网络工作小组M.千叶
请求注解:3576 G. Dommety 类别:资讯·埃克伦德 解释:资深巫师
思科系统公司 D.米顿
循环逻辑,UNLTD。 B. Aboba 微软公司 2003年7月
动态授权扩展至远程
身份验证拨入用户服务(RADIUS)
本备忘录的状态
本备忘录为互联网社区提供的信息。它 不指定任何一种Internet标准。分布 备忘录是无限的。
版权声明
版权所有(C)因特网协会(2003年)。保留所有权利。 抽象
本文档描述了目前部署扩展到远程
身份验证拨入用户服务(RADIUS)协议,允许 到用户会话中的动态变化,实现网络接入 服务器产品。这包括支持断开用户 不断变化的适用到用户会话的授权。
RFC 3576动态授权扩展radius 2003年7月 篇目
1。简介。 。 。 。 。 。 。 。 。 。 。 。 。。。。。 。 。 3 1.1。适用性。 。 。 。 。 。 。 。 。。。 。 。 。 3 1.2。要求语言。 。 。 。 。 。 。 。。。。 。 。 。 5 1.3。术语。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 5
2。概述。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 5 2.1。断开消息(DM)。 。 。 。 。 。。。。 。 。 。 。 5 2.2。更改授权消息(COA)。 。 。 。 。。。。 。 。 。 6 2.3。数据包格式。 。 。 。 。 。 。。 。 。 。 。 。 。 7 3。属性。 。 。 。 。 。 。 。 。 。 。 。。。 。 。 。 。 。 11
3.1。错误原因。 。 。 。 。 。 。 。 。 。 。 。 。 。 13 3.2。属性表。 。 。 。 。 。 。 。 。 。 。。。。 。 16
4。 IANA考虑。 。 。 。 。。。。。。 。 。 。 。 。 。 。 。 20 5。安全注意事项。 。 。 。 。 。 。 。 。 。。 。 。 。 。 。 21 5.1。授权问题。 。 。 。 。 。 。 。 。 。 。 。 。 。 21 5.2。模拟。 。 。 。 。 。 。。。。 。 。 。 。 。 。 22 5.3。 IPsec的使用指南。 。 。 。 。 。 。 。 。 。 22 5.4。重播保护。 。 。 。 。 。 。 。 。 。 。 。 。 25
6。例子。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。。 。 26 7。引用。 。 。 。 。 。 。 。 。 。。 。 。 。 。 。 。 。 。 26 7.1。规范性引用文件。 。 。 。 。 。。。。 。 。 。 。 26 7.2。参考性文献。 。 。 。 。 。。 。 。 。 。 。 。 27
8。知识产权声明。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 28 9。鸣谢。 。 。 。 。 。 。 。 。 。。 。 。 。 。 。 。 。 。 28 10。作者地址。 。 。 。 。 。 。 。 。。 。 。 。 。 。 。 。 29 11。版权声明。 。 。 。 。 。 。 。。。。 。 。 。 。 。 。 。 30
RFC 3576动态授权扩展radius 2003年7月
1。介绍
RADIUS协议[RFC2865]中定义,不支持不请自来的数据包从RADIUS服务器发送到网络接入服务器(NAS)。
然而,有许多实例中,这是值得需要的进行会话的特征,而不需要变更的NAS发起了交流。例如,它可能是所需要的功能。管理员能够终止用户会话正在进行中。另外,如果用户更改授权级别,这可能要求授权属性添加/删除用户会话。
为了克服这些限制,一些厂商已经实现了为了能够支持,主动的提供了附加RADIUS命令发送的消息从RADIUS服务器到NAS。这些扩展断开并更改授权命令提供支持(COA)消息。断开消息导致用户会话立即终止,而CoA消息修改会话授权属性,如数据过滤器。
1.1。适用性
该协议被推荐作为出版信息RFC,而不是作为一个标准跟踪RFC因为
不能固定不兼容,而无需创建问题部署实现。这包括安全漏洞,以及语义含糊,因此从设计的更改的授权(COA)命令。虽然修复建议,它们不能被强制性的,因为这将不符合现有的实现。
此协议不支持现有的实现授权检查,使ISP分享的NAS与其他ISP可以断开或改变另一个ISP的用户授权。为了解决这个问题,“反向路径转发”检查推荐。参见5.1节。了解详情。
现有的实现利用每包认证与已知弱点的完整性保护算法[MD5Attack]。为了提供更强的每个数据包的认证和完整性保护,使用IPsec的建议。参见5.3节。为细节。
现有的实现缺乏重播保护。为了支持重放检测,它是建议的事件的Event-Timestamp属性添加到所有数据包的情况下,IPsec的重播未就业的保护。应该是可配置的实现默默丢弃缺乏事件的Event-Timestamp属性的消息。参见5.4节。了解详情。
COA命令所采取的方法,在现有的实现结果在语义含糊。现有的实现COA请求确定受影响的会议,以及提供授权的变化。由于RADIUS属性包含在现有的实现可以用于会话的CoA请求鉴定或授权的变化,它可能不明确功能一个给定的属性服务。
问题并不存在于[Diameter],其中授权命令使用属性值对(AVP的变化要求)专为识别,从而产生一个标准的开始授权请求/响应序列变化提供。其结果是,在没有命令可以有多个可能的Diameter的AVP的含义。
由于在处理变化的授权请求的差异RADIUS和Diameter,它可能是困难或不可能的
Diameter/radius网关成功地解释现有本规范的实现等效消息
Diameter。例如,一个Diameter命令改变任何属性用于识别在现有的COA请求实现不能被解释,因为这样的授权的变化是不可能开展在现有的实现。同样地,现有的实现之间断开请求解释或COA请求消息和Diameter是棘手的,因为断开请求或COAA-REQUEST消息将需要被解释成多Diameter命令。
为了简化解释的radius和Diameter之间,服务类型属性与价值“仅授权”(可选)之内断开申请或COA请求。这样的要求包含唯一标识属性。一个NAS支持“授权只有“服务型内断开请求或COA请求响应一个NAK包含服务类型属性与价值的“仅授权”属性值“的请求和错误原因启动“。然后,NAS将发送的Access-Request包含服务类型属性的值为“仅授权”。这种用序列是类似的Diameter会发生什么,所以更容易解释由一个Diameter/radius网关。
RFC 3576动态授权扩展到radius为2003年7月
1.2。要求语言
在本文档中,一些字用来表示要求
的规范。这些话往往被资本化。关键字:\\NOT\\\本文档中的[RFC2119]中所描述的将被解释。
1.3。术语
本文频繁使用以下条款:
网络访问服务器(NAS):该设备提供访问网络。服务:NAS提供给用户的服务,如IEEE 802或PPP。时段:每一个由NAS提供的服务用户构成了会议,定义为会话开始点首先提供服务在会议结束定义为服务结束的地步。一用户可能有多个会话并联或串联,如果NAS支持这一点。静默的丢弃:这意味着实施丢弃未经进一步加工的包。实现应该提供记录错误的能力,包括的内容被静默丢弃的数据包,并应记录在统计计数器事件。
2。概观
本节介绍了最常用的实现的功能 断开并授权更改的消息。
2.1。断开消息(DM)
RADIUS服务器的断开连接请求包发送在NAS终止用户会话,并丢弃所有相关的会话上下文。断开连接请求数据包发送到UDP端口3799,标识NAS以及终止用户会话列入第3节所述的识别属性。
RFC 3576动态授权扩展到radius为2003年7月
+ ---------- + + ---------- +断开请求 | | <-------------------- | | | NAS | |radius| | |断开响应|服务器|
| | ---------------------> | | + ---------- + ---------- +
NAS响应断开由RADIUS请求报文如果所有相关的会话上下文是服务器断开ACK丢弃,不再连接的用户会话,或断开-NAK,如果NAS无法断开会话丢弃所有相关的会话上下文。一个NAS必须响应断开请求,包括服务类型属性值“仅授权”断开ACK必须不能断开NAK发送。一个NAS必须回应一个断开连接请求包括服务类型属性不受支持的值与断开NAK错误原因属性值“不支持的服务”可能包括