Radius

Dieser Leitfaden dient als Erklärung zur Einhaltung der Protokollimplementierung für das Radius-Protokoll.

Themen in diesem Dokument:

RADIUS-Protokoll

Dieser Abschnitt gibt Informationen darüber, wie das AAA Gateway die RADIUS-Zugangskontrollnachrichten für das im RFC-2865 und RFC-2869 definierte RADIUS-Protokoll abbildet.

Abschnitts-Einhaltung

Die Tabelle 1-1 unten listet die Einhaltungsinformationen für die RADIUS-Protokollabschnitte im RFC-2865 auf.

Tabelle 1-1: Einhaltung der Abschnitte im RFC-2865

AbschnittsnummerAbschnittStatusAnmerkungen
1EinführungNicht anwendbar-
1.1Spezifikation der AnforderungenNicht anwendbar-
1.2TerminologieNicht anwendbar-
2BetriebTeilweise unterstützt-
2.1Herausforderung/AntwortUnterstützt-
2.2Interoperabilität mit PAP und CHAPNicht unterstützt-
2.3ProxyNicht anwendbar-
2.4Warum UDP?Nicht anwendbar-
2.5RetransmissionshinweiseUnterstützt-
2.6Keep-Alives als schädlich betrachtetUnterstützt
3PaketformatUnterstützt-
4PakettypenUnterstützt-
4.1ZugriffsanfrageUnterstützt-
4.2ZugriffsannahmeUnterstützt-
4.3ZugriffsverweigerungUnterstützt-
4.4ZugriffsherausforderungUnterstützt-
5AttributeUnterstützt-
5.1BenutzernameUnterstützt-
5.2BenutzerpasswortUnterstützt-
5.3CHAP-PasswortUnterstützt-
5.4NAS-IP-AdresseUnterstützt-
5.5NAS-PortUnterstützt-
5.6DiensttypUnterstützt-
5.7Gerahmtes-ProtokollUnterstützt-
5.8Gerahmte-IP-AdresseUnterstützt-
5.9Gerahmte-IP-NetzmaskeUnterstützt-
5.10Gerahmtes-RoutingUnterstützt-
5.11Filter-IDUnterstützt-
5.12Gerahmte-MTUUnterstützt-
5.13Framed-CompressionUnterstützt
5.14Login-IP-HostUnterstützt-
5.15Login-ServiceUnterstützt-
5.16Login-TCP-PortUnterstützt-
5.17(nicht zugewiesen)Unterstützt-
5.18Antwort-NachrichtUnterstützt-
5.19Rückruf-NummerUnterstützt-
5.20Rückruf-IDUnterstützt-
5.21(nicht zugewiesen)Unterstützt-
5.22Framed-RouteUnterstützt-
5.23Framed-IPX-NetzwerkUnterstützt-
5.24ZustandUnterstützt-
5.25KlasseUnterstützt-
5.26Anbieter-spezifischUnterstützt-
5.27Sitzungs-TimeoutUnterstützt-
5.28Leerlauf-TimeoutUnterstützt-
5.29Beendigungs-AktionUnterstützt-
5.30Angerufene-Station-IDUnterstützt-
5.31Anrufende-Station-IDUnterstützt-
5.32NAS-IdentifikatorUnterstützt-
5.33Proxy-ZustandUnterstützt-
5.34Login-LAT-ServiceUnterstützt
5.35Login-LAT-NodeUnterstützt-
5.36Login-LAT-GruppeUnterstützt-
5.37Framed-AppleTalk-LinkUnterstützt-
5.38Framed-AppleTalk-NetzwerkUnterstützt-
5.39Framed-AppleTalk-ZoneUnterstützt-
5.40CHAP-HerausforderungUnterstützt-
5.41NAS-Port-TypUnterstützt-
5.42Port-LimitUnterstützt-
5.43Login-LAT-PortUnterstützt-
5.44Tabelle der AttributeUnterstützt-
6IANA ÜberlegungenKeine Anforderung-
6.1Definition der BegriffeKeine Anforderung-
6.2Empfohlene RegistrierungsrichtlinienKeine Anforderung-
7BeispieleUnterstützt-
7.1Benutzer Telnet zu angegebenem HostUnterstützt-
7.2Framed-Benutzer authentifiziert mit CHAPUnterstützt-
7.3Benutzer mit Challenge-Response-KarteNicht unterstützt
8SicherheitsüberlegungenNicht unterstützt-
9ÄnderungsprotokollKeine Anforderung-
10ReferenzenKeine Anforderung-
11DanksagungenKeine Anforderung-
12Ansprache des VorsitzendenKeine Anforderung-
13Adressen der AutorenKeine Anforderung-
14Vollständige UrheberrechtserklärungKeine Anforderung-

Die folgende Tabelle 1-2 bietet eine Liste der Compliance-Informationen für die RADIUS-Protokollabschnitte in RFC-2869.

Tabelle 1-2: Compliance der RFC-2869-Abschnitte

AbschnittsnummerAbschnittStatusAnmerkungen
1EinführungNicht anwendbar-
1.1Spezifikation der AnforderungenNicht anwendbar-
1.2TerminologieNicht anwendbar-
2BetriebTeilweise unterstützt-
2.1RADIUS-Unterstützung für vorläufige AbrechnungsaktualisierungenNicht unterstützt-
2.2RADIUS-Unterstützung für das Apple Remote Access ProtocolNicht unterstützt-
2.3RADIUS-Unterstützung für das Extensible Authentication Protocol (EAP)Unterstützt-
2.3.1ProtokollübersichtUnterstützt-
2.3.2RetransmissionUnterstützt-
2.3.4BeispieleUnterstützt-
2.3.5Alternative VerwendungenUnterstützt-
3PaketformatUnterstützt-
4PakettypenUnterstützt-
5AttributeTeilweise unterstützt-
5.1Acct-Input-GigawordsNicht unterstützt-
5.2Acct-Output-GigawordsNicht unterstützt-
5.3Ereignis-ZeitstempelNicht unterstützt-
5.4ARAP-PasswortNicht unterstützt-
5.5ARAP-FunktionenNicht unterstützt-
5.6ARAP-Zonen-ZugangNicht unterstützt-
5.7ARAP-SicherheitNicht unterstützt-
5.8ARAP-SicherheitsdatenNicht unterstützt-
5.9Passwort-WiederholungNicht unterstützt-
5.10EingabeaufforderungNicht unterstützt-
5.11VerbindungsinformationenNicht unterstützt-
5.12Konfigurations-TokenNicht unterstützt-
5.13EAP-NachrichtUnterstützt-
5.14Nachrichten-AuthentifiziererUnterstützt-
5.
5.16Acct-Interim-IntervalNicht unterstützt-
5.17NAS-Port-IdUnterstützt-
5.18Framed-PoolNicht unterstützt-
5.19Tabelle der AttributeNicht unterstützt-
6IANA ÜberlegungenKeine Anforderung-
7SicherheitsüberlegungenUnterstützt-
7.1Nachrichten-Authentifikator-SicherheitUnterstützt-
7.2EAP-SicherheitUnterstützt-
7.2.1Trennung von EAP-Server und PPP-AuthentifikatorNicht unterstützt-
7.2.2VerbindungsübernahmeNicht unterstützt-
7.2.3Man-in-the-Middle-AngriffeNicht unterstützt-
7.2.4Mehrere DatenbankenNicht unterstützt-
7.2.5VerhandlungsangriffeNicht unterstützt-
8ReferenzenKeine Anforderung-
9DanksagungenKeine Anforderung-
10Ansprache des VorsitzendenKeine Anforderung-
11Adressen der AutorenKeine Anforderung-
12Vollständige UrheberrechtserklärungKeine Anforderung-

Access-Request AVPs

Hier ist eine Tabelle 1-3 mit den Compliance-Informationen für Access-Request Attribut-Wert-Paare (AVPs). Tabelle 1-3: Zugriffsanfrage AVPs

RADIUS AVPStatusAnmerkungen
BenutzernameUnterstützt-
BenutzerpasswortUnterstützt-
CHAP-PasswortUnterstützt-
CHAP-HerausforderungUnterstützt-
NAS-IP-AdresseUnterstützt-
NAS-PortUnterstützt-
NAS-Port-TypUnterstützt-
NAS-IdentifikatorUnterstützt-
DiensttypUnterstützt-
Gerahmtes-ProtokollUnterstützt-
Gerahmte-IP-AdresseUnterstützt-
Gerahmte-IP-NetzmaskeUnterstützt-
Gerahmte-MTUUnterstützt-
Gerahmte-KompressionUnterstützt-
Login-IP-HostUnterstützt-
RückrufnummerUnterstützt-
Angerufene-Station-IDUnterstützt-
Anrufende-Station-IDUnterstützt-
ZustandUnterstützt-
Proxy-ZustandUnterstützt-
Login-LAT-DienstUnterstützt-
Login-LAT-KnotenUnterstützt-
Login-LAT-GruppeUnterstützt-
Login-LAT-PortUnterstützt-
Anbieter-spezifischUnterstützt-
EAP-NachrichtUnterstützt-
Nachrichten-AuthentifikatorUnterstützt-

Zugriffsakzept AVPs

Nachfolgend finden Sie die Compliance-Informationen für Zugriffsakzept AVPs. Tabelle 1-4: Access-Accept AVPs

RADIUS AVPStatusAnmerkungen
User-NameUnterstützt-
Service-TypeUnterstützt-
Framed-ProtocolUnterstützt-
Framed-IP-AddressUnterstützt-
Framed-IP-NetmaskUnterstützt-
Framed-RoutingUnterstützt-
Framed-RouteUnterstützt-
Framed-IPX-NetworkUnterstützt-
Framed-AppleTalk-LinkUnterstützt-
Framed-AppleTalk-NetworkUnterstützt-
Framed-AppleTalk-ZoneUnterstützt-
Filter-IdUnterstützt-
Framed-MTUUnterstützt-
Framed-CompressionUnterstützt-
Login-IP-HostUnterstützt-
Login-ServiceUnterstützt-
Login-TCP-PortUnterstützt-
Reply-MessageUnterstützt-
Callback-NumberUnterstützt-
Callback-IdUnterstützt-
ClassUnterstützt-
Session-TimeoutUnterstützt-
Idle-TimeoutUnterstützt-
Termination-ActionUnterstützt-
StateUnterstützt-
Proxy-StateUnterstützt-
Login-LAT-ServiceUnterstützt-
Login-LAT-NodeUnterstützt-
Login-LAT-GroupUnterstützt-
Login-LAT-PortUnterstützt-
Port-LimitUnterstützt-
Vendor-SpecificUnterstützt-
Acct-Session-IdUnterstützt-
EAP-MessageUnterstützt-
Message-AuthenticatorUnterstützt-

Access-Reject AVPs

Tabelle 1-5 enthält eine Liste der Compliance-Informationen für Access-Reject AVPs. Tabelle 1-5: Access-Reject AVPs

RADIUS AVPStatusAnmerkungen
User-NameUnterstützt-
Reply-MessageUnterstützt-
ClassUnterstützt-
Proxy-StateUnterstützt-
Vendor-SpecificUnterstützt-
Acct-Session-IdUnterstützt-
EAP-MessageUnterstützt-
Message-AuthenticatorUnterstützt-

Access-Challenge AVPs

Tabelle 1-6 enthält die Compliance-Informationen für Access-Challenge AVPs.

Tabelle 1-6: Access-Challenge AVPs

RADIUS AVPStatusAnmerkungen
Reply-MessageUnterstützt-
Session-TimeoutUnterstützt-
Idle-TimeoutUnterstützt-
StateUnterstützt-
Proxy-StateUnterstützt-
Vendor-SpecificUnterstützt-
EAP-MessageUnterstützt-
Message-AuthenticatorUnterstützt-

RADIUS Accounting Protocol

Dieser Abschnitt bietet Details dazu, wie das AAA Gateway die RADIUS-Abrechnungsnachrichten für das im RFC-2866 definierte RADIUS-Protokoll abbildet.

Abschnitt Compliance

Nachfolgend finden Sie eine Liste der Compliance-Informationen für die Abschnitte des RADIUS Accounting-Protokolls im RFC-2866.

Tabelle 2-1 RFC-2866 Abschnitt Compliance

AbschnittsnummerAbschnittStatusAnmerkungen
1EinführungNicht anwendbar-
1.1Spezifikation der AnforderungenNicht anwendbar-
1.2TerminologieNicht anwendbar-
2BetriebUnterstützt-
2.1ProxyNicht unterstützt
3PaketformatUnterstützt-
4PakettypenUnterstützt-
4.1AbrechnungsanfrageUnterstützt-
4.2AbrechnungsantwortUnterstützt-
5AttributeUnterstützt-
5.1Abrechnungsstatus-TypUnterstützt-
5.2AbrechnungsverzögerungszeitUnterstützt-
5.3Abrechnungs-EingangsoktetteUnterstützt-
5.4Abrechnungs-AusgangsoctetteUnterstützt-
5.5Abrechnungs-Sitzungs-IDUnterstützt-
5.6Abrechnungs-AuthentifizierungUnterstützt-
5.7Abrechnungs-SitzungszeitUnterstützt-
5.8Abrechnungs-EingangspaketeUnterstützt-
5.9Abrechnungs-AusgangspaketeUnterstützt-
5.10Abrechnungs-BeendigungsursacheUnterstützt-
5.11Abrechnungs-Multi-Sitzungs-IDUnterstützt-
5.12Abrechnungs-Link-AnzahlUnterstützt-
5. 13Tabelle der AttributeUnterstützt-
6IANA ÜberlegungenUnterstützt-
7SicherheitsüberlegungenUnterstützt-
8ÄnderungsprotokollNicht anwendbar-
9ReferenzenKeine Anforderung-
10DanksagungenKeine Anforderung-

Accounting-Request AVPs

Die folgende Tabelle enthält die Beschreibung, wie ECE die Accounting-Request Attribut-Wert-Paare (AVPs) unterstützt.

Tabelle 2-2 Accounting-Request AVPs

RADIUS Accounting AVPStatusAnmerkungen
BenutzernameUnterstütztDies ist ein obligatorisches AVP.
NAS-IP-AdresseUnterstütztDies ist ein obligatorisches AVP.
NAS-IdentifikatorUnterstütztDies ist ein obligatorisches AVP.
KlasseUnterstützt-
DiensttypUnterstützt-
Framed-ProtokollUnterstützt-
Framed-IP-AdresseUnterstützt-
Framed-IP-NetzmaskeUnterstützt-
Framed-MTUUnterstützt-
Framed-KompressionUnterstützt-
Login-IP-HostUnterstützt-
RückrufnummerUnterstützt-
Angerufene-Station-IDUnterstützt-
Anrufende-Station-IDUnterstützt-
Proxy-ZustandUnterstützt-
Login-LAT-DienstUnterstützt-
Login-LAT-KnotenUnterstützt-
Login-LAT-GruppeUnterstützt-
Login-LAT-PortUnterstützt-
CHAP-HerausforderungUnterstützt-
Acct-Status-TypUnterstütztDies ist ein obligatorisches AVP.
Acct-VerzögerungszeitUnterstützt-
Acct-Eingangs-OctetsUnterstützt-
Acct-Ausgangs-OctetsUnterstützt-
Acct-Sitzungs-IDUnterstütztDies ist ein obligatorisches AVP.
Acct-Session-TimeUnterstützt-
Acct-Input-PacketsUnterstützt-
Acct-Output-PacketsUnterstützt-
Acct-Terminate-CauseUnterstützt-
Acct-Multi-Session-IdUnterstützt-
Acct-Link-CountUnterstützt-
Vendor-SpecificUnterstützt-

Accounting-Response AVPs

Die Accounting-Response-Nachricht hat keine AVPs.

RADIUS Disconnect-Protokoll

Dieser Abschnitt beschreibt, wie das AAA-Gateway die RADIUS-Trennnachrichten für das im RFC-3576 definierte RADIUS-Protokoll abbildet.

Abschnitts-Konformität

Nachfolgend finden Sie die Konformitätsinformationen für die Abschnitte des RADIUS Disconnect-Protokolls im RFC-3576.

Tabelle 3-1 RFC-3576 Abschnitts-Konformität

AbschnittsnummerAbschnittStatusAnmerkungen
1Einführung--
1.1Anwendbarkeit--
1.2Anforderungen Sprache--
1.3Terminologie--
2Übersicht--
2.1Trennnachrichten (DM)--
2.2Änderungsnachrichten zur Autorisierung (CoA)--
2.3Paketformat--
3Attribute--
3.1Fehlerursache--
3. 2Tabelle der Attribute--
4IANA-Betrachtungen--
5Sicherheitsüberlegungen--
5.1Autorisierungsprobleme--
5.2Identitätsdiebstahl--
5.3IPsec-Nutzungsrichtlinien--
5.4Replay-Schutz--
6Beispielspuren--
7Referenzen--
7.1Normative Referenzen--
7.2Informative Referenzen--
8Erklärung zum geistigen Eigentum--
9Danksagungen--
10Adressen des Autors--
11Vollständige Urheberrechtserklärung--

Disconnect-Request AVPs

Die folgende Tabelle 3-2 listet die Compliance-Informationen für Disconnect-Request Attribut-Wert-Paare (AVPs) auf. Tabelle 3-2: Disconnect-Request AVPs

RADIUS AVPStatusAnmerkungen
User-NameUnterstützt-
User-PasswordUnterstützt-
CHAP-PasswordUnterstützt-
CHAP-ChallengeUnterstützt-
NAS-IP-AddressUnterstützt-
NAS-PortUnterstützt-
NAS-Port-TypeUnterstützt-
NAS-IdentifierUnterstützt-
Service-TypeUnterstützt-
Framed-ProtocolUnterstützt-
Framed-IP-AddressUnterstützt-
Framed-IP-NetmaskUnterstützt-
Framed-MTUUnterstützt-
Framed-CompressionUnterstützt-
Login-IP-HostUnterstützt-
Callback-NumberUnterstützt-
Called-Station-IdUnterstützt-
Calling-Station-IdUnterstützt-
StateUnterstützt-
Proxy-StateUnterstützt-
Login-LAT-ServiceUnterstützt-
Login-LAT-NodeUnterstützt-
Login-LAT-GroupUnterstützt-
Login-LAT-PortUnterstützt-
Vendor-SpecificUnterstützt-
EAP-MessageUnterstützt-
Message-AuthenticatorUnterstützt-

Disconnect-Response AVPs

Die Disconnect-Response-Nachricht hat keine AVPs.