4.4 Access-Challenge
4.4. Access-Challenge
Description
RADIUS サーバーがユーザーに応答を必要とするチャレンジを送信したい場合, RADIUS サーバーは Code フィールドが 11 (Access-Challenge) に設定されたパケットを送信して Access-Request に応答しなければなりません (MUST)。
Attributes フィールドは, 1 つ以上の Reply-Message 属性を持つことができ (MAY), 単一の State 属性を持つことができ (MAY), または何も持たない場合があります。Vendor-Specific, Idle-Timeout, Session-Timeout, Proxy-State 属性も含めることができます (MAY)。この文書で定義されている他の属性は, Access-Challenge では許可されません。
Access-Challenge を受信すると, Identifier フィールドが保留中の Access-Request と照合されます。さらに, Response Authenticator フィールドは, 保留中の Access-Request に対する正しい応答を含まなければなりません (MUST)。無効なパケットは黙って破棄されます。
NAS がチャレンジ/レスポンスをサポートしていない場合, Access-Challenge を Access-Reject を受信したかのように扱わなければなりません (MUST)。
NAS がチャレンジ/レスポンスをサポートしている場合, 有効な Access-Challenge の受信は, 新しい Access-Request を送信すべきである (SHOULD) ことを示します。NAS は, テキストメッセージがあればそれをユーザーに表示し (MAY), 次にユーザーに応答を促すことができます。次に, 新しい要求 ID と Request Authenticator で元の Access-Request を送信し, User-Password 属性をユーザーの応答 (暗号化) に置き換え, Access-Challenge からの State 属性があればそれを含めます。Access-Request には, 0 個または 1 個の State 属性のインスタンスのみが存在できます。
PAP をサポートする NAS は, Reply-Message をダイヤルクライアントに転送し (MAY), ユーザーが応答を入力したかのように使用できる PAP 応答を受け入れることができます (MAY)。NAS がそうできない場合, Access-Challenge を Access-Reject を受信したかのように扱わなければなりません (MUST)。
Access-Challenge パケットフォーマットの要約を以下に示します。フィールドは左から右に送信されます。
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Code | Identifier | Length |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| |
| Response Authenticator |
| |
| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Attributes ...
+-+-+-+-+-+-+-+-+-+-+-+-+-
Code
Access-Challenge の場合は 11。
Identifier
Identifier フィールドは, この Access-Challenge を引き起こした Access-Request の Identifier フィールドのコピーです。
Response Authenticator
Response Authenticator 値は, 前述のように Access-Request 値から計算されます。
Attributes
Attribute フィールドは可変長で, 0 個以上の属性のリストを含みます。