Passa al contenuto principale

4.4 Access-Challenge

4.4. Access-Challenge

Description (Descrizione)

Se il server RADIUS desidera inviare all'utente una challenge che richiede una risposta, allora il server RADIUS DEVE rispondere all'Access-Request trasmettendo un pacchetto con il campo Code impostato a 11 (Access-Challenge).

Il campo Attributes PUÒ avere uno o più attributi Reply-Message e PUÒ avere un singolo attributo State, o nessuno. Possono essere inclusi anche gli attributi Vendor-Specific, Idle-Timeout, Session-Timeout e Proxy-State. Nessun altro attributo definito in questo documento è consentito in un Access-Challenge.

Al ricevimento di un Access-Challenge, il campo Identifier viene abbinato con un Access-Request in sospeso. Inoltre, il campo Response Authenticator DEVE contenere la risposta corretta per l'Access-Request in sospeso. I pacchetti non validi vengono scartati silenziosamente.

Se il NAS non supporta challenge/response, DEVE trattare un Access-Challenge come se avesse ricevuto un Access-Reject invece.

Se il NAS supporta challenge/response, la ricezione di un Access-Challenge valido indica che DOVREBBE essere inviato un nuovo Access-Request. Il NAS PUÒ visualizzare il messaggio di testo, se presente, all'utente, e quindi richiedere all'utente una risposta. Quindi invia il suo Access-Request originale con un nuovo ID di richiesta e Request Authenticator, con l'attributo User-Password sostituito dalla risposta dell'utente (crittografata), e includendo l'attributo State dall'Access-Challenge, se presente. Solo 0 o 1 istanze dell'attributo State possono essere presenti in un Access-Request.

Un NAS che supporta PAP PUÒ inoltrare il Reply-Message al client di chiamata e accettare una risposta PAP che può utilizzare come se l'utente avesse inserito la risposta. Se il NAS non può farlo, DEVE trattare l'Access-Challenge come se avesse ricevuto un Access-Reject invece.

Un riepilogo del formato del pacchetto Access-Challenge è mostrato di seguito. I campi vengono trasmessi da sinistra a destra.

 0                   1                   2                   3
 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|     Code      |  Identifier   |            Length             |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|                                                               |
|                     Response Authenticator                    |
|                                                               |
|                                                               |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|  Attributes ...
+-+-+-+-+-+-+-+-+-+-+-+-+-

Code

11 per Access-Challenge.

Identifier

Il campo Identifier è una copia del campo Identifier dell'Access-Request che ha causato questo Access-Challenge.

Response Authenticator

Il valore Response Authenticator viene calcolato dal valore Access-Request, come descritto in precedenza.

Attributes

Il campo Attribute è di lunghezza variabile e contiene un elenco di zero o più Attributi.

Ultimo aggiornamento il