Aller au contenu principal

4.1 Access-Request (Demande d'accès)

Description

Les paquets Access-Request sont envoyés à un serveur RADIUS et transmettent les informations utilisées pour déterminer si un utilisateur est autorisé à accéder à un NAS spécifique, ainsi que les services spéciaux demandés pour cet utilisateur. Une implémentation souhaitant authentifier un utilisateur DOIT transmettre un paquet RADIUS avec le champ Code défini sur 1 (Access-Request).

À la réception d'un Access-Request d'un client valide, une réponse appropriée DOIT être transmise.

Un Access-Request DEVRAIT contenir un attribut User-Name. Il DOIT contenir soit un attribut NAS-IP-Address soit un attribut NAS-Identifier (ou les deux).

Un Access-Request DOIT contenir soit un User-Password, soit un CHAP-Password, soit un State. Un Access-Request NE DOIT PAS contenir à la fois un User-Password et un CHAP-Password. Si des extensions futures permettent de transmettre d'autres types d'informations d'authentification, l'attribut correspondant peut être utilisé dans un Access-Request à la place de User-Password ou CHAP-Password.

Un Access-Request DEVRAIT contenir un attribut NAS-Port ou NAS-Port-Type ou les deux, sauf si le type d'accès demandé n'implique pas de port ou si le NAS ne fait pas de distinction entre ses ports.

Un Access-Request PEUT contenir des attributs supplémentaires comme indication pour le serveur, mais le serveur n'est pas tenu d'honorer cette indication.

Lorsqu'un User-Password est présent, il est masqué à l'aide d'une méthode basée sur l'algorithme de condensé de messages RSA MD5 [3].

Packet Format (Format de paquet)

Un résumé du format du paquet Access-Request est présenté ci-dessous. Les champs sont transmis de gauche à droite.

 0                   1                   2                   3
 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|     Code      |  Identifier   |            Length             |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|                                                               |
|                     Request Authenticator                     |
|                                                               |
|                                                               |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|  Attributes ...
+-+-+-+-+-+-+-+-+-+-+-+-+-

Code

1 pour Access-Request.

Identifier

Le champ Identifier DOIT être modifié chaque fois que le contenu du champ Attributes change, et chaque fois qu'une réponse valide a été reçue pour une demande précédente. Pour les retransmissions, l'Identifier DOIT rester inchangé.

Request Authenticator

La valeur Request Authenticator DOIT être modifiée chaque fois qu'un nouvel Identifier est utilisé.

Attributes

Le champ Attribute est de longueur variable et contient la liste des attributs requis pour le type de service, ainsi que tous les attributs optionnels souhaités.

Dernière mise à jour le