RFC 2865 - Remote Authentication Dial In User Service (RADIUS)

• Statut: Draft Standard
• Publié: June 2000
• Stream: IETF
• Remplace: RFC2138
• Errata: Pas d'errata

---

Statut de ce mémo

Ce document spécifie un protocole de norme Internet pour la communauté Internet et sollicite des discussions et des suggestions pour son amélioration. Veuillez vous référer à l'édition actuelle des "Internet Official Protocol Standards" (STD 1) pour connaître l'état de normalisation et le statut de ce protocole. La distribution de ce mémo est illimitée.

Avis de droit d'auteur

Copyright (C) The Internet Society (2000). Tous droits réservés.

Note de l'IESG

Ce protocole est largement implémenté et utilisé. L'expérience a montré qu'il peut souffrir de performances dégradées et de pertes de données lorsqu'il est utilisé dans des systèmes à grande échelle, en partie parce qu'il ne comprend pas de dispositions pour le contrôle de congestion. Les lecteurs de ce document peuvent trouver utile de suivre les progrès du groupe de travail AAA de l'IETF, qui pourrait développer un protocole successeur qui traite mieux les problèmes d'échelle et de contrôle de congestion.

Résumé

Ce document décrit un protocole pour transporter des informations d'authentification, d'autorisation et de configuration entre un serveur d'accès réseau (Network Access Server) qui souhaite authentifier ses liens et un serveur d'authentification partagé.

Note d'implémentation

Ce mémo documente le protocole RADIUS. Le déploiement initial de RADIUS a été effectué en utilisant le numéro de port UDP 1645, qui entre en conflit avec le service "datametrics". Le numéro de port officiellement attribué pour RADIUS est 1812.

Contents

• 1. Introduction
  • 1.1 Spécification des exigences
  • 1.2 Terminologie
• 2. Fonctionnement
  • 2.1 Challenge/Response
  • 2.2 Interopération avec PAP et CHAP
  • 2.3 Proxy
  • 2.4 Pourquoi UDP?
  • 2.5 Conseils de retransmission
  • 2.6 Les Keep-Alives considérés comme nuisibles
• 3. Format de paquet
• 4. Types de paquets
  • 4.1 Access-Request
  • 4.2 Access-Accept
  • 4.3 Access-Reject
  • 4.4 Access-Challenge
• 5. Attributs
  • 5.1 User-Name
  • 5.2 User-Password
  • 5.3 CHAP-Password
  • 5.4 NAS-IP-Address
  • 5.5 NAS-Port
  • 5.6 Service-Type
  • 5.7 Framed-Protocol
  • 5.8 Framed-IP-Address
  • 5.9 Framed-IP-Netmask
  • 5.10 Framed-Routing
  • 5.11 Filter-Id
  • 5.12 Framed-MTU
  • 5.13 Framed-Compression
  • 5.14 Login-IP-Host
  • 5.15 Login-Service
  • 5.16 Login-TCP-Port
  • 5.17 (non assigné)
  • 5.18 Reply-Message
  • 5.19 Callback-Number
  • 5.20 Callback-Id
  • 5.21 (non assigné)
  • 5.22 Framed-Route
  • 5.23 Framed-IPX-Network
  • 5.24 State
  • 5.25 Class
  • 5.26 Vendor-Specific
  • 5.27 Session-Timeout
  • 5.28 Idle-Timeout
  • 5.29 Termination-Action
  • 5.30 Called-Station-Id
  • 5.31 Calling-Station-Id
  • 5.32 NAS-Identifier
  • 5.33 Proxy-State
  • 5.34 Login-LAT-Service
  • 5.35 Login-LAT-Node
  • 5.36 Login-LAT-Group
  • 5.37 Framed-AppleTalk-Link
  • 5.38 Framed-AppleTalk-Network
  • 5.39 Framed-AppleTalk-Zone
  • 5.40 CHAP-Challenge
  • 5.41 NAS-Port-Type
  • 5.42 Port-Limit
  • 5.43 Login-LAT-Port
  • 5.44 Table des attributs
• 6. Considérations IANA
  • 6.1 Définition des termes
  • 6.2 Politiques d'enregistrement recommandées
• 7. Exemples
  • 7.1 Utilisateur Telnet vers un hôte spécifié
  • 7.2 Utilisateur encadré s'authentifiant avec CHAP
  • 7.3 Utilisateur avec carte challenge-response
• 8. Considérations de sécurité
• 9. Journal des modifications
• 10. Références
• 11. Remerciements
• 12. Adresse du président
• 13. Adresses des auteurs
• 14. Déclaration complète de droits d'auteur