RADIUS

Ce guide fait office de déclaration de conformité de la mise en œuvre du protocole pour le protocole Radius.
Catégorie:

Sujets dans ce document :

Protocole RADIUS

Cette section donne des informations sur la manière dont AAA (Authentication, Authorization, and Accounting) Gateway mappe les messages de contrôle d’accès RADIUS pour le protocole RADIUS (Remote Authentication Dial-In User Service) défini dans les RFC-2865 et RFC-2869.

Conformité des sections

Le tableau 1-1 ci-dessous répertorie les informations de conformité pour les sections du protocole RADIUS dans la RFC-2865.

Tableau 1-1 : Conformité des sections de la RFC-2865

Numéro de sectionSectionStatutNotes
1IntroductionNon applicable-
1.1Spécification des exigencesNon applicable-
1.2TerminologieNon applicable-
2FonctionnementPartiellement pris en charge-
2.1Challenge/ResponsePris en charge-
2.2Interopérabilité avec PAP (Password Authentication Protocol) et CHAP (Challenge Handshake Authentication Protocol)Non pris en charge-
2.3ProxyNon applicable-
2.4Pourquoi UDP (User Datagram Protocol) ?Non applicable-
2.5Indices de retransmissionPris en charge-
2.6Keep-Alives considérés comme nuisiblesPris en charge-
3Format de paquetPris en charge-
4Types de paquetsPris en charge-
4.1Access-RequestPris en charge-
4.2Access-AcceptPris en charge-
4.3Access-RejectPris en charge-
4.4Access-ChallengePris en charge-
5AttributsPris en charge-
5.1User-NamePris en charge-
5.2User-PasswordPris en charge-
5.3CHAP-PasswordPris en charge-
5.4NAS (Network Access Server)-IP-AddressPris en charge-
5.5NAS-PortPris en charge-
5.6Service-TypePris en charge-
5.7Framed-ProtocolPris en charge-
5.8Framed-IP-AddressPris en charge-
5.9Framed-IP-NetmaskPris en charge-
5.10Framed-RoutingPris en charge-
5.11Filter-IdPris en charge-
5.12Framed-MTU (Maximum Transmission Unit)Pris en charge-
5.13Framed-CompressionPris en charge-
5.14Login-IP-HostPris en charge-
5.15Login-ServicePris en charge-
5.16Login-TCP (Transmission Control Protocol)-PortPris en charge-
5.17(non assigné)Pris en charge-
5.18Reply-MessagePris en charge-
5.19Callback-NumberPris en charge-
5.20Callback-IdPris en charge-
5.21(non assigné)Pris en charge-
5.22Framed-RoutePris en charge-
5.23Framed-IPX-NetworkPris en charge-
5.24StatePris en charge-
5.25ClassPris en charge-
5.26Vendor-SpecificPris en charge-
5.27Session-TimeoutPris en charge-
5.28Idle-TimeoutPris en charge-
5.29Termination-ActionPris en charge-
5.30Called-Station-IdPris en charge-
5.31Calling-Station-IdPris en charge-
5.32NAS-IdentifierPris en charge-
5.33Proxy-StatePris en charge-
5.34Login-LAT-ServicePris en charge-
5.35Login-LAT-NodePris en charge-
5.36Login-LAT-GroupPris en charge-
5.37Framed-AppleTalk-LinkPris en charge-
5.38Framed-AppleTalk-NetworkPris en charge-
5.39Framed-AppleTalk-ZonePris en charge-
5.40CHAP-ChallengePris en charge-
5.41NAS-Port-TypePris en charge-
5.42Port-LimitPris en charge-
5.43Login-LAT-PortPris en charge-
5.44Table des attributsPris en charge-
6Considérations de l’IANA (Internet Assigned Numbers Authority)Aucune exigence-
6.1Définition des termesAucune exigence-
6.2Politiques d’enregistrement recommandéesAucune exigence-
7ExemplesPris en charge-
7.1Telnet utilisateur vers un hôte spécifiéPris en charge-
7.2Authentification d’utilisateur Framed avec CHAPPris en charge-
7.3Utilisateur avec carte Challenge-ResponseNon pris en charge-
8Considérations de sécuritéNon pris en charge-
9Journal des modifications (Change Log)Aucune exigence-
10RéférencesAucune exigence-
11RemerciementsAucune exigence-
12Adresse du présidentAucune exigence-
13Adresses des auteursAucune exigence-
14Déclaration complète des droits d’auteurAucune exigence-

Le tableau 1-2 suivant fournit une liste des informations de conformité pour les sections du protocole RADIUS dans la RFC-2869.

Tableau 1-2 : Conformité des sections de la RFC-2869

Numéro de sectionSectionStatutNotes
1IntroductionNon applicable-
1.1Spécification des exigencesNon applicable-
1.2TerminologieNon applicable-
2FonctionnementPartiellement pris en charge-
2.1Prise en charge RADIUS pour les mises à jour de comptabilisation intermédiairesNon pris en charge-
2.2Prise en charge RADIUS pour Apple Remote Access ProtocolNon pris en charge-
2.3Prise en charge RADIUS pour EAP (Extensible Authentication Protocol)Pris en charge-
2.3.1Aperçu du protocolePris en charge-
2.3.2RetransmissionPris en charge-
2.3.3FragmentationNon pris en charge-
2.3.4ExemplesPris en charge-
2.3.5Utilisations alternativesPris en charge-
3Format de paquetPris en charge-
4Types de paquetsPris en charge-
5AttributsPartiellement pris en charge-
5.1Acct-Input-GigawordsNon pris en charge-
5.2Acct-Output-GigawordsNon pris en charge-
5.3Event-TimestampNon pris en charge-
5.4ARAP-PasswordNon pris en charge-
5.5ARAP-FeaturesNon pris en charge-
5.6ARAP-Zone-AccessNon pris en charge-
5.7ARAP-SecurityNon pris en charge-
5.8ARAP-Security-DataNon pris en charge-
5.9Password-RetryNon pris en charge-
5.10PromptNon pris en charge-
5.11Connect-InfoNon pris en charge-
5.12Configuration-TokenNon pris en charge-
5.13EAP-MessagePris en charge-
5.14Message-AuthenticatorPris en charge-
5.15ARAP-Challenge-ResponseNon pris en charge-
5.16Acct-Interim-IntervalNon pris en charge-
5.17NAS-Port-IdPris en charge-
5.18Framed-PoolNon pris en charge-
5.19Table des attributsNon pris en charge-
6Considérations de l’IANAAucune exigence-
7Considérations de sécuritéPris en charge-
7.1Sécurité du Message-AuthenticatorPris en charge-
7.2Sécurité EAPPris en charge-
7.2.1Séparation du serveur EAP et de l’authentificateur PPPNon pris en charge-
7.2.2Détournement de connexion (Connection hijacking)Non pris en charge-
7.2.3Attaques de l’homme du milieu (Man in the middle)Non pris en charge-
7.2.4Bases de données multiplesNon pris en charge-
7.2.5Attaques par négociation (Negotiation attacks)Non pris en charge-
8RéférencesAucune exigence-
9RemerciementsAucune exigence-
10Adresse du présidentAucune exigence-
11Adresses des auteursAucune exigence-
12Déclaration complète des droits d’auteurAucune exigence-

AVPs Access-Request

Voici un tableau 1-3 contenant les informations de conformité pour les paires attribut-valeur (AVP) Access-Request.

Tableau 1-3 : AVPs Access-Request

RADIUS AVPStatutNotes
User-NamePris en charge-
User-PasswordPris en charge-
CHAP-PasswordPris en charge-
CHAP-ChallengePris en charge-
NAS-IP-AddressPris en charge-
NAS-PortPris en charge-
NAS-Port-TypePris en charge-
NAS-IdentifierPris en charge-
Service-TypePris en charge-
Framed-ProtocolPris en charge-
Framed-IP-AddressPris en charge-
Framed-IP-NetmaskPris en charge-
Framed-MTUPris en charge-
Framed-CompressionPris en charge-
Login-IP-HostPris en charge-
Callback-NumberPris en charge-
Called-Station-IdPris en charge-
Calling-Station-IdPris en charge-
StatePris en charge-
Proxy-StatePris en charge-
Login-LAT-ServicePris en charge-
Login-LAT-NodePris en charge-
Login-LAT-GroupPris en charge-
Login-LAT-PortPris en charge-
Vendor-SpecificPris en charge-
EAP-MessagePris en charge-
Message-AuthenticatorPris en charge-

AVPs Access-Accept

Ci-dessous se trouvent les informations de conformité pour les AVPs Access-Accept.

Tableau 1-4 : AVPs Access-Accept

RADIUS AVPStatutNotes
User-NamePris en charge-
Service-TypePris en charge-
Framed-ProtocolPris en charge-
Framed-IP-AddressPris en charge-
Framed-IP-NetmaskPris en charge-
Framed-RoutingPris en charge-
Framed-RoutePris en charge-
Framed-IPX-NetworkPris en charge-
Framed-AppleTalk-LinkPris en charge-
Framed-AppleTalk-NetworkPris en charge-
Framed-AppleTalk-ZonePris en charge-
Filter-IdPris en charge-
Framed-MTUPris en charge-
Framed-CompressionPris en charge-
Login-IP-HostPris en charge-
Login-ServicePris en charge-
Login-TCP-PortPris en charge-
Reply-MessagePris en charge-
Callback-NumberPris en charge-
Callback-IdPris en charge-
ClassPris en charge-
Session-TimeoutPris en charge-
Idle-TimeoutPris en charge-
Termination-ActionPris en charge-
StatePris en charge-
Proxy-StatePris en charge-
Login-LAT-ServicePris en charge-
Login-LAT-NodePris en charge-
Login-LAT-GroupPris en charge-
Login-LAT-PortPris en charge-
Port-LimitPris en charge-
Vendor-SpecificPris en charge-
Acct-Session-IdPris en charge-
EAP-MessagePris en charge-
Message-AuthenticatorPris en charge-

AVPs Access-Reject

Le tableau 1-5 contient une liste des informations de conformité pour les AVPs Access-Reject.

Tableau 1-5 : AVPs Access-Reject

RADIUS AVPStatutNotes
User-NamePris en charge-
Reply-MessagePris en charge-
ClassPris en charge-
Proxy-StatePris en charge-
Vendor-SpecificPris en charge-
Acct-Session-IdPris en charge-
EAP-MessagePris en charge-
Message-AuthenticatorPris en charge-

AVPs Access-Challenge

Le tableau 1-6 contient les informations de conformité pour les AVPs Access-Challenge.

Tableau 1-6 : AVPs Access-Challenge

RADIUS AVPStatutNotes
Reply-MessagePris en charge-
Session-TimeoutPris en charge-
Idle-TimeoutPris en charge-
StatePris en charge-
Proxy-StatePris en charge-
Vendor-SpecificPris en charge-
EAP-MessagePris en charge-
Message-AuthenticatorPris en charge-

Protocole de comptabilisation RADIUS

Cette section fournit des détails sur la manière dont AAA Gateway mappe les messages de comptabilisation RADIUS pour le protocole RADIUS défini dans la RFC-2866.

Conformité des sections

Ci-dessous se trouve une liste des informations de conformité pour les sections du protocole de comptabilisation RADIUS dans la RFC-2866.

Tableau 2-1 : Conformité des sections de la RFC-2866

Numéro de sectionSectionStatutNotes
1IntroductionNon applicable-
1.1Spécification de l’exigenceNon applicable-
1.2TerminologieNon applicable-
2FonctionnementPris en charge-
2.1ProxyNon pris en charge-
3Format de paquetPris en charge-
4Types de paquetsPris en charge-
4.1Accounting-RequestPris en charge-
4.2Accounting-ResponsePris en charge-
5AttributsPris en charge-
5.1Acct-Status-TypePris en charge-
5.2Acct-Delay-TimePris en charge-
5.3Acct-Input-OctetsPris en charge-
5.4Acct-Output-OctetsPris en charge-
5.5Acct-Session-IdPris en charge-
5.6Acct-AuthenticPris en charge-
5.7Acct-Session-TimePris en charge-
5.8Acct-Input-PacketsPris en charge-
5.9Acct-Output-PacketsPris en charge-
5.10Acct-Terminate-CausePris en charge-
5.11Acct-Multi-Session-IdPris en charge-
5.12Acct-Link-CountPris en charge-
5.13Table des attributsPris en charge-
6Considérations de l’IANAPris en charge-
7Considérations de sécuritéPris en charge-
8Journal des modificationsNon applicable-
9RéférencesAucune exigence-
10RemerciementsAucune exigence-

AVPs Accounting-Request

Le tableau suivant contient la description de la manière dont ECE prend en charge les paires attribut-valeur (AVPs) Accounting-Request.

Tableau 2-2 : AVPs Accounting-Request

AVP de comptabilisation RADIUSStatutNotes
User-NamePris en chargeCet AVP est obligatoire.
NAS-IP-AddressPris en chargeCet AVP est obligatoire.
NAS-IdentifierPris en chargeCet AVP est obligatoire.
NAS-Port-TypePris en charge-
ClassPris en charge-
Service-TypePris en charge-
Framed-ProtocolPris en charge-
Framed-IP-AddressPris en charge-
Framed-IP-NetmaskPris en charge-
Framed-MTUPris en charge-
Framed-CompressionPris en charge-
Login-IP-HostPris en charge-
Callback-NumberPris en charge-
Called-Station-IdPris en charge-
Calling-Station-IdPris en charge-
Proxy-StatePris en charge-
Login-LAT-ServicePris en charge-
Login-LAT-NodePris en charge-
Login-LAT-GroupPris en charge-
Login-LAT-PortPris en charge-
CHAP-ChallengePris en charge-
Acct-Status-TypePris en chargeCet AVP est obligatoire.
Acct-Delay-TimePris en charge-
Acct-Input-OctetsPris en charge-
Acct-Output-OctetsPris en charge-
Acct-Session-IdPris en chargeCet AVP est obligatoire.
Acct-AuthenticPris en charge-
Acct-Session-TimePris en charge-
Acct-Input-PacketsPris en charge-
Acct-Output-PacketsPris en charge-
Acct-Terminate-CausePris en charge-
Acct-Multi-Session-IdPris en charge-
Acct-Link-CountPris en charge-
Vendor-SpecificPris en charge-

AVPs Accounting-Response

Le message Accounting-Response ne contient aucun AVP.

Protocole de déconnexion RADIUS

Cette section décrit comment AAA Gateway mappe les messages de déconnexion RADIUS pour le protocole RADIUS défini dans la RFC-3576.

Conformité des sections

Ci-dessous se trouvent les informations de conformité pour les sections du protocole de déconnexion RADIUS dans la RFC-3576.

Tableau 3-1 : Conformité des sections de la RFC-3576

Numéro de sectionSectionStatutNotes
1Introduction--
1.1Applicabilité--
1.2Langage des exigences--
1.3Terminologie--
2Aperçu--
2.1Messages de déconnexion (DM)--
2.2Messages de changement d’autorisation (CoA)--
2.3Format de paquet--
3Attributs--
3.1Cause d’erreur (Error-Cause)--
3.2Table des attributs--
4Considérations de l’IANA--
5Considérations de sécurité--
5.1Problèmes d’autorisation--
5.2Usurpation d’identité (Impersonation)--
5.3Directives d’utilisation d’IPsec--
5.4Protection contre le rejeu (Replay protection)--
6Traces d’exemple--
7Références--
7.1Références normatives--
7.2Références informatives--
8Déclaration sur la propriété intellectuelle--
9Remerciements--
10Adresses des auteurs--
11Déclaration complète des droits d’auteur--

AVPs Disconnect-Request

Le tableau 3-2 suivant répertorie les informations de conformité pour les paires attribut-valeur (AVP) Disconnect-Request.

Tableau 3-2 : AVPs Disconnect-Request

RADIUS AVPStatutNotes
User-NamePris en charge-
User-PasswordPris en charge-
CHAP-PasswordPris en charge-
CHAP-ChallengePris en charge-
NAS-IP-AddressPris en charge-
NAS-PortPris en charge-
NAS-Port-TypePris en charge-
NAS-IdentifierPris en charge-
Service-TypePris en charge-
Framed-ProtocolPris en charge-
Framed-IP-AddressPris en charge-
Framed-IP-NetmaskPris en charge-
Framed-MTUPris en charge-
Framed-CompressionPris en charge-
Login-IP-HostPris en charge-
Callback-NumberPris en charge-
Called-Station-IdPris en charge-
Calling-Station-IdPris en charge-
StatePris en charge-
Proxy-StatePris en charge-
Login-LAT-ServicePris en charge-
Login-LAT-NodePris en charge-
Login-LAT-GroupPris en charge-
Login-LAT-PortPris en charge-
Vendor-SpecificPris en charge-
EAP-MessagePris en charge-
Message-AuthenticatorPris en charge-

AVPs Disconnect-Response

Le message Disconnect-Response ne contient aucun AVP.

Précédent
5G CHF
Suivant
FAQ