7.3 User with Challenge-Response card (Utente con scheda Challenge-Response)
7.3. User with Challenge-Response card (Utente con scheda Challenge-Response)
Il NAS all'indirizzo 192.168.1.16 invia un pacchetto UDP Access-Request al server RADIUS per un utente di nome mopsy che effettua il login sulla porta 7. L'utente inserisce la password fittizia "challenge" in questo esempio. La challenge e la risposta generate dalla smart card per questo esempio sono "32769430" e "99101462".
Il Request Authenticator è un numero casuale di 16 ottetti generato dal NAS.
Il User-Password è di 16 ottetti di password, in questo caso "challenge", riempita alla fine con null, messa in XOR con MD5(segreto condiviso|Request Authenticator).
01 02 00 39 f3 a4 7a 1f 6a 6d 76 71 0b 94 7a b9
30 41 a0 39 01 07 6d 6f 70 73 79 02 12 33 65 75
73 77 82 89 b5 70 88 5e 15 08 48 25 c5 04 06 c0
a8 01 10 05 06 00 00 00 07
1 Code = Access-Request (1)
1 ID = 2
2 Length = 57
16 Request Authenticator
Attributes:
7 User-Name (1) = "mopsy"
18 User-Password (2)
6 NAS-IP-Address (4) = 192.168.1.16
6 NAS-Port (5) = 7
Il server RADIUS decide di sfidare mopsy, inviando indietro una stringa di challenge e cercando una risposta. Il server RADIUS quindi invia un pacchetto UDP Access-Challenge al NAS.
Il Response Authenticator è un checksum MD5 di 16 ottetti del codice (11), id (2), lunghezza (78), il Request Authenticator da sopra, gli attributi in questa risposta e il segreto condiviso.
Il Reply-Message è "Challenge 32769430. Enter response at prompt."
Lo State è un magic cookie da restituire insieme alla risposta dell'utente; in questo esempio 8 ottetti di dati (33 32 37 36 39 34 33 30 in esadecimale).
0b 02 00 4e 36 f3 c8 76 4a e8 c7 11 57 40 3c 0c
71 ff 9c 45 12 30 43 68 61 6c 6c 65 6e 67 65 20
33 32 37 36 39 34 33 30 2e 20 20 45 6e 74 65 72
20 72 65 73 70 6f 6e 73 65 20 61 74 20 70 72 6f
6d 70 74 2e 18 0a 33 32 37 36 39 34 33 30
1 Code = Access-Challenge (11)
1 ID = 2 (uguale a quello in Access-Request)
2 Length = 78
16 Response Authenticator
Attributes:
48 Reply-Message (18)
10 State (24)
L'utente inserisce la sua risposta e il NAS invia un nuovo Access-Request con quella risposta e include l'attributo State.
Il Request Authenticator è un nuovo numero casuale di 16 ottetti.
Il User-Password è di 16 ottetti della risposta dell'utente, in questo caso "99101462", riempita alla fine con null, messa in XOR con MD5(segreto condiviso|Request Authenticator).
Lo state è il magic cookie dal pacchetto Access-Challenge, invariato.
01 03 00 43 b1 22 55 6d 42 8a 13 d0 d6 25 38 07
c4 57 ec f0 01 07 6d 6f 70 73 79 02 12 69 2c 1f
20 5f c0 81 b9 19 b9 51 95 f5 61 a5 81 04 06 c0
a8 01 10 05 06 00 00 00 07 18 10 33 32 37 36 39
34 33 30
1 Code = Access-Request (1)
1 ID = 3 (Si noti che questo cambia.)
2 Length = 67
16 Request Authenticator
Attributes:
7 User-Name = "mopsy"
18 User-Password
6 NAS-IP-Address (4) = 192.168.1.16
6 NAS-Port (5) = 7
10 State (24)
La risposta era errata (per il bene dell'esempio), quindi il server RADIUS dice al NAS di rifiutare il tentativo di login.
Il Response Authenticator è un checksum MD5 di 16 ottetti del codice (3), id (3), lunghezza (20), il Request Authenticator da sopra, gli attributi in questa risposta (in questo caso, nessuno) e il segreto condiviso.
03 03 00 14 a4 2f 4f ca 45 91 6c 4e 09 c8 34 0f
9e 74 6a a0
1 Code = Access-Reject (3)
1 ID = 3 (uguale a quello in Access-Request)
2 Length = 20
16 Response Authenticator
Attributes:
(nessuno, anche se potrebbe essere inviato un Reply-Message)