Radius

Ce guide sert de déclaration de conformité à l’implémentation du protocole Radius.

Sujets dans ce document :

Protocole RADIUS

Cette section fournit des informations sur la manière dont AAA Gateway mappe les messages de contrôle d’accès RADIUS pour le protocole RADIUS défini dans RFC-2865 et RFC-2869.

Conformité de la section

Le tableau 1-1 ci-dessous répertorie les informations de conformité pour les sections du protocole RADIUS dans RFC-2865.

Tableau 1-1 : Conformité des sections RFC-2865

Numéro de sectionSectionStatutRemarques
1IntroductionNon applicable-
1.1Spécification des exigencesNon applicable-
1.2TerminologieNon applicable-
2OpérationPartiellement pris en charge-
2.1Challenge/RéponsePris en charge-
2.2Interopérabilité avec PAP et CHAPNon pris en charge-
2.3ProxyNon applicable-
2.4Pourquoi UDP?Non applicable-
2.5Indices de retransmissionPris en charge-
2.6Keep-Alives considérés comme nuisiblesPris en charge
3Format de paquetPris en charge-
4Types de paquetPris en charge-
4.1Demande d’accèsPris en charge-
4.2Acceptation d’accèsPris en charge-
4.3Rejet d’accèsPris en charge-
4.4Défi d’accèsPris en charge-
5AttributsPris en charge-
5.1Nom d’utilisateurPris en charge-
5.2Mot de passe utilisateurPris en charge-
5.3Mot de passe CHAPPris en charge-
5.4Adresse IP NASPris en charge-
5.5Port NASPris en charge-
5.6Type de servicePris en charge-
5.7Protocole encadréPris en charge-
5.8Adresse IP encadréePris en charge-
5.9Masque de réseau IP encadréPris en charge-
5.10Routage encadréPris en charge-
5.11Identifiant de filtrePris en charge-
5.12MTU encadréPris en charge-
5.13Compression-EncadréePris en charge
5.14Hôte-IP-ConnexionPris en charge-
5.15Service-ConnexionPris en charge-
5.16Port-TCP-ConnexionPris en charge-
5.17(non attribué)Pris en charge-
5.18Message-RéponsePris en charge-
5.19Numéro-RappelPris en charge-
5.20Id-RappelPris en charge-
5.21(non attribué)Pris en charge-
5.22Route-EncadréePris en charge-
5.23Réseau-IPX-EncadréPris en charge-
5.24ÉtatPris en charge-
5.25ClassePris en charge-
5.26Spécifique-VendeurPris en charge-
5.27Délai-SéancePris en charge-
5.28Délai-InactivitéPris en charge-
5.29Action-De-TerminaisonPris en charge-
5.30Id-Station-AppelPris en charge-
5.31Id-Station-AppelantePris en charge-
5.32Identifiant-NASPris en charge-
5.33État-ProxyPris en charge-
5.35Login-LAT-NodePris en charge-
5.36Login-LAT-GroupPris en charge-
5.37Framed-AppleTalk-LinkPris en charge-
5.38Framed-AppleTalk-NetworkPris en charge-
5.39Framed-AppleTalk-ZonePris en charge-
5.40CHAP-ChallengePris en charge-
5.41NAS-Port-TypePris en charge-
5.42Port-LimitPris en charge-
5.43Login-LAT-PortPris en charge-
5.44Table des AttributsPris en charge-
6Considérations IANAPas de exigence-
6.1Définition des TermesPas de exigence-
6.2Politiques d’Enregistrement RecommandéesPas de exigence-
7ExemplesPris en charge-
7.1Utilisateur Telnet vers Hôte SpécifiéPris en charge-
7.2Utilisateur Encadré S’Authentifiant avec CHAPPris en charge-
7. 3Utilisateur avec carte Challenge-ResponseNon pris en charge-
8Considérations de sécuritéNon pris en charge-
9Journal des modificationsPas de besoin-
10RéférencesPas de besoin-
11RemerciementsPas de besoin-
12Adresse du présidentPas de besoin-
13Adresses des auteursPas de besoin-
14Déclaration complète de droits d’auteurPas de besoin-

La table suivante 1-2 fournit une liste des informations de conformité pour les sections du protocole RADIUS dans le RFC-2869.

Table 1-2 : Conformité des sections RFC-2869

Numéro de sectionSectionStatutRemarques
1IntroductionNon applicable-
1.1Spécification des exigencesNon applicable-
1.2TerminologieNon applicable-
2FonctionnementPartiellement pris en charge-
2.1Support RADIUS pour les mises à jour de comptabilité intérimairesNon pris en charge-
2.2Support RADIUS pour le protocole d’accès à distance AppleNon pris en charge-
2.3Support RADIUS pour le protocole d’authentification extensible (EAP)Pris en charge-
2.3.1Vue d’ensemble du protocolePris en charge-
2.3.2RetransmissionPris en charge-
2.3.4ExemplesPris en charge-
2.3.5Utilisations alternativesPris en charge-
3Format de paquetPris en charge-
4Types de paquetPris en charge-
5AttributsPartiellement pris en charge-
5.1Acct-Input-GigawordsNon pris en charge-
5.2Acct-Output-GigawordsNon pris en charge-
5.3Event-TimestampNon pris en charge-
5.4ARAP-PasswordNon pris en charge-
5.5ARAP-FeaturesNon pris en charge-
5.6ARAP-Zone-AccessNon pris en charge-
5.7ARAP-SecurityNon pris en charge-
5.8ARAP-Security-DataNon pris en charge-
5.9Password-RetryNon pris en charge-
5.10InviteNon pris en charge-
5.11Connect-InfoNon pris en charge-
5.12Configuration-TokenNon pris en charge-
5.13EAP-MessagePris en charge-
5.14Message-AuthenticatorPris en charge-
5.16Acct-Interim-IntervalNon pris en charge-
5.17NAS-Port-IdPris en charge-
5.18Framed-PoolNon pris en charge-
5.19Table des AttributsNon pris en charge-
6Considérations IANAPas d’exigence-
7Considérations de SécuritéPris en charge-
7.1Sécurité de l’Authentificateur de MessagePris en charge-
7.2Sécurité EAPPris en charge-
7.2.1Séparation du serveur EAP et de l’authentificateur PPPNon pris en charge-
7.2.2Détournement de connexionNon pris en charge-
7.2.3Attaques de l’homme du milieuNon pris en charge-
7.2.4Bases de données multiplesNon pris en charge-
7.2.5Attaques de négociationNon pris en charge-
8RéférencesPas d’exigence-
9RemerciementsPas d’exigence-
10Adresse du PrésidentPas d’exigence-
11Adresses des AuteursPas d’exigence-
12Déclaration de Droits d’Auteur ComplètePas d’exigence-

Access-Request AVPs

Voici un Tableau 1-3 avec les informations de conformité pour les paires attribut-valeur (AVPs) de la demande d’accès. Table 1-3: Access-Request AVPs

RADIUS AVPStatutRemarques
User-NameSupporté-
User-PasswordSupporté-
CHAP-PasswordSupporté-
CHAP-ChallengeSupporté-
NAS-IP-AddressSupporté-
NAS-PortSupporté-
NAS-Port-TypeSupporté-
NAS-IdentifierSupporté-
Service-TypeSupporté-
Framed-ProtocolSupporté-
Framed-IP-AddressSupporté-
Framed-IP-NetmaskSupporté-
Framed-MTUSupporté-
Framed-CompressionSupporté-
Login-IP-HostSupporté-
Callback-NumberSupporté-
Called-Station-IdSupporté-
Calling-Station-IdSupporté-
StateSupporté-
Proxy-StateSupporté-
Login-LAT-ServiceSupporté-
Login-LAT-NodeSupporté-
Login-LAT-GroupSupporté-
Login-LAT-PortSupporté-
Vendor-SpecificSupporté-
EAP-MessageSupporté-
Message-AuthenticatorSupporté-

Access-Accept AVPs

Below is the compliance information for Access-Accept AVPs. Table 1-4: Access-Accept AVPs

RADIUS AVPStatutRemarques
User-NameSupporté-
Service-TypeSupporté-
Framed-ProtocolSupporté-
Framed-IP-AddressSupporté-
Framed-IP-NetmaskSupporté-
Framed-RoutingSupporté-
Framed-RouteSupporté-
Framed-IPX-NetworkSupporté-
Framed-AppleTalk-LinkSupporté-
Framed-AppleTalk-NetworkSupporté-
Framed-AppleTalk-ZoneSupporté-
Filter-IdSupporté-
Framed-MTUSupporté-
Framed-CompressionSupporté-
Login-IP-HostSupporté-
Login-ServiceSupporté-
Login-TCP-PortSupporté-
Reply-MessageSupporté-
Callback-NumberSupporté-
Callback-IdSupporté-
ClassSupporté-
Session-TimeoutSupporté-
Idle-TimeoutSupporté-
Termination-ActionSupporté-
StateSupporté-
Proxy-StateSupporté-
Login-LAT-ServiceSupporté-
Login-LAT-NodeSupporté-
Login-LAT-GroupSupporté-
Login-LAT-PortSupporté-
Port-LimitSupporté-
Vendor-SpecificSupporté-
Acct-Session-IdSupporté-
EAP-MessageSupporté-
Message-AuthenticatorSupporté-

Access-Reject AVPs

Table 1-5 a une liste des informations de conformité pour les AVPs Access-Reject. Table 1-5: Access-Reject AVPs

RADIUS AVPStatutRemarques
User-NameSupporté-
Reply-MessageSupporté-
ClassSupporté-
Proxy-StateSupporté-
Vendor-SpecificSupporté-
Acct-Session-IdSupporté-
EAP-MessageSupporté-
Message-AuthenticatorSupporté-

Access-Challenge AVPs

Table 1-6 contient les informations de conformité pour les AVPs Access-Challenge.

Table 1-6: Access-Challenge AVPs

RADIUS AVPStatutRemarques
Reply-MessageSupporté-
Session-TimeoutSupporté-
Idle-TimeoutSupporté-
StateSupporté-
Proxy-StateSupporté-
Vendor-SpecificSupporté-
EAP-MessageSupporté-
Message-AuthenticatorSupporté-

RADIUS Accounting Protocol

Cette section fournit des détails sur la façon dont la passerelle AAA mappe les messages de comptabilité RADIUS pour le protocole RADIUS défini dans le RFC-2866.

Section Compliance

Ci-dessous se trouve une liste des informations de conformité pour les sections du protocole de comptabilité RADIUS dans le RFC-2866.

Table 2-1 Conformité des sections RFC-2866

Numéro de sectionSectionStatutRemarques
1IntroductionNon applicable-
1.1Spécification des exigencesNon applicable-
1.2TerminologieNon applicable-
2OpérationSupporté-
2.1ProxyNon pris en charge
3Format de paquetPris en charge-
4Types de paquetPris en charge-
4.1Demande de comptabilitéPris en charge-
4.2Réponse de comptabilitéPris en charge-
5AttributsPris en charge-
5.1Type de statut de comptePris en charge-
5.2Temps de retard de comptePris en charge-
5.3Octets d’entrée de comptePris en charge-
5.4Octets de sortie de comptePris en charge-
5.5ID de session de comptePris en charge-
5.6Authentique de comptePris en charge-
5.7Temps de session de comptePris en charge-
5.8Paquets d’entrée de comptePris en charge-
5.9Paquets de sortie de comptePris en charge-
5.10Cause de terminaison de comptePris en charge-
5.11ID de multi-session de comptePris en charge-
5.12Compte de lien de comptePris en charge-
6Considérations IANAPris en charge-
7Considérations de SécuritéPris en charge-
8Journal des ModificationsNon applicable-
9RéférencesPas de besoin-
10RemerciementsPas de besoin-

AVPs de Demande de Comptabilité

Le tableau suivant contient la description de la manière dont ECE prend en charge les paires attribut-valeur (AVPs) de Demande de Comptabilité.

Tableau 2-2 AVPs de Demande de Comptabilité

AVP de Comptabilité RADIUSStatutRemarques
Nom d’utilisateurPris en chargeC’est un AVP obligatoire.
Adresse IP NASPris en chargeC’est un AVP obligatoire.
Identifiant NASPris en chargeC’est un AVP obligatoire.
ClassPris en charge-
Service-TypePris en charge-
Framed-ProtocolPris en charge-
Framed-IP-AddressPris en charge-
Framed-IP-NetmaskPris en charge-
Framed-MTUPris en charge-
Framed-CompressionPris en charge-
Login-IP-HostPris en charge-
Callback-NumberPris en charge-
Called-Station-IdPris en charge-
Calling-Station-IdPris en charge-
Proxy-StatePris en charge-
Login-LAT-ServicePris en charge-
Login-LAT-NodePris en charge-
Login-LAT-GroupPris en charge-
Login-LAT-PortPris en charge-
CHAP-ChallengePris en charge-
Acct-Status-TypePris en chargeCeci est un AVP obligatoire.
Acct-Delay-TimePris en charge-
Acct-Input-OctetsPris en charge-
Acct-Output-OctetsPris en charge-
Acct-Session-IdPris en chargeCeci est un AVP obligatoire.
Acct-Session-TimePris en charge-
Acct-Input-PacketsPris en charge-
Acct-Output-PacketsPris en charge-
Acct-Terminate-CausePris en charge-
Acct-Multi-Session-IdPris en charge-
Acct-Link-CountPris en charge-
Vendor-SpecificPris en charge-

Accounting-Response AVPs

Le message Accounting-Response ne contient aucun AVP.

RADIUS Disconnect Protocol

Cette section décrit comment la passerelle AAA mappe les messages de déconnexion RADIUS pour le protocole RADIUS défini dans le RFC-3576.

Section Compliance

Ci-dessous se trouve les informations de conformité pour les sections du protocole RADIUS Disconnect dans le RFC-3576.

Table 3-1 Conformité des sections RFC-3576

Numéro de sectionSectionStatutRemarques
1Introduction--
1.1Applicabilité--
1.2Langage des exigences--
1.3Terminologie--
2Aperçu--
2.1Messages de déconnexion (DM)--
2.2Messages de changement d’autorisation (CoA)--
2.3Format de paquet--
3Attributs--
3.1Cause d’erreur--
3.2Tableau des Attributs-
4Considérations IANA--
5Considérations de Sécurité--
5.1Problèmes d’Autorisation--
5.2Usurpation--
5.3Directives d’Utilisation d’IPsec--
5.4Protection contre la Relecture--
6Exemples de Traces--
7Références--
7.1Références Normatives--
7.2Références Informatives--
8Déclaration de Propriété Intellectuelle--
9Remerciements--
10Adresses de l’Auteur--
11Déclaration de Droits d’Auteur--

disconnect-request avps

La table suivante 3-2 liste les informations de conformité pour les paires attribut-valeur (AVPs) de Disconnect-Request. Table 3-2: Disconnect-Request AVPs

RADIUS AVPStatutRemarques
User-NameSupporté-
User-PasswordSupporté-
CHAP-PasswordSupporté-
CHAP-ChallengeSupporté-
NAS-IP-AddressSupporté-
NAS-PortSupporté-
NAS-Port-TypeSupporté-
NAS-IdentifierSupporté-
Service-TypeSupporté-
Framed-ProtocolSupporté-
Framed-IP-AddressSupporté-
Framed-IP-NetmaskSupporté-
Framed-MTUSupporté-
Framed-CompressionSupporté-
Login-IP-HostSupporté-
Callback-NumberSupporté-
Called-Station-IdSupporté-
Calling-Station-IdSupporté-
StateSupporté-
Proxy-StateSupporté-
Login-LAT-ServiceSupporté-
Login-LAT-NodeSupporté-
Login-LAT-GroupSupporté-
Login-LAT-PortSupporté-
Vendor-SpecificSupporté-
EAP-MessageSupporté-
Message-AuthenticatorSupporté-

Disconnect-Response AVPs

Le message Disconnect-Response n’a pas d’AVPs.