Протоколы Internet


Система аутентификации удаленных пользователей при подключении через модем RADIUS - часть 29


State = {Код, который должен быть прислан вместе с откликом пользователя }

Пользователь вводит свой отклик, а NAS посылает новый запрос Access-Request с этим откликом и атрибутом State.

Code = 1

(Access-Request)

ID = 3

(Заметьте, что он изменяется)

Request Authenticator = {Новое 16-октетное число}

Атрибуты:

User-Name = " MANYA"

User-Password = {16 октетов отклика дополненного в конце нулями и объединенного функцией XOR с контрольной суммой MD5 общего секретного пароля и представленного выше аутентификатора запроса (Request Authenticator)}

NAS-IP-Address = 192.168.1.16

NAS-Port = 7

State =

{Код из пакета Access-Challenge}

Отклик был некорректен, поэтому сервер RADIUS предлагает NAS отклонить попытку входа в систему.

Code = 3

(Access-Reject)

ID = 3

(то же что и в Access-Request)

Response Authenticator = {16-октетов контрольной суммы MD-5 кода (3), ID (3), описанного выше Request Authenticator, атрибутов этого отклика (если таковые имеются) и общего секретного пароля}

Атрибуты:

(отсутствуют, хотя сообщение Reply-Message может быть послано)

На практике, с сервером RADIUS связывается база данных, где хранятся имена пользователей и соответствующие им секретные пароли. Конкретный именованный пользователь должен аутентифицироваться только одним способом. Это уменьшает возможности атаки путем согласования использования наименее безопасного метода аутентификации. Если пользователь нуждается в использовании разных аутентификационных методов в различных ситуациях, тогда следует данному пользователю в каждом из этих вариантов выступать под разными именами.

Пароли должны храниться в местах с ограниченным доступом. Эти данные должны быть доступны только процессам, которые с ними работают.

Ссылки

[1]

Rivest, R., and S. Dusse, "The MD5 Message-Digest Algorithm", RFC 1321, MIT Laboratory for Computer Science, RSA Data Security Inc., April 1992.

[2]

Postel, J., "User Datagram Protocol", STD 6, RFC 768, USC/Information Sciences Institute, August 1980.

[3]

Reynolds, J., and J. Postel, "Assigned Numbers", STD 2, RFC 1700, USC/Information Sciences Institute, October 1994.

[4]

Kaufman, C., Perlman, R., and Speciner, M., "Network Security: Private Communications in a Public World", Prentice Hall, March 1995, ISBN 0-13-061466-1.

[5]

Jacobson, V., "Compressing TCP/IP headers for low-speed serial links", RFC 1144, Lawrence Berkeley Laboratory, February 1990.

[6]

ISO 8859. International Standard -- Information Processing -- 8-bit Single-Byte Coded Graphic Character Sets -- Part 1: Latin Alphabet No. 1, ISO 8859-1:1987.

[7]

Sklower, K., Lloyd, B., McGregor, G., and Carr, D., "The PPP Multilink Protocol (MP)", RFC 1717, University of California Berkeley, Lloyd Internetworking, Newbridge Networks Corporation, November 1994.

[8]

Galvin, J., McCloghrie, K., and J. Davin, "SNMP Security Protocols", RFC 1352, Trusted Information Systems, Inc., Hughes LAN Systems, Inc., MIT Laboratory for Computer Science, July 1992.

[9]

Rigney, C., "RADIUS Accounting", RFC 2139, January 1997.

[10]

B. Aboba, G. Zorn, RADIUS Authentication Client MIB. RFC-2618, June 1999.

[11]

G. Zorn, B. Aboba, RADIUS Authentication Server MIB. RFC-2619, June 1999.

[12]

B. Aboba, G. Zorn, RADIUS Accounting Client MIB. RFC-2620, June 1999.

[13]

G. Zorn, B. Aboba, RADIUS Accounting Server MIB. RFC-2621, June 1999.




Начало  Назад  Вперед