Aller au contenu principal

7.3 User with Challenge-Response card

7.3. User with Challenge-Response card (Utilisateur avec carte challenge-response)

L'utilisateur se connecte au NAS et entre son nom d'utilisateur. Le NAS envoie un Access-Request initial. Le serveur RADIUS répond avec un Access-Challenge contenant un défi que l'utilisateur doit entrer dans sa carte de sécurité. L'utilisateur entre le défi dans sa carte, qui calcule une réponse. L'utilisateur entre cette réponse, et le NAS l'envoie dans un nouvel Access-Request avec l'attribut State de l'Access-Challenge.

Premier Access-Request

01 02 00 39 f3 a4 7a 1f 6a 6d 76 71 0b 94 7a b9
30 41 a0 39 01 07 6d 6f 70 73 79 02 12 33 65 75
73 77 82 89 b5 70 88 5e 15 08 48 25 c5 04 06 c0
a8 01 10 05 06 00 00 00 07

Décodage:

 1 Code = Access-Request (1)
 1 ID = 2
 2 Length = 57
16 Request Authenticator

Attributes:
 7  User-Name (1) = "mopsy"
18  User-Password (2)
 6  NAS-IP-Address (4) = 192.168.1.16
 6  NAS-Port (5) = 7

Access-Challenge du serveur

0b 02 00 4e 36 f3 c8 76 4a e8 c7 11 57 40 3c 0c
71 ff 9c 45 12 30 43 68 61 6c 6c 65 6e 67 65 20
33 32 37 36 39 34 33 30 2e 20 20 45 6e 74 65 72
20 72 65 73 70 6f 6e 73 65 20 61 74 20 70 72 6f
6d 70 74 2e 18 0a 33 32 37 36 39 34 33 30

Décodage:

 1 Code = Access-Challenge (11)
 1 ID = 2 (identique à Access-Request)
 2 Length = 78
16 Response Authenticator

Attributes:
48  Reply-Message (18) = "Challenge 32769430. Enter response at prompt."
10  State (24) = "32769430" (cookie magique)

Second Access-Request avec réponse

01 03 00 43 b1 22 55 6d 42 8a 13 d0 d6 25 38 07
c4 57 ec f0 01 07 6d 6f 70 73 79 02 12 69 2c 1f
20 5f c0 81 b9 19 b9 51 95 f5 61 a5 81 04 06 c0
a8 01 10 05 06 00 00 00 07 18 10 33 32 37 36 39
34 33 30

Décodage:

 1 Code = Access-Request (1)
 1 ID = 3 (nouvel ID)
 2 Length = 67
16 Request Authenticator (nouveau)

Attributes:
 7  User-Name = "mopsy"
18  User-Password (la réponse "99101462")
 6  NAS-IP-Address (4) = 192.168.1.16
 6  NAS-Port (5) = 7
10  State (24) = "32769430" (le même cookie)

Access-Reject (réponse incorrecte)

03 03 00 14 a4 2f 4f ca 45 91 6c 4e 09 c8 34 0f
9e 74 6a a0

Décodage:

 1 Code = Access-Reject (3)
 1 ID = 3 (identique à Access-Request)
 2 Length = 20
16 Response Authenticator

Attributes:
   (aucun, bien qu'un Reply-Message puisse être envoyé)

Dans cet exemple, la réponse était incorrecte, donc le serveur RADIUS rejette la tentative de connexion. Si la réponse avait été correcte, le serveur aurait envoyé un Access-Accept.

Dernière mise à jour le