行的会话。 静默丢弃 应用程序不对包进行任何处理就直接丢弃。应用程序应该(SHOULD)有提供记录错误的能力,其中包括被静默丢弃的包的内容,而且应用程序应该(SHOULD)在一个统计计数器中记录下该事件。