Московский государственный университет имени М.В.Ломоносова
Опубликован: 28.11.2014 | Доступ: свободный | Студентов: 1160 / 85 | Длительность: 23:26:00
ISBN: 978-5-9556-0163-2
Лекция 12:

Аутентификация и хранение учетных записей

Типы данных

В RADIUS определены следующие базовые типы данных:

  • 32-битное беззнаковое целое в сетевом порядке байтов.
  • Перечислимые типы данных, представленные как 32-битные беззнаковые целые со списком отображений имени на значение (например, Service-Type).
  • IPv4-адрес в сетевом порядке байтов.
  • Время как 32-битное беззнаковое целое в сетевом порядке байтов и секунды, начиная с 00:00:00 UTC, Январь, 1, 1970.
  • IPv6-адрес в сетевом порядке байтов.
  • Interface-Id – 8-ми байтовая строка в сетевом порядке байтов.
  • Префикс IPv6.
  • Строка длиной не более 253 байтов (октетов). Данная строка может содержать произвольные структуры данных.
  • Текст UTF-8 длиной не более 253 байтов (октетов).

Следующие типы данных определены как "комплексные":

  • Атрибуты, сгруппированные в логический контейнер, используя механизм тегирования.
  • Атрибуты, которым для пересылки требуется более 253 октетов текстовых или строковых данных. Это могут быть структуры данных, определенных вне протокола RADIUS, например, EAP-Message.
Пространство имен производителя

Пространство имен производителя обозначается как VSA. При этом Vendor-Id определяет конкретного производителя, а поле String определяет уникальный тип атрибута для данного производителя.

Принципы функционирования RADIUS

Функционирование RADIUS основано на следующих принципах:

  • Протокол RADIUS является протоколом типа Запрос / Ответ.
  • Протокол RADIUS не поддерживает состояния.
  • NAS не должен предоставлять сервисы при получении ответа от сервера Access-Reject и Disconnect-Request.

Хотя производители серверов RADIUS и могут поддерживать состояние, в самом протоколе RADIUS понятие состояния не определено. Однако определенная информация может передаваться от одной транзакции к другой с помощью атрибута State.

В спецификации RADIUS определены атрибуты, содержащие конфиденциальную информацию (например, пароли). Такие атрибуты не пересылаются в запросе и не возвращаются в ответе в открытом виде. Кроме того, аутентификационный механизм связывает вместе последовательность пакетов Access-Request / Access-Challenge в одной аутентификационной сессии с помощью атрибута State.

Протокол RADIUS является протоколом типа запрос-ответ, выполняющимся между клиентом и сервером RADIUS. Один пакет запроса требует в ответ по крайней мере один пакет, который посылается на IP-адрес и порт клиента.

Длина пакета RADIUS не может быть больше 4096 байтов (октетов).

Даже если длина пакета меньше, чем 4096 байтов, она может быть больше, чем Path MTU (PMTU). Любой пакет, длина которого больше, чем PMTU, будет фрагментирован, что может привести к сложности прохожде-ния межсетевых экранов, которые отбрасывают фрагментированные пакеты. Если приходится использовать фрагментированные пакеты, то необхо-димо тщательное тестирование корректного прохождения всех межсетевых экранов и устройств, которые могут отбрасывать фрагментированные пакеты. Некоторые устройства не могут передавать фрагментированные UDP-пакеты, затрудняя развертывание RADIUS в сети с такими устройствами. Рекомендуется следить за тем, чтобы сообщения RADIUS были как можно более маленькими.

Если необходимо передавать пакеты большей длины, чем 4096 байтов, то используется один из следующих подходов:

  1. Использование последовательности пакетов. При аутентификации и авторизации может быть использована последовательность Access-Request / Access-Response пакетов.
  2. Использование имен, а не значений. Если в атрибуте указана политика, которая заранее известна NAS, то может быть передано имя политики, а не сама политика.
  3. Использование технологий пакетизации и технологий определения максимального PMTU (RFC 4821).
Александр Штефанов
Александр Штефанов
Беларусь, Гомель, Белорусский университет транспорта