Durchmesser

Dieser Leitfaden dient als Erklärung zur Konformität der Protokollimplementierung für das Radius-Protokoll.
Kategorie:

Themen in diesem Dokument:

RADIUS-Protokoll

Dieser Abschnitt enthält Informationen darüber, wie das AAA (Authentication, Authorization, and Accounting) Gateway die RADIUS-Zugriffskontrollnachrichten für das in RFC-2865 und RFC-2869 definierte RADIUS (Remote Authentication Dial-In User Service)-Protokoll abbildet.

Abschnittskonformität

Tabelle 1-1 unten listet die Konformitätsinformationen für die Abschnitte des RADIUS-Protokolls in RFC-2865 auf.

Tabelle 1-1: RFC-2865 Abschnittskonformität

AbschnittsnummerAbschnittStatusAnmerkungen
1EinleitungNicht zutreffend-
1.1Spezifikation der AnforderungenNicht zutreffend-
1.2TerminologieNicht zutreffend-
2BetriebTeilweise unterstützt-
2.1Challenge/ResponseUnterstützt-
2.2Zusammenarbeit mit PAP (Password Authentication Protocol) und CHAP (Challenge Handshake Authentication Protocol)Nicht unterstützt-
2.3ProxyNicht zutreffend-
2.4Warum UDP (User Datagram Protocol)?Nicht zutreffend-
2.5Hinweise zur erneuten ÜbertragungUnterstützt-
2.6Keep-Alives als schädlich erachtetUnterstützt-
3PaketformatUnterstützt-
4PakettypenUnterstützt-
4.1Access-RequestUnterstützt-
4.2Access-AcceptUnterstützt-
4.3Access-RejectUnterstützt-
4.4Access-ChallengeUnterstützt-
5AttributeUnterstützt-
5.1User-NameUnterstützt-
5.2User-PasswordUnterstützt-
5.3CHAP-PasswordUnterstützt-
5.4NAS (Network Access Server)-IP-AddressUnterstützt-
5.5NAS-PortUnterstützt-
5.6Service-TypeUnterstützt-
5.7Framed-ProtocolUnterstützt-
5.8Framed-IP-AddressUnterstützt-
5.9Framed-IP-NetmaskUnterstützt-
5.10Framed-RoutingUnterstützt-
5.11Filter-IdUnterstützt-
5.12Framed-MTU (Maximum Transmission Unit)Unterstützt-
5.13Framed-CompressionUnterstützt-
5.14Login-IP-HostUnterstützt-
5.15Login-ServiceUnterstützt-
5.16Login-TCP (Transmission Control Protocol)-PortUnterstützt-
5.17(nicht zugewiesen)Unterstützt-
5.18Reply-MessageUnterstützt-
5.19Callback-NumberUnterstützt-
5.20Callback-IdUnterstützt-
5.21(nicht zugewiesen)Unterstützt-
5.22Framed-RouteUnterstützt-
5.23Framed-IPX-NetworkUnterstützt-
5.24StateUnterstützt-
5.25ClassUnterstützt-
5.26Vendor-SpecificUnterstützt-
5.27Session-TimeoutUnterstützt-
5.28Idle-TimeoutUnterstützt-
5.29Termination-ActionUnterstützt-
5.30Called-Station-IdUnterstützt-
5.31Calling-Station-IdUnterstützt-
5.32NAS-IdentifierUnterstützt-
5.33Proxy-StateUnterstützt-
5.34Login-LAT-ServiceUnterstützt-
5.35Login-LAT-NodeUnterstützt-
5.36Login-LAT-GroupUnterstützt-
5.37Framed-AppleTalk-LinkUnterstützt-
5.38Framed-AppleTalk-NetworkUnterstützt-
5.39Framed-AppleTalk-ZoneUnterstützt-
5.40CHAP-ChallengeUnterstützt-
5.41NAS-Port-TypeUnterstützt-
5.42Port-LimitUnterstützt-
5.43Login-LAT-PortUnterstützt-
5.44Tabelle der AttributeUnterstützt-
6IANA (Internet Assigned Numbers Authority)-ÜberlegungenKeine Anforderung-
6.1Definition von BegriffenKeine Anforderung-
6.2Empfohlene RegistrierungsrichtlinienKeine Anforderung-
7BeispieleUnterstützt-
7.1Benutzer-Telnet zu spezifiziertem HostUnterstützt-
7.2Framed-Benutzer-Authentifizierung mit CHAPUnterstützt-
7.3Benutzer mit Challenge-Response-KarteNicht unterstützt-
8SicherheitsüberlegungenNicht unterstützt-
9Änderungsprotokoll (Change Log)Keine Anforderung-
10ReferenzenKeine Anforderung-
11DanksagungenKeine Anforderung-
12Adresse des VorsitzendenKeine Anforderung-
13Adressen der AutorenKeine Anforderung-
14Vollständige UrheberrechtserklärungKeine Anforderung-

Die folgende Tabelle 1-2 enthält eine Liste der Konformitätsinformationen für die Abschnitte des RADIUS-Protokolls in RFC-2869.

Tabelle 1-2: RFC-2869 Abschnittskonformität

AbschnittsnummerAbschnittStatusAnmerkungen
1EinleitungNicht zutreffend-
1.1Spezifikation der AnforderungenNicht zutreffend-
1.2TerminologieNicht zutreffend-
2BetriebTeilweise unterstützt-
2.1RADIUS-Unterstützung für zwischenzeitliche Accounting-AktualisierungenNicht unterstützt-
2.2RADIUS-Unterstützung für Apple Remote Access ProtocolNicht unterstützt-
2.3RADIUS-Unterstützung für EAP (Extensible Authentication Protocol)Unterstützt-
2.3.1ProtokollüberblickUnterstützt-
2.3.2Erneute ÜbertragungUnterstützt-
2.3.3FragmentierungNicht unterstützt-
2.3.4BeispieleUnterstützt-
2.3.5Alternative VerwendungenUnterstützt-
3PaketformatUnterstützt-
4PakettypenUnterstützt-
5AttributeTeilweise unterstützt-
5.1Acct-Input-GigawordsNicht unterstützt-
5.2Acct-Output-GigawordsNicht unterstützt-
5.3Event-TimestampNicht unterstützt-
5.4ARAP-PasswordNicht unterstützt-
5.5ARAP-FeaturesNicht unterstützt-
5.6ARAP-Zone-AccessNicht unterstützt-
5.7ARAP-SecurityNicht unterstützt-
5.8ARAP-Security-DataNicht unterstützt-
5.9Password-RetryNicht unterstützt-
5.10PromptNicht unterstützt-
5.11Connect-InfoNicht unterstützt-
5.12Configuration-TokenNicht unterstützt-
5.13EAP-MessageUnterstützt-
5.14Message-AuthenticatorUnterstützt-
5.15ARAP-Challenge-ResponseNicht unterstützt-
5.16Acct-Interim-IntervalNicht unterstützt-
5.17NAS-Port-IdUnterstützt-
5.18Framed-PoolNicht unterstützt-
5.19Tabelle der AttributeNicht unterstützt-
6IANA-ÜberlegungenKeine Anforderung-
7SicherheitsüberlegungenUnterstützt-
7.1Sicherheit des Message-AuthenticatorUnterstützt-
7.2EAP-SicherheitUnterstützt-
7.2.1Trennung von EAP-Server und PPP-AuthenticatorNicht unterstützt-
7.2.2Verbindungskapern (Connection hijacking)Nicht unterstützt-
7.2.3Man-in-the-Middle-AngriffeNicht unterstützt-
7.2.4Mehrere DatenbankenNicht unterstützt-
7.2.5Verhandlungsangriffe (Negotiation attacks)Nicht unterstützt-
8ReferenzenKeine Anforderung-
9DanksagungenKeine Anforderung-
10Adresse des VorsitzendenKeine Anforderung-
11Adressen der AutorenKeine Anforderung-
12Vollständige UrheberrechtserklärungKeine Anforderung-

Access-Request AVPs

Hier ist eine Tabelle 1-3 mit den Konformitätsinformationen für Access-Request-Attribut-Wert-Paare (AVPs (Attribute-Value Pairs)).

Tabelle 1-3: Access-Request AVPs

RADIUS AVPStatusAnmerkungen
User-NameUnterstützt-
User-PasswordUnterstützt-
CHAP-PasswordUnterstützt-
CHAP-ChallengeUnterstützt-
NAS-IP-AddressUnterstützt-
NAS-PortUnterstützt-
NAS-Port-TypeUnterstützt-
NAS-IdentifierUnterstützt-
Service-TypeUnterstützt-
Framed-ProtocolUnterstützt-
Framed-IP-AddressUnterstützt-
Framed-IP-NetmaskUnterstützt-
Framed-MTUUnterstützt-
Framed-CompressionUnterstützt-
Login-IP-HostUnterstützt-
Callback-NumberUnterstützt-
Called-Station-IdUnterstützt-
Calling-Station-IdUnterstützt-
StateUnterstützt-
Proxy-StateUnterstützt-
Login-LAT-ServiceUnterstützt-
Login-LAT-NodeUnterstützt-
Login-LAT-GroupUnterstützt-
Login-LAT-PortUnterstützt-
Vendor-SpecificUnterstützt-
EAP-MessageUnterstützt-
Message-AuthenticatorUnterstützt-

Access-Accept AVPs

Unten finden Sie die Konformitätsinformationen für Access-Accept AVPs.

Tabelle 1-4: Access-Accept AVPs

RADIUS AVPStatusAnmerkungen
User-NameUnterstützt-
Service-TypeUnterstützt-
Framed-ProtocolUnterstützt-
Framed-IP-AddressUnterstützt-
Framed-IP-NetmaskUnterstützt-
Framed-RoutingUnterstützt-
Framed-RouteUnterstützt-
Framed-IPX-NetworkUnterstützt-
Framed-AppleTalk-LinkUnterstützt-
Framed-AppleTalk-NetworkUnterstützt-
Framed-AppleTalk-ZoneUnterstützt-
Filter-IdUnterstützt-
Framed-MTUUnterstützt-
Framed-CompressionUnterstützt-
Login-IP-HostUnterstützt-
Login-ServiceUnterstützt-
Login-TCP-PortUnterstützt-
Reply-MessageUnterstützt-
Callback-NumberUnterstützt-
Callback-IdUnterstützt-
ClassUnterstützt-
Session-TimeoutUnterstützt-
Idle-TimeoutUnterstützt-
Termination-ActionUnterstützt-
StateUnterstützt-
Proxy-StateUnterstützt-
Login-LAT-ServiceUnterstützt-
Login-LAT-NodeUnterstützt-
Login-LAT-GroupUnterstützt-
Login-LAT-PortUnterstützt-
Port-LimitUnterstützt-
Vendor-SpecificUnterstützt-
Acct-Session-IdUnterstützt-
EAP-MessageUnterstützt-
Message-AuthenticatorUnterstützt-

Access-Reject AVPs

Tabelle 1-5 enthält eine Liste der Konformitätsinformationen für Access-Reject AVPs.

Tabelle 1-5: Access-Reject AVPs

RADIUS AVPStatusAnmerkungen
User-NameUnterstützt-
Reply-MessageUnterstützt-
ClassUnterstützt-
Proxy-StateUnterstützt-
Vendor-SpecificUnterstützt-
Acct-Session-IdUnterstützt-
EAP-MessageUnterstützt-
Message-AuthenticatorUnterstützt-

Access-Challenge AVPs

Tabelle 1-6 enthält die Konformitätsinformationen für Access-Challenge AVPs.

Tabelle 1-6: Access-Challenge AVPs

RADIUS AVPStatusAnmerkungen
Reply-MessageUnterstützt-
Session-TimeoutUnterstützt-
Idle-TimeoutUnterstützt-
StateUnterstützt-
Proxy-StateUnterstützt-
Vendor-SpecificUnterstützt-
EAP-MessageUnterstützt-
Message-AuthenticatorUnterstützt-

RADIUS-Accounting-Protokoll

Dieser Abschnitt enthält Einzelheiten darüber, wie das AAA Gateway die RADIUS-Accounting-Nachrichten für das in RFC-2866 definierte RADIUS-Protokoll abbildet.

Abschnittskonformität

Unten finden Sie eine Liste der Konformitätsinformationen für die Abschnitte des RADIUS-Accounting-Protokolls in RFC-2866.

Tabelle 2-1: RFC-2866 Abschnittskonformität

AbschnittsnummerAbschnittStatusAnmerkungen
1EinleitungNicht zutreffend-
1.1AnforderungsspezifikationNicht zutreffend-
1.2TerminologieNicht zutreffend-
2BetriebUnterstützt-
2.1ProxyNicht unterstützt-
3PaketformatUnterstützt-
4PakettypenUnterstützt-
4.1Accounting-RequestUnterstützt-
4.2Accounting-ResponseUnterstützt-
5AttributeUnterstützt-
5.1Acct-Status-TypeUnterstützt-
5.2Acct-Delay-TimeUnterstützt-
5.3Acct-Input-OctetsUnterstützt-
5.4Acct-Output-OctetsUnterstützt-
5.5Acct-Session-IdUnterstützt-
5.6Acct-AuthenticUnterstützt-
5.7Acct-Session-TimeUnterstützt-
5.8Acct-Input-PacketsUnterstützt-
5.9Acct-Output-PacketsUnterstützt-
5.10Acct-Terminate-CauseUnterstützt-
5.11Acct-Multi-Session-IdUnterstützt-
5.12Acct-Link-CountUnterstützt-
5.13Tabelle der AttributeUnterstützt-
6IANA-ÜberlegungenUnterstützt-
7SicherheitsüberlegungenUnterstützt-
8ÄnderungsprotokollNicht zutreffend-
9ReferenzenKeine Anforderung-
10DanksagungenKeine Anforderung-

Accounting-Request AVPs

Die folgende Tabelle enthält die Beschreibung, wie ECE Accounting-Request-Attribut-Wert-Paare (AVPs) unterstützt.

Tabelle 2-2: Accounting-Request AVPs

RADIUS-Accounting AVPStatusAnmerkungen
User-NameUnterstütztDies ist ein obligatorisches AVP.
NAS-IP-AddressUnterstütztDies ist ein obligatorisches AVP.
NAS-IdentifierUnterstütztDies ist ein obligatorisches AVP.
NAS-Port-TypeUnterstützt-
ClassUnterstützt-
Service-TypeUnterstützt-
Framed-ProtocolUnterstützt-
Framed-IP-AddressUnterstützt-
Framed-IP-NetmaskUnterstützt-
Framed-MTUUnterstützt-
Framed-CompressionUnterstützt-
Login-IP-HostUnterstützt-
Callback-NumberUnterstützt-
Called-Station-IdUnterstützt-
Calling-Station-IdUnterstützt-
Proxy-StateUnterstützt-
Login-LAT-ServiceUnterstützt-
Login-LAT-NodeUnterstützt-
Login-LAT-GroupUnterstützt-
Login-LAT-PortUnterstützt-
CHAP-ChallengeUnterstützt-
Acct-Status-TypeUnterstütztDies ist ein obligatorisches AVP.
Acct-Delay-TimeUnterstützt-
Acct-Input-OctetsUnterstützt-
Acct-Output-OctetsUnterstützt-
Acct-Session-IdUnterstütztDies ist ein obligatorisches AVP.
Acct-AuthenticUnterstützt-
Acct-Session-TimeUnterstützt-
Acct-Input-PacketsUnterstützt-
Acct-Output-PacketsUnterstützt-
Acct-Terminate-CauseUnterstützt-
Acct-Multi-Session-IdUnterstützt-
Acct-Link-CountUnterstützt-
Vendor-SpecificUnterstützt-

Accounting-Response AVPs

Die Accounting-Response-Nachricht enthält keine AVPs.

RADIUS-Disconnect-Protokoll

Dieser Abschnitt beschreibt, wie das AAA Gateway die RADIUS-Disconnect-Nachrichten für das in RFC-3576 definierte RADIUS-Protokoll abbildet.

Abschnittskonformität

Unten finden Sie die Konformitätsinformationen für die Abschnitte des RADIUS-Disconnect-Protokolls in RFC-3576.

Tabelle 3-1: RFC-3576 Abschnittskonformität

AbschnittsnummerAbschnittStatusAnmerkungen
1Einleitung--
1.1Anwendbarkeit--
1.2Sprache der Anforderungen--
1.3Terminologie--
2Überblick--
2.1Disconnect-Nachrichten (DM)--
2.2Change-of-Authorization-Nachrichten (CoA)--
2.3Paketformat--
3Attribute--
3.1Fehlerursache (Error-Cause)--
3.2Tabelle der Attribute--
4IANA-Überlegungen--
5Sicherheitsüberlegungen--
5.1Autorisierungsfragen--
5.2Identitätsvortäuschung (Impersonation)--
5.3IPsec-Nutzungsrichtlinien--
5.4Wiedereinspielschutz (Replay protection)--
6Beispiel-Traces--
7Referenzen--
7.1Normative Referenzen--
7.2Informative Referenzen--
8Erklärung zum geistigen Eigentum--
9Danksagungen--
10Adressen der Autoren--
11Vollständige Urheberrechtserklärung--

Disconnect-Request AVPs

Die folgende Tabelle 3-2 listet die Konformitätsinformationen für Disconnect-Request-Attribut-Wert-Paare (AVPs) auf.

Tabelle 3-2: Disconnect-Request AVPs

RADIUS AVPStatusAnmerkungen
User-NameUnterstützt-
User-PasswordUnterstützt-
CHAP-PasswordUnterstützt-
CHAP-ChallengeUnterstützt-
NAS-IP-AddressUnterstützt-
NAS-PortUnterstützt-
NAS-Port-TypeUnterstützt-
NAS-IdentifierUnterstützt-
Service-TypeUnterstützt-
Framed-ProtocolUnterstützt-
Framed-IP-AddressUnterstützt-
Framed-IP-NetmaskUnterstützt-
Framed-MTUUnterstützt-
Framed-CompressionUnterstützt-
Login-IP-HostUnterstützt-
Callback-NumberUnterstützt-
Called-Station-IdUnterstützt-
Calling-Station-IdUnterstützt-
StateUnterstützt-
Proxy-StateUnterstützt-
Login-LAT-ServiceUnterstützt-
Login-LAT-NodeUnterstützt-
Login-LAT-GroupUnterstützt-
Login-LAT-PortUnterstützt-
Vendor-SpecificUnterstützt-
EAP-MessageUnterstützt-
Message-AuthenticatorUnterstützt-

Disconnect-Response AVPs

Die Disconnect-Response-Nachricht enthält keine AVPs.

Vorherige
5G CHF
Nächste
FAQs