Passa al contenuto principale

2.2 Interoperation with PAP and CHAP (Interoperabilità con PAP e CHAP)

2.2. Interoperation with PAP and CHAP (Interoperabilità con PAP e CHAP)

Per PAP, il NAS prende l'ID PAP e la password e li invia in un pacchetto Access-Request come User-Name e User-Password. Il NAS PUÒ includere gli Attributi Service-Type = Framed-User e Framed-Protocol = PPP come suggerimento al server RADIUS che è previsto il servizio PPP.

Per CHAP, il NAS genera una challenge casuale (preferibilmente 16 ottetti) e la invia all'utente, che restituisce una risposta CHAP insieme a un ID CHAP e un nome utente CHAP. Il NAS quindi invia un pacchetto Access-Request al server RADIUS con il nome utente CHAP come User-Name e con l'ID CHAP e la risposta CHAP come CHAP-Password (Attributo 3). La challenge casuale può essere inclusa nell'attributo CHAP-Challenge oppure, se è lunga 16 ottetti, può essere inserita nel campo Request Authenticator del pacchetto Access-Request. Il NAS PUÒ includere gli Attributi Service-Type = Framed-User e Framed-Protocol = PPP come suggerimento al server RADIUS che è previsto il servizio PPP.

Il server RADIUS cerca una password basata sul User-Name, crittografa la challenge usando MD5 sull'ottetto ID CHAP, quella password e la challenge CHAP (dall'attributo CHAP-Challenge se presente, altrimenti dal Request Authenticator), e confronta quel risultato con il CHAP-Password. Se corrispondono, il server invia indietro un Access-Accept, altrimenti invia indietro un Access-Reject.

Se il server RADIUS non è in grado di eseguire l'autenticazione richiesta, DEVE restituire un Access-Reject. Ad esempio, CHAP richiede che la password dell'utente sia disponibile in chiaro al server in modo che possa crittografare la challenge CHAP e confrontarla con la risposta CHAP. Se la password non è disponibile in chiaro al server RADIUS, allora il server DEVE inviare un Access-Reject al client.

Ultimo aggiornamento il