在内。 a断开ACK可能包含属性ACCT终止原因(49)[RFC2866]设置的值6帮助复位。
2.2。更改授权消息(COA)
COAA-Request报文中包含的信息动态变化会话授权。这通常是用来修改数据过滤器。无论是入口或出口的数据过滤器可以样,发送除了识别属性第3节中描述。所使用的端口和报文格式(详见在第2.3节),都是一样的,断开请求消息。
下面的属性可能被发送中的CoA要求:
过滤器的ID(11) - 表示数据过滤器列表的名称 会议申请鉴定 属性映射到。
+ ---------- +COA请求+ ---------- + | | <-------------------- | | | NAS | |radius| | |COA响应|服务器|
| | ---------------------> | | + ---------- + ---------- +
NAS响应与RADIUS服务器发送请求的CoA COAA-ACK,如果NAS能够成功改变授权
为用户会话,或者如果请求是不成功的CoA-NAK。一 NAS必须应对的CoA请求包括服务类型属性
千叶,等。信息[6]
RFC 3576动态授权扩展到radius为2003年7月
值“仅授权”的CoA-NAK的CoA-ACK必须不
发送。一个NAS必须应对的CoA请求,包括服务类型 错误原因的CoA-NAK不受支持的值的属性; 属性值“不支持的服务”可能包括在内。
2.3。数据包格式
对于断开请求或的COA请求消息的UDP端口3799 作为目的端口。对于响应,源极和
目的地端口逆转。整整一个RADIUS报文
封装UDP数据领域。
概要的数据格式如下所示。这些字段是 发送的由左到右。
数据包格式包括领域:代码,标识符,长度, 验证器中的属性类型:长度值(TLV)格式。所有 领域持有radius[RFC2865]的含义相同。 Authenticator域必须以同样的方式计算 指定记帐请求[RFC2866]。
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + |代码|标识符|长度|
+ - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + | |
|验证器| | | | |
+ - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + |属性...
+ - + - + - + - + - + - + - + - + - + - + - + - + -
码
代码字段是一个字节,确定何种类型的RADIUS 数据包。接收的数据包无效的代码字段必须是 丢弃。这个扩展的RADIUS代码(十进制) 分配如下:
40 - 断开请求[RFC2882] 41 - 断开ACK的[RFC2882] 42 - 断开-NAK [RFC2882] 43 - COAA请求[RFC2882] 44 - COAA-ACK [RFC2882] 45 - COAA-NAK [RFC2882]
千叶,等。信息[第13页]
RFC 3576动态授权扩展到radius为2003年7月
识别码
标识符字段是一个字节,用于匹配请求
和回复。 RADIUS客户端可以检测到重复的请求,如果 同一台服务器上的源IP地址和源UDP端口和 在很短的时间跨度内的标识符。
不同于RADIUS作为定义在[RFC2865],负责 断开连接请求和COA请求消息重发的根本所在 与RADIUS服务器。如果发送这些消息后, RADIUS服务器没有收到回应,就会重传。
标识符字段内容时,必须改变
属性场的变化,或当一个有效的答复一直 收到前一个请求。重传
内容是相同的,标识符必须保持不变。
如果RADIUS服务器重传一个断开请求或 COAA像以前相同的客户端请求,和属性 没有改变,相同的请求认证,标识和源
端口必须被使用。如果任何属性已经改变,一个新的 验证者标识符必须被使用。
需要注意的是,如果事件的时间戳属性包括在内,这将是 重新传输数据包时,改变的内容更新 属性字段,需要一个新的标识符和请求 认证者。
如果主代理请求失败,二级代理必须
查询,如果有的话。有关的问题进行故障转移算法 [AAATransport]中所述。由于这代表一个新的请求, 一个新的请求认证和标识必须使用。然而, RADIUS服务器直接发送给客户端,
故障转移通常没有任何意义,因为断开或COA 消息需要被传递到的NAS会话
驻留。
长度
长度域是两个字节。它表示的长度
包包括代码,标识,长度,Authenticator和 属性字段。的范围之外的长度字段的字节 必须被当作填充和接收时忽略。如果 数据包是小于长度字段表示,它必须是 丢弃。的最小长度为20的最大 长度为4096。
千叶,等。信息[第13页]
RFC 3576动态授权扩展到radius为2003年7月
验证器
Authenticator域是十六(16)个八位位组。的最 显著字节先传输。此值被用来
验证RADIUS服务器和客户端之间的信息。
请求认证
在请求数据包,Authenticator值是一个16字节的MD5 [RFC1321]校验,请求认证。请求
Authenticator已被以同样的方式计算为一个会计 请求,指定在[RFC2866]。
注意,一个断开连接或COA请求的请求认证 能不能做到同样的方式作为一个请求验证 RADIUS访问请求,因为没有用户密码属性 在断开连接请求或COA请求。
回应认证
Authenticator域响应报文(如断开ACK,
断开-NAK,COAA-ACK,或COAA-NAK)被称为响应 身份验证器,并包含一个单向MD5哈希值计算了一个