7.3 User with Challenge-Response card (Benutzer mit Challenge-Response-Karte)
7.3. User with Challenge-Response card (Benutzer mit Challenge-Response-Karte)
Der NAS bei 192.168.1.16 sendet ein Access-Request-UDP-Paket an den RADIUS-Server für einen Benutzer namens mopsy, der sich an Port 7 anmeldet. Der Benutzer gibt in diesem Beispiel das Dummy-Passwort "challenge" ein. Die Challenge und Antwort, die von der Smartcard für dieses Beispiel generiert werden, sind "32769430" und "99101462".
Der Request Authenticator ist eine 16-Oktett-Zufallszahl, die vom NAS generiert wird.
Das User-Password besteht aus 16 Oktetten Passwort, in diesem Fall "challenge", am Ende mit Nullen aufgefüllt, XOR-verknüpft mit MD5(gemeinsames Geheimnis|Request Authenticator).
01 02 00 39 f3 a4 7a 1f 6a 6d 76 71 0b 94 7a b9
30 41 a0 39 01 07 6d 6f 70 73 79 02 12 33 65 75
73 77 82 89 b5 70 88 5e 15 08 48 25 c5 04 06 c0
a8 01 10 05 06 00 00 00 07
1 Code = Access-Request (1)
1 ID = 2
2 Length = 57
16 Request Authenticator
Attributes:
7 User-Name (1) = "mopsy"
18 User-Password (2)
6 NAS-IP-Address (4) = 192.168.1.16
6 NAS-Port (5) = 7
Der RADIUS-Server entscheidet, mopsy herauszufordern, und sendet eine Challenge-Zeichenfolge zurück und erwartet eine Antwort. Der RADIUS-Server sendet daher ein Access-Challenge-UDP-Paket an den NAS.
Der Response Authenticator ist eine 16-Oktett-MD5-Prüfsumme des Codes (11), der ID (2), der Length (78), des Request Authenticators von oben, der Attribute in dieser Antwort und des gemeinsamen Geheimnisses.
Die Reply-Message lautet "Challenge 32769430. Enter response at prompt."
Der State ist ein Magic Cookie, der zusammen mit der Antwort des Benutzers zurückgegeben werden soll; in diesem Beispiel 8 Oktette Daten (33 32 37 36 39 34 33 30 in Hex).
0b 02 00 4e 36 f3 c8 76 4a e8 c7 11 57 40 3c 0c
71 ff 9c 45 12 30 43 68 61 6c 6c 65 6e 67 65 20
33 32 37 36 39 34 33 30 2e 20 20 45 6e 74 65 72
20 72 65 73 70 6f 6e 73 65 20 61 74 20 70 72 6f
6d 70 74 2e 18 0a 33 32 37 36 39 34 33 30
1 Code = Access-Challenge (11)
1 ID = 2 (gleich wie in Access-Request)
2 Length = 78
16 Response Authenticator
Attributes:
48 Reply-Message (18)
10 State (24)
Der Benutzer gibt seine Antwort ein, und der NAS sendet einen neuen Access-Request mit dieser Antwort und schließt das State-Attribut ein.
Der Request Authenticator ist eine neue 16-Oktett-Zufallszahl.
Das User-Password besteht aus 16 Oktetten der Antwort des Benutzers, in diesem Fall "99101462", am Ende mit Nullen aufgefüllt, XOR-verknüpft mit MD5(gemeinsames Geheimnis|Request Authenticator).
Der State ist das Magic Cookie aus dem Access-Challenge-Paket, unverändert.
01 03 00 43 b1 22 55 6d 42 8a 13 d0 d6 25 38 07
c4 57 ec f0 01 07 6d 6f 70 73 79 02 12 69 2c 1f
20 5f c0 81 b9 19 b9 51 95 f5 61 a5 81 04 06 c0
a8 01 10 05 06 00 00 00 07 18 10 33 32 37 36 39
34 33 30
1 Code = Access-Request (1)
1 ID = 3 (Beachten Sie, dass sich dies ändert.)
2 Length = 67
16 Request Authenticator
Attributes:
7 User-Name = "mopsy"
18 User-Password
6 NAS-IP-Address (4) = 192.168.1.16
6 NAS-Port (5) = 7
10 State (24)
Die Antwort war falsch (zum Zweck des Beispiels), daher teilt der RADIUS-Server dem NAS mit, den Anmeldeversuch abzulehnen.
Der Response Authenticator ist eine 16-Oktett-MD5-Prüfsumme des Codes (3), der ID (3), der Length (20), des Request Authenticators von oben, der Attribute in dieser Antwort (in diesem Fall keine) und des gemeinsamen Geheimnisses.
03 03 00 14 a4 2f 4f ca 45 91 6c 4e 09 c8 34 0f
9e 74 6a a0
1 Code = Access-Reject (3)
1 ID = 3 (gleich wie in Access-Request)
2 Length = 20
16 Response Authenticator
Attributes:
(keine, obwohl eine Reply-Message gesendet werden könnte)