如果收到来自客户端的请求中有任何代理状态属性,在给客户端的回复中,转发服务器
必须在给客户端的回复中包括这些代理状态属性。当转发服务器转发这个请求时,它可以把
代理状态属性包含在其中,也可以在已转发的请求中忽略代理状态属性。如果转发服务器在
转发的接入请求中忽略了代理状态属性,它必须在响应返回给用户之前把这些代理状态属性
添加到该响应中。
现在我们更为详细地说明每一步。
1.NAS 传输它的接入请求给转发服务器。如果用户密码存在,转发服务器会用与 NAS 共
有的密钥对用户密码进行解密。如果在数据包中有一个 CHAP 密码属性存在,没有 CHAP 盘问
属性存在,转发服务器必须保证请求鉴别码完整的情况下,或者把它拷贝到 CHAP 盘问属性中。
转发服务器可以向数据包添加一个代理状态属性(只能添加一个)。如果它添加了代理状
态,该代理状态只能出现在数据包中任何其他代理状态属性之后。转发服务器禁止修改任何
其他已经存在于数据包中的代理状态属性(转发服务器可以选择不转发它们,但一定不能对
它们修改)。转发服务器禁止改变包括代理状态在内的同种类型任何属性的顺序。
2.如果用户密码存在的话,转发服务器用和远程服务器共有的密钥对用户密码进行加密。
它还会根据要求设置标识,向远程服务器转发接入请求。
3.远程服务器(如果是最终目标服务器)会使用用户密码、CHAP 密码或者是将来扩
展时指定的一些方法验证用户的合法性,然后返回接入允许、接入拒绝或者接入盘问给转发
服务器。对于这个例子,远程服务器传输的是一个接入允许数据包,远程服务器必须按照原
有的顺序而且不做任何修改的情况下,把所有的代理状态属性从接入请求中拷贝到响应数据
包中。
4.转发服务器使用它与远程服务器共有的密钥对响应鉴别码(Response Authenticator)
进行验证,如果验证失败,它会简单的将数据包丢弃。如果验证通过,转发服务器去掉最后
的代理状态(如果数据包内它附加过一个),使用它与 NAS 共有的密钥签发响应鉴别码,恢
复标识使它与 NAS 传输的源请求标识匹配,然后传输接入允许给 NAS。
转发服务器可能修改属性以执行本地策略。关于这种策略的讨论是在这篇文档范围之
外,而且是受以下限制的。转发服务器禁止修改数据包中存在的代理状态、状态或类别属性。
转发服务器的实施者应该认真考虑什么样的值可以做为服务类型(Service-Type)接受。
对在代理请求允许中通过 NAS 提示的服务种类或管理的服务种类一起传输服务种类的结果
要给与认真的考虑,而且实施者希望可以提供一些机制阻止那些以上提到的这些种类,或者
是其他的服务种类,或者是其他的属性。关于这些机制的讨论不是在本文档范围之内的。
2.4 为什么使用 UDP
一个经常问到的问题是为什么使用 UDP 而不是 TCP 作为传输协议。选择 UDP 是基于严格
的技术上的原因。
这有许多必须被理解的论点。RADIUS 是一个事务,基于几个具有有趣特点的协议。
1.如果向主验证服务器发出的请求失败,则必须查找备用服务器。
为了满足这个要求,考虑到向备用服务器传输请求,请求副本必须保留在传输层。
这意味着重发计时器仍然是需要的。
2.这个特别协议的计时要求与 TCP 所提供的有较大的不同。
在一种极端的情况下,RADIUS 不做丢失数据的响应检查。用户愿意为完成验证而
等几秒钟。通常带有侵略性的 TCP 中继 (基于平均往返时间)是不需要的,TC 确认 P 开销也
是不需要的。
在另一种极端情况下,用户不愿花几分钟等待验证。因此两分钟后,可靠的 TCP 数
剩余55页未读,继续阅读
-飞得更高-
- 粉丝: 41
- 资源: 17
我的内容管理
展开
最新资源
- C语言快速排序算法的实现与应用
- KityFormula 编辑器压缩包功能解析
- 离线搭建Kubernetes 1.17.0集群教程与资源包分享
- Java毕业设计教学平台完整教程与源码
- 综合数据集汇总:浏览记录与市场研究分析
- STM32智能家居控制系统:创新设计与无线通讯
- 深入浅出C++20标准:四大新特性解析
- Real-ESRGAN: 开源项目提升图像超分辨率技术
- 植物大战僵尸杂交版v2.0.88:新元素新挑战
- 掌握数据分析核心模型,预测未来不是梦
- Android平台蓝牙HC-06/08模块数据交互技巧
- Python源码分享:计算100至200之间的所有素数
- 免费视频修复利器:Digital Video Repair
- Chrome浏览器新版本Adblock Plus插件发布
- GifSplitter:Linux下GIF转BMP的核心工具
- Vue.js开发教程:全面学习资源指南
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
