RFC3576中文版 下载本文

在内。 a断开ACK可能包含属性ACCT终止原因(49)[RFC2866]设置的值6帮助复位。

2.2。更改授权消息(COA)

COAA-Request报文中包含的信息动态变化会话授权。这通常是用来修改数据过滤器。无论是入口或出口的数据过滤器可以样,发送除了识别属性第3节中描述。所使用的端口和报文格式(详见在第2.3节),都是一样的,断开请求消息。

下面的属性可能被发送中的CoA要求:

过滤器的ID(11) - 表示数据过滤器列表的名称 会议申请鉴定 属性映射到。

+ ---------- +COA请求+ ---------- + | | <-------------------- | | | NAS | |radius| | |COA响应|服务器|

| | ---------------------> | | + ---------- + ---------- +

NAS响应与RADIUS服务器发送请求的CoA COAA-ACK,如果NAS能够成功改变授权

为用户会话,或者如果请求是不成功的CoA-NAK。一 NAS必须应对的CoA请求包括服务类型属性

千叶,等。信息[6]

RFC 3576动态授权扩展到radius为2003年7月

值“仅授权”的CoA-NAK的CoA-ACK必须不

发送。一个NAS必须应对的CoA请求,包括服务类型 错误原因的CoA-NAK不受支持的值的属性; 属性值“不支持的服务”可能包括在内。

2.3。数据包格式

对于断开请求或的COA请求消息的UDP端口3799 作为目的端口。对于响应,源极和

目的地端口逆转。整整一个RADIUS报文

封装UDP数据领域。

概要的数据格式如下所示。这些字段是 发送的由左到右。

数据包格式包括领域:代码,标识符,长度, 验证器中的属性类型:长度值(TLV)格式。所有 领域持有radius[RFC2865]的含义相同。 Authenticator域必须以同样的方式计算 指定记帐请求[RFC2866]。

0 1 2 3

0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + |代码|标识符|长度|

+ - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + | |

|验证器| | | | |

+ - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + |属性...

+ - + - + - + - + - + - + - + - + - + - + - + - + -

代码字段是一个字节,确定何种类型的RADIUS 数据包。接收的数据包无效的代码字段必须是 丢弃。这个扩展的RADIUS代码(十进制) 分配如下:

40 - 断开请求[RFC2882] 41 - 断开ACK的[RFC2882] 42 - 断开-NAK [RFC2882] 43 - COAA请求[RFC2882] 44 - COAA-ACK [RFC2882] 45 - COAA-NAK [RFC2882]

千叶,等。信息[第13页]

RFC 3576动态授权扩展到radius为2003年7月

识别码

标识符字段是一个字节,用于匹配请求

和回复。 RADIUS客户端可以检测到重复的请求,如果 同一台服务器上的源IP地址和源UDP端口和 在很短的时间跨度内的标识符。

不同于RADIUS作为定义在[RFC2865],负责 断开连接请求和COA请求消息重发的根本所在 与RADIUS服务器。如果发送这些消息后, RADIUS服务器没有收到回应,就会重传。

标识符字段内容时,必须改变

属性场的变化,或当一个有效的答复一直 收到前一个请求。重传

内容是相同的,标识符必须保持不变。

如果RADIUS服务器重传一个断开请求或 COAA像以前相同的客户端请求,和属性 没有改变,相同的请求认证,标识和源

端口必须被使用。如果任何属性已经改变,一个新的 验证者标识符必须被使用。

需要注意的是,如果事件的时间戳属性包括在内,这将是 重新传输数据包时,改变的内容更新 属性字段,需要一个新的标识符和请求 认证者。

如果主代理请求失败,二级代理必须

查询,如果有的话。有关的问题进行故障转移算法 [AAATransport]中所述。由于这代表一个新的请求, 一个新的请求认证和标识必须使用。然而, RADIUS服务器直接发送给客户端,

故障转移通常没有任何意义,因为断开或COA 消息需要被传递到的NAS会话

驻留。

长度

长度域是两个字节。它表示的长度

包包括代码,标识,长度,Authenticator和 属性字段。的范围之外的长度字段的字节 必须被当作填充和接收时忽略。如果 数据包是小于长度字段表示,它必须是 丢弃。的最小长度为20的最大 长度为4096。

千叶,等。信息[第13页]

RFC 3576动态授权扩展到radius为2003年7月

验证器

Authenticator域是十六(16)个八位位组。的最 显著字节先传输。此值被用来

验证RADIUS服务器和客户端之间的信息。

请求认证

在请求数据包,Authenticator值是一个16字节的MD5 [RFC1321]校验,请求认证。请求

Authenticator已被以同样的方式计算为一个会计 请求,指定在[RFC2866]。

注意,一个断开连接或COA请求的请求认证 能不能做到同样的方式作为一个请求验证 RADIUS访问请求,因为没有用户密码属性 在断开连接请求或COA请求。

回应认证

Authenticator域响应报文(如断开ACK,

断开-NAK,COAA-ACK,或COAA-NAK)被称为响应 身份验证器,并包含一个单向MD5哈希值计算了一个