メインコンテンツまでスキップ

2. Operation (動作)

2. Operation (動作)

クライアントが RADIUS を使用するように設定されている場合, クライアントのすべてのユーザーは認証情報をクライアントに提示します。これは, ユーザーがユーザー名とパスワードを入力することが期待されるカスタマイズ可能なログインプロンプトで行われる場合があります。あるいは, ユーザーは Point-to-Point Protocol (PPP) などのリンクフレーミングプロトコルを使用する場合があり, これにはこの情報を伝送する認証パケットがあります。

クライアントがそのような情報を取得すると, RADIUS を使用して認証することを選択できます。そのために, クライアントは, ユーザーの名前, ユーザーのパスワード, クライアントの ID, ユーザーがアクセスしているポート ID などの属性を含む "Access-Request" を作成します。パスワードが存在する場合, RSA Message Digest Algorithm MD5 [3] に基づく方法を使用して隠されます。

Access-Request は, ネットワークを介して RADIUS サーバーに送信されます。一定時間内に応答が返されない場合, 要求は数回再送信されます。クライアントは, プライマリサーバーがダウンしているか到達不可能な場合に, 代替サーバーに要求を転送することもできます。代替サーバーは, プライマリサーバーへの複数回の試行が失敗した後, またはラウンドロビン方式で使用できます。再試行とフォールバックアルゴリズムは現在の研究トピックであり, この文書では詳細に指定されていません。

RADIUS サーバーが要求を受信すると, 送信クライアントを検証します。RADIUS サーバーが共有秘密を持たないクライアントからの要求は, 黙って破棄されなければなりません (MUST)。クライアントが有効な場合, RADIUS サーバーはユーザーのデータベースを参照して, 要求と一致する名前を持つユーザーを見つけます。データベース内のユーザーエントリには, ユーザーにアクセスを許可するために満たす必要がある要件のリストが含まれています。これには常にパスワードの検証が含まれますが, ユーザーがアクセスを許可されるクライアントまたはポートを指定することもできます。

RADIUS サーバーは, 要求を満たすために他のサーバーに要求を行うことができ (MAY), その場合はクライアントとして動作します。

Access-Request に Proxy-State 属性が存在した場合, それらは変更されずに, 順序を保って応答パケットにコピーされなければなりません (MUST)。他の属性は, Proxy-State 属性の前, 後, またはその間に配置できます。

いずれかの条件が満たされない場合, RADIUS サーバーは, このユーザー要求が無効であることを示す "Access-Reject" 応答を送信します。必要に応じて, サーバーは Access-Reject にテキストメッセージを含めることができ (MAY), これはクライアントによってユーザーに表示される場合があります (MAY)。Access-Reject では, 他の属性 (Proxy-State を除く) は許可されません。

すべての条件が満たされ, RADIUS サーバーがユーザーが応答しなければならないチャレンジを発行したい場合, RADIUS サーバーは "Access-Challenge" 応答を送信します。これには, チャレンジへの応答を促すためにクライアントによってユーザーに表示されるテキストメッセージを含めることができ (MAY), State 属性を含めることができます (MAY)。

クライアントが Access-Challenge を受信し, チャレンジ/レスポンスをサポートしている場合, テキストメッセージがあればそれをユーザーに表示し (MAY), 次にユーザーに応答を促すことができます (MAY)。次に, クライアントは, 新しい要求 ID で元の Access-Request を再送信し, User-Password 属性を応答 (暗号化) に置き換え, Access-Challenge からの State 属性があればそれを含めます。要求には, 0 個または 1 個の State 属性のインスタンスが存在すべきです (SHOULD)。サーバーは, この新しい Access-Request に対して, Access-Accept, Access-Reject, または別の Access-Challenge で応答できます。

すべての条件が満たされた場合, ユーザーの設定値のリストが "Access-Accept" 応答に配置されます。これらの値には, サービスのタイプ (例: SLIP, PPP, Login User) と, 望ましいサービスを提供するために必要なすべての値が含まれます。SLIP と PPP の場合, これには IP アドレス, サブネットマスク, MTU, 望ましい圧縮, 望ましいパケットフィルター識別子などの値が含まれる場合があります。キャラクターモードユーザーの場合, これには望ましいプロトコルとホストなどの値が含まれる場合があります。

最終更新