[注5]包括内COA请求时,这些属性 授权代表变更请求。在隧道的属性(S)
一个成功的COA请求,所有现有的隧道内发送 属性被删除,取而代之的是新的属性(次)。
千叶,等。信息[第18页]
RFC 3576动态授权扩展到radius为2003年7月
[注6]当断开请求或COA请求,包括在 服务类型属性值“仅授权”表示 请求只包含NAS和会话识别属性, NAS应该尝试重新授权发送接入
请求与服务类型属性值“仅授权”。
这使得使用模型类似于支持Diameter,从而 宽松两种协议之间的解释。支持 服务型属性是可选的COAA请求和内 断开请求消息,它不包括的地方,请求 消息可能包含识别和授权属性。 一个NAS不支持服务类型属性的值 “仅授权”内断开请求必须回应一个 断开-NAK包括无服务类型属性;错误原因
属性值“不支持的服务”可能包括在内。一个NAS 不支持服务类型属性的值
“仅授权”的CoA请求内必须响应的CoA-NAK 不包括服务类型属性的错误原因属性 值“不支持的服务”可能包括在内。
一个NAS支持“仅授权”服务类型值内 必须回应一个断开连接请求或COA请求消息 断开-NAK或COAA-NAK分别包含一个服务类型 属性值“仅授权”,和一个错误的原因属性
值“的要求发起的。”然后,NAS发送的Access-Request 服务类型属性值的RADIUS服务器
“仅授权”。该访问请求应该包含NAS 从断开或COAA请求的属性,以及该会话 属性的Access-Request请求法律列入
[RFC2865]中指定的[RFC2868] [RFC2869]及[RFC3162]。如 注意在[RFC2869]第5.19节,Message-Authenticator属性
应包括在不包含的Access-Request
用户密码,CHAP密码,ARAP密码或EAP-Message属性。 RADIUS服务器发回的Access-Accept(重新)授权 会议或访问拒绝拒绝(重新)授权。
[注7]国家属性由RADIUS发送
在断开连接请求或COAA-Request消息和服务器的NAS 必须从NAS向RADIUS服务器在发送未修改 随后的ACK或NAK消息。如果一个服务型属性 值“仅授权”被包括在一个中断请求或COA 请求一起国家属性,国家属性必须
从NAS向RADIUS服务器发送未修改产生
向RADIUS服务器发送访问请求,如果有的话。国家 也可将属性由RADIUS服务器发送
NAS的CoA请求中,还包括一个终止动作 RADIUS请求属性的值。如果客户端执行 通过发送一个新的访问请求后终止行动 终止当前的会话,它必须包括国家
千叶,等。信息[第19页]
RFC 3576动态授权扩展到radius为2003年7月
在该访问请求的属性不变。在任何一种使用情况, 客户端不能视之为本地属性。 a断开,
请求或COA请求数据包必须有只有零个或一个国家 属性。 State属性的用法是依赖于实现。 如果RADIUS服务器不承认国家中的属性 访问请求,那么它必须发送访问拒绝。
下表定义了上述表项的含义。
0这个属性不能在包中出现。
0 +零个或多个实例,该属性中可能存在 数据包。
0-1零个或一个实例,这个属性可以在包中出现。 1究竟该属性的一个实例必须是在包中出现。
4。 IANA考虑
此文件使用RADIUS [RFC2865]命名空间,见
40 - 断开请求 41 - 断开-ACK 42 - 断开-NAK 43 - COAA请求 44 - COAA-ACK 45 - COAA-NAK
分配一个新的服务类型值“仅授权”
请求。该文件还使用UDP [RFC768]命名空间,见
#VALUE --------
201剩余会话上下文删除 202无效的EAP报文(忽略) 401不支持的属性 402缺少属性
403 NAS标识不匹配 404无效请求 405不支持服务 406不支持扩展 501管理方式禁止
502请求不可路由(代理)
千叶,等。信息[第20页]
RFC 3576动态授权扩展到radius为2003年7月
503会话上下文未找到 504会话上下文不可拆卸 505其他代理加工错误 506资源不可用 507请求
5。安全注意事项
5.1。授权问题
凡NAS是由多个供应商共享,这是不可取的 一个供应商能够发送断开连接请求或COA请求的 影响另一个供应商的会议。
一个NAS或RADIUS代理必须丢弃断开请求或
从不受信任来源的的COA请求消息。默认情况下,RADIUS 代理应执行“反向路径转发(RPF)检查 验证源于一个断开请求或COA请求
授权的RADIUS服务器。此外,它应该有可能 明确授权其他来源的断开请求或
COAA-Request报文中涉及到某些类别的会话。为 例如,一个特定的源可以被明确授权发送 COA请求有关的消息一组领域内的用户。
要进行RPF检查,代理使用的会话标识
断开连接请求或COA请求消息中包含的属性, 命令,以确定在RADIUS服务器(s)到一个等效 访问请求进行路由。如果源地址的
断开连接请求或COA请求是在此集合,然后 请求被转发,否则它必须被丢弃。
通常情况下,代理将提取的境界,从网络访问 标识符[RFC2486]内包含User-Name属性, 在代理路由,确定相应的RADIUS服务器
表。该领域的RADIUS服务器,然后进行比较的
该数据包的源地址。如果没有RADIUS代理的存在, RPF检查将需要执行的NAS本身。
由于授权发送断开请求或COA请求 确定的基础上的源地址和相应的共享
秘密,当属或股东代理人应配置不同的共享 每个RADIUS服务器的秘密。