AAA

RFC 2866 — RADIUS Accounting — Средства учета RADIUS

Статус документа

Этот документ содержит информацию, адресованную сообществу Internet. В документе не содержится каких-либо стандартов Internet. Допускается распространение документа без каких-либо ограничений.

Тезисы

Этот документ описывает протокол обмена учетными сведениями (accounting) между серверами доступа NAS и серверами учета (Accounting Server).

Примечание для разработчиков

В этом документе описывается протокол RADIUS Accounting. Первые версии RADIUS Accounting использовали протокол UDP через порт 1646, что приводило к возникновению конфликтов со службами sa-msg-port. Официально для RADIUS Accounting выделен порт 1813.

Оглавление

1. Введение

Управление распределенными последовательными каналами и модемными пулами для большого числа пользователей может потребовать значительных усилий администраторов сети. Поскольку модемные пулы по определению являются каналами во внешний мир, они требуют пристального внимания с точки зрения безопасности, идентификации пользователей и учета их работы. Наиболее эффективным решением такой задачи является создание единой «базы данных» о пользователях, которая содержит идентификационные сведения (имена и пароли), а также конфигурационные параметры, определяющий предоставляемый пользователю сервис (например, SLIP, PPP, telnet, rlogin).

В документе [2] описан протокол RADIU (Remote Authentication Dial In User Service), используемый для идентификации пользователей и проверки их полномочий. В данном документе описывается расширение протокола RADIUS, обеспечивающее доставку учетных сведений о работе пользователей от серверов доступа (NAS) к серверам учета RADIUS accounting.

Данный документ заменяет RFC 2139 [1]. Список отличий приведенной здесь спецификации от RFC 2139 дан в приложении «Журнал изменений».

Основные свойства RADIUS Accounting:

1.1. Спецификация уровня требований

Ключевые слова необходимо (MUST), недопустимо (MUST NOT), требуется (REQUIRED), нужно (SHALL), не нужно (SHALL NOT), следует (SHOULD), не следует (SHOULD NOT), рекомендуется (RECOMMENDED), возможно (MAY), необязательно (OPTIONAL) в данном документе должны интерпретироваться в соответствии с RFC 2119 [3]. Значение этих слов не зависит от шрифтового выделения.

1.2. Терминология

Ниже приведены определения некоторых терминов, часто встречающихся в документе:

2. Работа протокола

Когда клиент настроен на использование RADIUS Accounting на начальном этапе предоставления услуг этот клиент будет генерировать пакет Accounting Start, описывающий тип предоставляемого пользователю сервиса, который передается серверу RADIUS Accounting, возвращающему подтверждение приема такого пакета. При завершении пользовательского сеанса клиент будет генерировать пакет Accounting Stop, описывающий тип предоставленного пользователю сервиса. Этот пакет может также включать статистические сведения о работе пользователя — продолжительность сеанса, число пакетов и байтов, принятых и переданных пользователем. Пакет передается серверу RADIUS Accounting, который будет возвращать подтверждение приема.

Пакет Accounting-Request (Start или Stop) передается серверу RADIUS через сеть. Клиенту рекомендуется повторять передачу пакета Accounting-Request до тех пор, пока от сервера не будет получено подтверждение приема. Если в течение заданного времени подтверждение не будет получено, передача пакета повторяется заданное число раз. Клиент может также переслать запрос дополнительным серверам в тех случаях, когда основной сервер не работает или недоступен. Обращаться к альтернативному серверу после заданного числа неудачных попыток связи с основным сервером или в режиме перебора по кругу.

Алгоритмы повтора и выбора альтернативного сервера являются предметом исследования и не рассматриваются детально в данной спецификации.

Сервер RADIUS accounting может делать запросы к другим серверам для выполнения полученного от клиента запроса. В таких случаях сервер сам выступает в роли клиента.

Если сервер RADIUS не может записать пакет учета, недопустимо передавать клиенту подтверждение Accounting-Response.

2.1. Proxy

Информация о серверах-посредниках RADIUS приведена в спецификации [2]. Серверы-посредники RADIUS Accounting работают идентично RADIUS Proxy, как показано в приведенном ниже примере.

  1. NAS передает пакеты Accounting-Request пересылающему серверу.

  2. Пересылающий сервер протоколирует пакет Accounting-Request (если это нужно), добавляет атрибут Proxy-State (если нужно) после имеющихся в пакете атрибутов Proxy-State, обновляет атрибут Request Authenticator и пересылает запрос удаленному серверу.

  3. Удаленный сервер протоколирует пакет Accounting-Request (если это нужно), копирует все атрибуты Proxy-State, не меняя их порядка в пакет отклика и передает отклик Accounting-Response серверу-посреднику.

  4. Пересылающий сервер удаляет из пакета последний атрибут Proxy-State (если он был добавлен на этапе 2), обновляет значение атрибута Response Authenticator и передает пакет Accounting-Response серверу NAS.

Для сервера-посредника недопустимо изменение присутствующих в пакете атрибутов Proxy-State или Class.

Сервер-посредник может прозрачно пересылать пакеты, передавая повторные пакеты по мере их получения, или принять на себя ответственность за передачу повторных пакетов (это удобно в тех случаях, когда сетевое соединение между посредником и удаленным сервером по своим характеристикам существенно отличается от соединения между посредником и NAS).

Когда пересылающий сервер принимает на себя ответственность за передачу повторов, политика такой передачи должна обеспечивать устойчивость и масштабируемость.

3. Формат пакетов

В поле данных пакетов UDP [4] инкапсулируется по одному пакету RADIUS Accounting и поле UDP Destination Port для протокола RADIUS должно содержать десятичное значение 1813.

При генерации откликов номера портов отправителя и получателя меняются местами.

В этом документе содержится спецификация протокола RADIUS. Ранние версии RADIUS Accounting использовали порт UDP 1646, что приводило к конфликтам со службами sa-msg-port. Официально выделенный для протокола RADIUS Accounting порт имеет номер 1813.

Ниже показан формат типового пакета RADIUS. Поля передаются слева направо и сверху вниз.

 0                   1                   2                   3
 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|     Code      |  Identifier   |            Length             |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|                                                               |
|                         Authenticator                         |
|                                                               |
|                                                               |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|  Attributes ...
+-+-+-+-+-+-+-+-+-+-+-+-+-

4. Типы пакетов

Тип пакета RADIUS определяется значением поля Code в первом октете.

4.1. Accounting-Request

Пакеты Accounting-Request передаются от клиентов (обычно сервер доступа NAS или proxy) серверам RADIUS accounting и содержат информацию, используемую для учета предоставленных пользователю услуг. Клиент передает пакет RADIUS с Code = 4 (Accounting-Request).

При получении пакета Accounting-Request сервер должен передать отклик Accounting-Response, если учетный пакет был записан без ошибок. При возникновении той или иной ошибки передача отклика недопустима.

Атрибуты, допустимые для пакетов Access-Request и Access-Accept, могут использоваться в пакетах Accounting-Request.

Однако в пакеты Accounting-Request недопустимо включение атрибутов User-Password, CHAP-Password, Reply-Message, State. В каждом пакете Accounting-Request должен присутствовать по крайней мере один из атрибутов NAS-IP-Address или NAS-Identifier. В пакеты также следует включать по крайней мере один из атрибутов NAS-Port или NAS-Port-Type, если сервер NAS способен различать свои порты.

Если пакет Accounting-Request включает атрибут Framed-IP-Address, последний должен содержать IP-адрес пользователя. Если в пакете Access-Accept используется специальное значение Framed-IP-Address, говорящее серверу NAS о выделении или согласовании IP-адреса для пользователя, атрибут Framed-IP-Address (если он есть) в пакете Accounting-Request должен содержать действительный адрес IP, выделенный или согласованный для пользователя.

Формат пакетов Accounting-Request показан ниже. Поля пакета передаются слева направо.

 0                   1                   2                   3
 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|     Code      |  Identifier   |            Length             |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|                                                               |
|                     Request Authenticator                     |
|                                                               |
|                                                               |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|  Attributes ...
+-+-+-+-+-+-+-+-+-+-+-+-+-

4.2. Accounting-Response

Пакеты Accounting-Response передаются сервером RADIUS accounting клиенту в качестве подтверждения приема и успешной записи пакетов Accounting-Request. Если принятый пакет Accounting-Request был записан без ошибок, сервер RADIUS accounting должен передать пакет с Code = 5 (Accounting-Response). При получении пакета Accounting-Response клиент проверяет значение поля Identifier для определения соответствия отправленному запросу Accounting-Request. Поле Response Authenticator должно содержать корректный отклик для ожидающего пакета Accounting-Request. Некорректные пакеты отбрасываются без уведомления.

Пакеты Accounting-Response могут не содержать никаких атрибутов.

Формат пакетов Accounting-Response показан ниже. Поля пакета передаются слева направо.

 0                   1                   2                   3
 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|     Code      |  Identifier   |            Length             |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|                                                               |
|                     Response Authenticator                    |
|                                                               |
|                                                               |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|  Attributes ...
+-+-+-+-+-+-+-+-+-+-+-+-+-

5. Атрибуты

Атрибуты RADIUS используются для передачи информации, связанной с аутентификацией и проверкой полномочий пользователей, а также учетом их работы.

Некоторые атрибуты могут присутствовать в пакете в нескольких экземплярах (это указывается ниже при описании атрибутов).

Завершение списка атрибутов определяется значением поля Length в пакетах RADIUS.

Формат атрибутов показан ниже. Поля атрибута передаются слева направо.

 0                   1                   2
 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|     Type      |    Length     |  Value ...
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

5.1. Acct-Status-Type

Этот атрибут определяет на что указывает данный пакет Accounting-Request — начало (Start) или завершение (Stop) обслуживания пользователя.

Атрибут может использоваться клиентом для маркировки начала учета (например, при загрузке) путем указания Accounting-On или для маркировки завершения учета (например, перед перезагрузкой) с помощью Accounting-Off.

Формат атрибута Acct-Status-Type показан ниже. Поля передаются слева направо.

 0                   1                   2                   3
 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|     Type      |    Length     |             Value
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
           Value (cont)         |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

5.2. Acct-Delay-Time

Этот атрибут показывает число секунд, в течение которых клиент пытается передать данную запись, и значение атрибута может вычитаться из времени доставки пакета на сервер для приблизительного определения момента генерации пакета Accounting-Request (время передачи через сеть не принимается во внимание).

Отметим, что изменение Acct-Delay-Time требует менять значение поля Identifier (см. выше).

Формат атрибута Acct-Delay-Time показан ниже. Поля передаются слева направо.

 0                   1                   2                   3
 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|     Type      |    Length     |             Value
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
           Value (cont)         |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

5.3. Acct-Input-Octets

Этот атрибут показывает количество октетов, полученных из порта за время, в течение которого предоставляется данный сервис. Атрибут может включаться только в пакеты Accounting-Request, где Acct-Status-Type = Stop.

Формат атрибута Acct-Input-Octets показан ниже. Поля передаются слева направо.

 0                   1                   2                   3
 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|     Type      |    Length     |             Value
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
           Value (cont)         |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

5.4. Acct-Output-Octets

Этот атрибут показывает количество октетов, переданных в порт в течение всего срока предоставления данного сервиса. Атрибут может использоваться только в пакетах Accounting-Request с Acct-Status-Type = Stop.

Формат атрибута Acct-Output-Octets показан ниже. Поля передаются слева направо.

 0                   1                   2                   3
 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|     Type      |    Length     |             Value
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
           Value (cont)         |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

5.5. Acct-Session-Id

Этот атрибут содержит уникальное значение Accounting ID, упрощающее поиск соответствия между стартовыми и конечными записями в журнальном файле. Стартовая и конечная запись для данной сессии должны иметь одинаковые значения Acct-Session-Id. Пакеты Accounting-Request должны включать атрибут Acct-Session-Id. Возможно включение атрибута Acct-Session-Id в пакеты Access-Request; в таких случаях сервер NAS должен использовать такое же значение Acct-Session-Id в пакетах Accounting- Request для данной сессии.

Значение атрибута Acct-Session-Id следует задавать в кодировке UTF-8 10646 [7].

Например, можно использовать 8-значные шестнадцатеричные идентификаторы в буквами верхнего регистра и увеличивать значение двух старших цифр при каждой перезагрузке (полное использование всех значений после 256 перезагрузок). Остальные 6 цифр позволяют задать значения от 0 (для первого пользователя после перезагрузки) до 224-1 (около 16 миллионов), что позволяет организовать соответствующее число сеансов за время между перезагрузками.. Возможны и другие схемы построения уникальных значений атрибута.

Формат атрибута Acct-Session-Id показан ниже. Поля передаются слева направо.

 0                   1                   2
 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|     Type      |    Length     |  Text ...
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

5.6. Acct-Authentic

Этот атрибут может включаться в пакеты Accounting-Request для индикации того, что пользователь уже прошел аутентификацию с помощью протокола RADIUS, собственно NAS или иным способом. Если предоставление сервиса пользователям обеспечивается без аутентификации, учетные записи генерировать не следует.

Формат атрибута Acct-Authentic показан ниже. Поля передаются слева направо.

 0                   1                   2                   3
 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|     Type      |    Length     |             Value
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
           Value (cont)         |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

5.7. Acct-Session-Time

Этот атрибут показывает время обслуживания пользователя (в секундах). Атрибут может присутствовать только в пакетах Accounting-Request, где Acct-Status-Type = Stop.

Формат атрибута Acct-Session-Time показан ниже. Поля передаются слева направо.

 0                   1                   2                   3
 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|     Type      |    Length     |             Value
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
           Value (cont)         |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

5.8. Acct-Input-Packets

Этот атрибут показывает общее число пакетов, полученных из порта за все время обслуживания пользователя Framed User, и может включаться только в пакеты Accounting-Request с Acct-Status-Type = Stop.

Формат атрибута Acct-Input-packets показан ниже. Поля передаются слева направо.

 0                   1                   2                   3
 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|     Type      |    Length     |             Value
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
           Value (cont)         |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

5.9. Acct-Output-Packets

Этот атрибут показывает общее число пакетов, переданных в порт за все время обслуживания пользователя Framed User, и может включаться только в пакеты Accounting-Request с Acct-Status-Type = Stop.

Формат атрибута Acct-Output-Packets показан ниже. Поля передаются слева направо.

 0                   1                   2                   3
 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|     Type      |    Length     |             Value
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
           Value (cont)         |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

5.10. Acct-Terminate-Cause

Этот атрибут показывает причину завершения сеанса и может включаться только в пакеты Accounting-Request, где Acct-Status-Type = Stop.

Формат атрибута Acct-Terminate-Cause показан ниже. Поля передаются слева направо.

 0                   1                   2                   3
 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|     Type      |    Length     |             Value
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
           Value (cont)         |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

5.11. Acct-Multi-Session-Id

Этот атрибут содержит уникальный идентификатор Accounting ID, позволяющий связать воедино множество сеансовых записей в журнальном файле. Каждая сессия имеет свое значение Acct-Session-Id, а значения идентификатора «мультисессии» Acct-Multi-Session-Id будут совпадать для связанных сессий. Настоятельно рекомендуется указывать значения атрибутов Acct-Multi-Session-Id в кодировке UTF-8 10646 [7].

Формат атрибута Acct-Session-Id показан ниже. Поля передаются слева направо.

 0                   1                   2
 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|     Type      |    Length     |  String ...
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

5.12. Acct-Link-Count

Этот атрибут указывает число соединений, относящихся к данной «мультисессии», на момент генерации записи. Сервер NAS может включать атрибут Acct-Link-Count в любые пакеты Accounting-Request, которые могут быть связаны с многоканальными соединениями.

Формат атрибута Acct-Link-Count показан ниже. Поля передаются слева направо.

 0                   1                   2                   3
 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|     Type      |    Length     |             Value
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
           Value (cont)         |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

5.13. Таблица атрибутов

В таблице приведен список всех атрибутов, которые могут встречаться в пакетах Accounting-Request. В пакеты Accounting-Response следует включать лишь атрибуты Proxy-State и Vendor-Specific.

ЧислоАтрибут
#Attribute
0-1User-Name
0User-Password
0CHAP-Password
0-1NAS-IP-Address [Note 1]
0-1NAS-Port
0-1Service-Type
0-1Framed-Protocol
0-1Framed-IP-Address
0-1Framed-IP-Netmask
0-1Framed-Routing
0+Filter-Id
0-1Framed-MTU
0+Framed-Compression
0+Login-IP-Host
0-1Login-Service
0-1Login-TCP-Port
0Reply-Message
0-1Callback-Number
0-1Callback-Id
0+Framed-Route
0-1Framed-IPX-Network
0State
0+Class
0+Vendor-Specific
0-1Session-Timeout
0-1Idle-Timeout
0-1Termination-Action
0-1Called-Station-Id
0-1Calling-Station-Id
0-1NAS-Identifier [Note 1]
0+Proxy-State
0-1Login-LAT-Service
0-1Login-LAT-Node
0-1Login-LAT-Group
0-1Framed-AppleTalk-Link
0-1Framed-AppleTalk-Network
0-1Framed-AppleTalk-Zone
1Acct-Status-Type
0-1Acct-Delay-Time
0-1Acct-Input-Octets
0-1Acct-Output-Octets
1Acct-Session-Id
0-1Acct-Authentic
0-1Acct-Session-Time
0-1Acct-Input-Packets
0-1Acct-Output-Packets
0-1Acct-Terminate-Cause
0+Acct-Multi-Session-Id
0+Acct-Link-Count
0CHAP-Challenge
0-1NAS-Port-Type
0-1Port-Limit
0-1Login-LAT-Port

Ниже разъяснены использованные в таблице обозначения.

6. Согласование с IANA

Коды типа пакетов (Packet Type Code), типы атрибутов (Attribute Type) и их значения (Attribute Value), определенные в данной спецификации, зарегистрированы в IANA (Internet Assigned Numbers Authority) и относятся к пространству имен RADIUS как описано в разделе "Согласование с IANA" документа RFC 2865 [2] в соответствии с требованиями BCP 26 [8].

7. Вопросы безопасности

Вопросы безопасности обсуждаются в параграфах, относящихся к значениям Authenticator, которые передаются в запросах и откликах и при создании которых применяются разделяемые ключи (эти ключи никогда не передаются через сеть).

8. Журнал изменений

9. Литература

  1. Rigney, C., "RADIUS Accounting", RFC 2139, April 1997.
  2. Rigney, C., Willens, S., Rubens, A. and W. Simpson, "Remote Authentication Dial In User Service (RADIUS)", RFC 2865, June 2000.
  3. Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March, 1997.
  4. Postel, J., "User Datagram Protocol", STD 6, RFC 768, August 1980
  5. Rivest, R. and S. Dusse, "The MD5 Message-Digest Algorithm", RFC 1321, April 1992
  6. Reynolds, J. and J. Postel, "Assigned Numbers", STD 2, RFC 1700, October 1994.
  7. Yergeau, F., "UTF-8, a transformation format of ISO 1064", RFC 2279, January 1998.
  8. Alvestrand, H. and T. Narten, "Guidelines for Writing an IANA Considerations Section in RFCs", BCP 26, RFC 2434, October 1998.

10. Подтверждение

Исходный вариант протокола RADIUS был разработан Стивом Вилленсом (Steve Willens) из Livingston Enterprises для линейки серверов доступа PortMaster.

Адрес автора

Carl Rigney
Livingston Enterprises
4464 Willow Road
Pleasanton, California 94588
Phone: +1 925 737 2100
EMail: moc.ycnamelet@rdc

Перевод на русский язык

Николай Малых, moc.milib@hkylamn