Átmérőjű alap protokoll
A név a RADIUS protokoll - betűszó Remote Authentication Dial In User Service (szerviz távoli felhasználók hitelesítésére bejövő hívások). A név utal arra a területre, ahol a leggyakrabban használt RADIUS: Authentication bejövő modem felhasználói kapcsolatot a szerver távoli hozzáférést.
A protokollt fejlesztett 1989-ben Livingston (csak, és a legnagyobb gyártója a távoli hozzáférést biztosító kiszolgáló), akkor dorabota a University of Michigan, később elfogadott IETF és az RFC 2138 és 2139. Így a RADIUS abban a pillanatban - egy nyílt szabvány, amely biztosította a népszerűsége a legkülönbözőbb gyártók.
RADIUS egy kliens-szerver protokoll tetején futó UDP. A választás az UDP, TCP helyett annak a ténynek köszönhető, hogy meghibásodás esetén a hitelesítő szerver, UDP válthat a backup szerver gyorsabb. Ugyanakkor, a használata UDP diktálja kell végrehajtani a szállítási ellenőrzési rendszereket és jelismétlést segítségével a RADIUS protokoll.
2. Packet Format
RADIUS csomag a következő:
Mező hozzárendelés csomag:
- Kódex - a kérés / válasz-kód (8 bites);
- Azonosító - azonosító (meg kell egyeznie kérésére ill választ, 8 bit.)
- Hossz - a hossza a teljes csomag (16 bit);
- Autheticator - Field hitelesítő szerver (16 bájt);
- Tulajdonságok - adatok kérés / válasz.
A csere a kliens és a szerver (RADIUS kliens elérni a szervert, nem pedig közvetlenül a modemhez felhasználó) poishodit a kérés-válasz elvét.
A lehetséges opciók a kérések és válaszok nekik:
1. hozzáférés-kérés: a kérelmet a felhasználó hozzáférését bizonyos szolgáltatások
- access-elfogadják: a pozitív válasz, a hozzáférés.
- access-elutasítása: a negatív válasz, a hozzáférés megtagadva.
- access-kihívás: a pótlólagos információkat a szerver, hogy az ügyfél (a hozzáférési szerver) biztosítania kell a következő lekérdezést.
2. a számviteli kérésére a kérelem könyvelési adatok elhelyezését a szerveren.
- számviteli válasz, az adatok sikeresen alkalmazott a szerveren.
3. Az információcsere rendszer
Az alábbiakban egy példát közötti információcsere a hozzáférési kiszolgáló és a RADIUS kiszolgáló csatlakoztatása és leválasztása során a felhasználó.
Átmérő jegyzőkönyv emlékeztet a RADIUS azonban számos előnye van, ezek felsorolása a végén ezt a részt. ÁTMÉRŐ alkalmazásokhoz tervezték ugyanabban a környezetben, a már széles körben elterjedt prootokolom RADIUS.
Alapváltozatban dokumentumban ismertetett draft-calhoun átmérőjű-10 a következő funkciókat biztosítja:
- Megbízható szállítás üzenetek formájában UDP-datagramok
- Flow Control ( "ablak" a recepción)
- Korai felismerése szerver hiba
- Szállítása attribútum-érték párok (attribútum-érték pár, AVP)
- Bővíthetőség, mivel új típusú AVP
2. Packet Format
Szerver hozzáférés és átmérő-szerver csere üzeneteket UDP.
Az egyik az UDP-csomag megfelel egy üzenetet. A csomag méret az alábbiak szerint.
Fields leírása a csomagban:
1. RADIUS PCC: Field kompatibilitás RADIUS (Packet kompatibilitás kód, 1 byte). Ez tartalmazza az értéke 254, ami azt jelenti, ÁTMÉRŐ csomagot.
2. zászlók (3 bites) az alap protokoll célja definiálatlan.
3. A zászló A (1 bit): az üzenet egy nyugtát és utasításokat tartalmaz
4. Flag W (1 bit): Állítsa be, amikor használt ÁTMÉRŐ közlekedési funkcióval.
5. verziója (3 bites): felülvizsgálata a protokoll, jelenleg 1.
6. csomag hossza (csomag hossza 2 bájt): a hossza a teljes csomag
7. Azonosító (ID 4 bájt): Érték App. összehasonlítására válaszok lekérdezések.
8. NS (2 bájt) területén használható, ha működik a Min-ve átviteli protokoll.
9. NR (2 bájt) területén használatos, amikor működő Min-ve szállítási protokoll.
- AVP (Code AVP, 4 byte): A parancs kód
- AVP (hossz AVP 2 bájt): ez AVP hossza
- Zászlók (6 bit) a felhasználás módjától függően a parancsot
- Fenntartva (6 bit)
- Flag T (1 bites): Field jelenlétében FLAG toldalék, használt kombinálásával AVP.
- Flag V (1 bites): jelenlétét jelzi egy opcionális mező kereskedőkóddal.
- Flag H (1 bites) segítségével a titkosítási zászlót AVP.
- A zászló M (1 bites): kényszer flag támogatást adott AVP.
- Kereskedőkóddal (4 bájt, opcionális): gyártóazonosítóból.
- Tag (4 bájt, opcionális).
3. Az információcsere rendszer
Az alábbi ábra az információcsere a regisztráció során és azt követően a felhasználó kijelentkezik. Az üzenetek vázlat mutatja be továbbított UDP, melynek tetején fut saját végrehajtását az ablak áramlást szabályozó mechanizmust. Minden egyes vett csomagot küld a fogadó fél megerősítő (az ábrán nem tükröződik).
Mint látható, a sugár és átmérõ protokollok hasonló, elvileg, a munka és még a csomag formátumban. Ugyanakkor jelentős különbségek vannak.
újraküldés algoritmus.
A RADIUS csomagok alá rendelt azonosító 1 bájt, ami korlátozza a kérelmek számát vár megerősítés (255). A ID átmérője lemerült 4 bájt.
Alapok flow control.
RADIUS nem adnak eszközt áramlás vezérlő üzeneteket a kliens és a szerver, míg az átmérő használ hatékony ablak flow control rendszer.
elismerés
RADIUS egy visszaigazoló üzenetet, de abban az esetben a proxy annak megállapítása, hogy a szerver megkapta az üzenetet nem lehetséges.
ÁTMÉRŐ szerver megköveteli az átvételi elismervényt az üzenetet, és a WTO ugyanakkor lehetővé teszi, hogy a proxy.
Hiba bejelentése
Részt vesz a RADIUS-csere felek nem állnak rendelkezésre értesítésküldési hibák, amelyek lehetővé teszik a felek egyike úgy vélik, hogy a parancs végrehajtásra került, többek között, miközben valójában a hibaüzenetet, és ő dobott fedezték.
ÁTMÉRŐ lehetővé teszi a felek értesítik egymást hiba.
A felmondást a
Bár RADIUS és a szerver képes észlelni a kimenet a rendszer azonban DIAMETER lehetővé teszi az ügyfelek, hogy értesítse a felmondás a szerver, és így az átmenet a másodlagos kiszolgáló késedelem nélkül.
Védelme az adatokat a szerver a kliens
RADIUS védelmet nyújt az adatok csak közötti közvetlen cseréje egységek. Bármely közbenső csomópont (proxy) megváltoztathatja információt, és a változás nem mutatható ki. Átmérője nem teszi lehetővé a proxy módosíthatja az adatokat.
Támogatást további parancsok
RADIUS nem támogatja a kiegészítő jegyzőkönyve meghatározott utasításokat.
ÁTMÉRŐ eredetileg tervezték, figyelembe véve a bővítést (feltéve, hogy a képesség, hogy új AVP).
A komplexitása
RADIUS nem ír elő követelményeket az adatok összehangolása.
ÁTMÉRŐ megköveteli összehangolás a 32 bites határt, ami megkönnyíti a feldolgozást a legtöbb processzorok.
TACACS (Terminal Access Controller Access Control System) - a használt protokoll vissza a napokat staroglinyanye eléréséhez több szerver már ARPANET. Ennek ellenére az ötlet még mindig ugyanaz: egy központi szerver, amely dönt arról, hogy nem teszi lehetővé egy adott felhasználó számára, hogy csatlakozzon a hálózathoz. TACACS nem biztosítja a gyűjtemény statisztikai adatok. Így a AAA marad AA.
TACACS az RFC 1492 dokumentumban.
Vannak 2 változatai TACACS: eredeti használt ARPANET és az újabb, módosított és premenyavshayasya (ig TACACS +) Cisco.
2. Packet Format
Először is, mi neobhodimloe pontosítás: ez írja le az eredeti változata a TACACS, kiterjesztés nélkül Cisco (az úgynevezett egyszerű formája csomag, egy egyszerű űrlap).
Néhány észrevétel a bővítmények által Cisco, kap a végén ezt a részt.
Üzenetet küld a TACACS detagrammah UDP - szigorúan egy-egy.
Az ügyfél (a hozzáférési szerver) küld egy kérést a szerver a következő formában:
„Verziója (1 bájt): egyszerű formája (0)
„Type (lekérdezés típusa, 1 bájt): egy egyszerű módon - csak belépés, SUPERUSER és LOGOUT
„Nonce (Number 2 bájt): tetszőleges számú povolyayuschee mérkőzés kérés és válasz.
„A felhasználónév hossza (felhasználói név hossza 1 byte)
„A jelszó hossza (jelszó hossza, 1 byte)
„Data (adat, változó hosszúságú): felhasználónevét és jelszavát.
A kiszolgáló a következő formában:
Cél mezők azonosak, kivéve:
- Válasz (answer 1 bájt): Response Code - jelszó elfogadása vagy elutasítása.
- Ok (Ok 1 byte): További információ a válasz = utasítani.
- Az adatmező hiányzik.
3. rendszer TACACS csere
TACACS munka nagyon egyszerű:
1. Az ügyfél (a hozzáférési szerver) küld egy bejelentkezési kérés egy felhasználói nevet és jelszót nyert a felhasználó.
2. TACACS szerver vagy elfogadott kódja (majd Ok = 0), vagy elutasították, így tartalmaz egy további Ok kódja: lejáró, jelszó, vagy megtagadja.
2.1. Kommunikáció közben Sens (A sikeres bejelentkezés után), a felhasználó kérheti további jogosultságokkal (SUPERUSER). Az e fogalom értelmezése végrehajtásától függ.
3. végén egy session a szerver küld egy üzenetet LOGOUT (és beállítja Ok = kilép, tétlen, csepp, vagy rossz)
4. A szerver nyugtázza TACACS LOGOUT uspeshshnym befejezése kódot.
4. Extensions Cisco
Cisco TACACS kibővített funkcionalitást az igényeiknek. Úgy vezették be az úgynevezett Részletes lekérdezési mód (Version = 128): több új területeken hozzá SLIP támogatást, és dolgozni TCP másik méret kérelmek és válaszok (szöveg, például FTP és SMTP).
Ismertesse ezeket a kiterjesztéseket nem külön értelme, mert Cisco maga már a TACACS +.
2. Packet Format
mert TACACS + egy munkamenet protokoll, aztán fut TCP.
Minden átadása minden típusú üzeneteket mindkét irányban egy TACACS + csomag formátumban.
Típus mező határozza meg, hogy milyen típusú munkamenetet, amelyhez a csomag tartozik: hitelesítés, engedélyezés és számviteli.
Session ID lehetővé teszi a telepítést egy TCP-kapcsolat több alkalommal.
Mint már említettük, TACACS + áll három részből, amely működőképes egymástól függetlenül. Ismertesse a munkájukat.
3 .1. A hitelesítési eljárás (hitelesítés munkamenet utanovlenie).
A hitelesítéshez ülésén azonosított három csomag: START, CONTINUE és válaszolunk.
A kliens elküldi a kiszolgáló induljon és folyamatosan csomagokat, a szerver válaszol VÁLASZ.
Az ülés kezdődik a kliens elküldi a START csomag, amely tartalmaz:
- A hitelesítési eljárás: ASCII, PAP, CHAP, Arab, MSCHAP.
- A hozzáférési szint, hitelesítést végez kotorog. 4 előre definiált hozzáférési szint: MIN, USER, ROOT és a MAX.
- Az adatokat (vagy annak egy része, vagy személyes - attól függően, hogy a módszer és az ügyfél), a hitelesítéshez.
Válaszként a szerver kell küldenie a START válasz: az egyik lehetséges eredménye (attól függően, hogy a hitelesítési módszer):
- PASS - üzenet sikeres hitelesítést.
- FAIL - mintegy nedachnoy kísérlet.
- GETUSER - felhasználói név lekérdezés. Például, ha az ASCII módszert választottuk, de a felhasználói név nem szerepel a START csomagot.
- GETPASS - jelszókéréskor.
- GetData - további információkat kérhet. Használt más módszerekkel.
Különböző hitelesítési eljárások előírhatja eltérő számú közötti üzenetváltás az ügyfél (a hozzáférési szerver) és a szerver TACACS +.
Minden ezt követő (START után) csomagokat az ügyfél legyen CONTINUE.
Az ügyfél az esemény befejezéséhez bármikor beállításával ABORT zászló továbbra is a következő csomagot.
A szerver kérheti ülés reset (a RESTART állapot válasz csomag), és átirányítja az ügyfél (az állapot FOLLOW választ a csomag). Ebben az esetben a szerver az adatcsomag mező közvetíti szerverek listáját.
- Client Service Request kéri a jogot, hogy oprelonnyh szolgáltatásokat.
- A kiszolgáló egy válasz, amely válasz kódját.
A kliens küld egy kérést kiszolgáló, amely meghatározza a számviteli paramétereket.
Információ kölcsönzött: