メインコンテンツまでスキップ

7.2 Framed User Authenticating with CHAP (CHAP で認証するフレームユーザー)

7.3. User with Challenge-Response card (チャレンジ-レスポンスカードを持つユーザー)

192.168.1.16 の NAS は, ポート 7 でログインしている mopsy という名前のユーザーのために, RADIUS サーバーに Access-Request UDP パケットを送信します。ユーザーはこの例でダミーパスワード "challenge" を入力します。この例でスマートカードによって生成されたチャレンジとレスポンスは "32769430" と "99101462" です。

Request Authenticator は NAS によって生成された 16 オクテットの乱数です。

User-Password は 16 オクテットのパスワードで, この場合 "challenge" であり, 末尾に null でパディングされ, MD5(shared secret|Request Authenticator) と XOR されています。

01 02 00 39 f3 a4 7a 1f 6a 6d 76 71 0b 94 7a b9
30 41 a0 39 01 07 6d 6f 70 73 79 02 12 33 65 75
73 77 82 89 b5 70 88 5e 15 08 48 25 c5 04 06 c0
a8 01 10 05 06 00 00 00 07
  • 1 Code = Access-Request (1)
  • 1 ID = 2
  • 2 Length = 57
  • 16 Request Authenticator

Attributes:

  • 7 User-Name (1) = "mopsy"
  • 18 User-Password (2)
  • 6 NAS-IP-Address (4) = 192.168.1.16
  • 6 NAS-Port (5) = 7

RADIUS サーバーは mopsy にチャレンジすることを決定し, チャレンジ文字列を送り返し, レスポンスを探します。したがって, RADIUS サーバーは Access-Challenge UDP パケットを NAS に送信します。

Response Authenticator は, code (11), id (2), length (78), 上記の Request Authenticator, この応答の属性, および共有秘密の 16 オクテット MD5 チェックサムです。

Reply-Message は "Challenge 32769430. Enter response at prompt." です。

State は, ユーザーの応答とともに返されるマジッククッキーです。この例では 8 オクテットのデータ (16 進数で 33 32 37 36 39 34 33 30) です。

0b 02 00 4e 36 f3 c8 76 4a e8 c7 11 57 40 3c 0c
71 ff 9c 45 12 30 43 68 61 6c 6c 65 6e 67 65 20
33 32 37 36 39 34 33 30 2e 20 20 45 6e 74 65 72
20 72 65 73 70 6f 6e 73 65 20 61 74 20 70 72 6f
6d 70 74 2e 18 0a 33 32 37 36 39 34 33 30
  • 1 Code = Access-Challenge (11)
  • 1 ID = 2 (Access-Request と同じ)
  • 2 Length = 78
  • 16 Response Authenticator

Attributes:

  • 48 Reply-Message (18)
  • 10 State (24)

ユーザーは応答を入力し, NAS はその応答を含む新しい Access-Request を送信し, State Attribute を含めます。

Request Authenticator は新しい 16 オクテットの乱数です。

User-Password は, この場合 "99101462" である 16 オクテットのユーザーの応答で, 末尾に null でパディングされ, MD5(shared secret|Request Authenticator) と XOR されています。

State は Access-Challenge パケットからのマジッククッキーで, 変更されていません。

01 03 00 43 b1 22 55 6d 42 8a 13 d0 d6 25 38 07
c4 57 ec f0 01 07 6d 6f 70 73 79 02 12 69 2c 1f
20 5f c0 81 b9 19 b9 51 95 f5 61 a5 81 04 06 c0
a8 01 10 05 06 00 00 00 07 18 10 33 32 37 36 39
34 33 30
  • 1 Code = Access-Request (1)
  • 1 ID = 3 (これが変更されることに注意してください。)
  • 2 Length = 67
  • 16 Request Authenticator

Attributes:

  • 7 User-Name = "mopsy"
  • 18 User-Password
  • 6 NAS-IP-Address (4) = 192.168.1.16
  • 6 NAS-Port (5) = 7
  • 10 State (24)

レスポンスは (例のために) 正しくなかったため, RADIUS サーバーは NAS にログイン試行を拒否するように指示します。

Response Authenticator は, code (3), id (3), length(20), 上記の Request Authenticator, この応答の属性 (この場合はなし), および共有秘密の 16 オクテット MD5 チェックサムです。

03 03 00 14 a4 2f 4f ca 45 91 6c 4e 09 c8 34 0f
9e 74 6a a0
  • 1 Code = Access-Reject (3)
  • 1 ID = 3 (Access-Request と同じ)
  • 2 Length = 20
  • 16 Response Authenticator

Attributes:

  • (なし, ただし Reply-Message を送信できます)
最終更新