ネットワーク・ワーキンググループC.Rigney コメントの要請:2139のリヴィングストン Obsoletes:4月の1997(2059の)年 カテゴリー:情報です レイディアス会計 このメモのステータス このメモはインターネットコミュニティーに情報を供給します。 このメモは、任意の種類のインターネット標準を指定しません。 このメモの分配は無制限です。 アブストラクト このドキュメントは、ネットワーク・アクセス・サーバー(Network Access Server)と共有された説明サーバー(Accounting Server)の間の説明する情報を伝えるためにプロトコルについて記述します。 インプリメンテーション・ノート このメモは、プロトコルを説明するRADIUSをドキュメント化します。 このプロトコルのためのポート番号の割り当ての中にある混乱がありました。 RADIUS会計(RADIUS Accounting)の初期の配備は、誤って選ばれたポート番号1646(それは「samsgポート」サービスと矛盾する)を使用して、終わりました。 RADIUS会計(RADIUS Accounting)のための公式に割り当てられたポート番号は1813です。 目次 1. はじめに....................................... 2 必要条件...................の1.1の明細。 3 1.2の用語.....................................。 3 2. オペレーション.......................................。 ....... 4 3. パケット・フォーマット(Packet Format)......................................... 5 4. パケット・タイプ(Packet Types)....................................... 7 説明するリクエスト(Accounting-Request)4.1............................... 7 説明レスポンス(Accounting-Response)4.2.............................. 8 5. 属性.......................................。 ...... 10 Acct-ステータスタイプ(Acct-Status-Type)5.1................................. 11 Acct-遅延時間(Acct-Delay-Time)5.2.................................. 12 5.3のAcct-入力オクテット(Acct-Input-Octets)...............................。 13 5.4のAcct-出力オクテット(Acct-Output-Octets)..............................。 14 Acct-セッション-Id(Acct-Session-Id)5.5.................................. 14 Acct-本物の5.6................................... 15 Acct-セッション時間(Acct-Session-Time)5.7................................ 16 5.8のAcct-入力パケット(Acct-Input-Packets)..............................。 16 Rigneyの[1ページ](情報の) RFC 2139 RADIUSは1997年4月を説明しています 5.9 Acct-出力パケット(Acct-Output-Packets).............................。 17 Acct-終了する原因5.10............................. 18 Acct-マルチセッション-Id(Acct-Multi-Session-Id)5.11............................ 20 Acct-リンク計算(Acct-Link-Count)5.12.................................. 21 属性.............................の5.13のテーブル。 22 セキュリティ考察(Security Considerations)......................................。 24 参照.......................................。 ............. 24 確認応答.......................................。 ....... 24 椅子アドレス(Chair’s Address).......................................。 ........ 24 著者アドレス(Author’s Address).......................................。 ....... 25 1. はじめに 多くのユーザのための分散した連続物ラインおよびモデム・プールの管理は、重要な管理上の支援の必要を作成するかもしれません。 モデム・プールが定義によるので、外部の世界へのリンク、それらは、セキュリティ、認可および会計への注意深い注意を要求します。 これは、ユーザの単一の「データ・ベース」(それは、ユーザ(例えばSLIP、PPP、telnet、rlogin)に配達するタイプ・オブ・サービスを詳述する構成情報と同様に認証も(確認するユーザー名およびパスワード)考慮に入れる)の管理により最も達成することができます。 RADIUS(リモート・オーセンティケイション・ダイアル・イン・ユーザー・サービス)ドキュメント[4]は、認証と認可のために使用されたRADIUSプロトコルを指定します。 このメモは、ネットワーク・アクセス・サーバー(Network Access Server)(NAS)からサーバーを説明するRADIUSまで情報を説明する配達をカバーするためにRADIUSプロトコルの使用を拡張します。 RADIUS会計(RADIUS Accounting)の重要な特徴は次のとおりです: クライアント/サーバーモデル ネットワーク・アクセス・サーバー(Network Access Server)(NAS)は、サーバーを説明するRADIUSのクライアントとして作動します。 クライアントは、情報を説明するユーザをサーバーを説明する計画的だったRADIUSへ渡すこと原因です。 サーバーを説明するRADIUSは、説明するリクエストを受け取りそれが成功裡にリクエストを受け取ったことを示すクライアントに対するレスポンスを返すこと原因です。 サーバーを説明するRADIUSは、他の種類のサーバーを説明することへのプロキシークライアントの役割をすることができます。 Rigneyの[2ページ](情報の) RFC 2139 RADIUSは1997年4月を説明しています ネットワーク・セキュリティ サーバーを説明するクライアントおよびRADIUSの間のトランザクションは、共有された秘密(それはネットワーク上に送られない)の使用によって確証されます。 拡張可能なプロトコル トランザクションはすべて、可変長さ属性長さ値(Attribute Length Value)3-tuplesで構成されます。 新しい属性価値はプロトコルの不穏にする既存のインプリメンテーションなしで加えることができます。 1.1. 必要条件の明細 このドキュメントでは、いくつかの言葉が明細の必要条件を示すために使用されます。 これらの単語はしばしば大文字化されます。 MUST、この単語あるいは形容詞「要求された。」手段、定義は明細の絶対的な要求です。 MUST NOT、この句手段、定義は明細の絶対的な禁止です。 SHOULD、この単語あるいは形容詞「推薦された。」そこに存在するかもしれない手段、このアイテムを無視する特別の環境中の有効な理由、しかし、十分な含意は異なるコースを選ぶ前に理解され注意深く量られるに違いない。 MAY、この単語あるいは形容詞「オプションの」、手段、このアイテムは代案の許可されたセットのうちの1つです。 このオプションMUSTを含んでいないインプリメンテーション、オプションを含んでいる別のインプリメンテーションと共同で作業するために準備されています。 1.2. 用語 このドキュメントは次の用語を使用します: NASをサービスする、PPPまたはテルネットのようなダイヤルインユーザにサービスを提供します。 Rigneyの[3ページ](情報の) RFC 2139 RADIUSは1997年4月を説明しています サービスが最初に提供されるポイントとして定義されたセッションの始めおよびセッションの終了と共に、NASによってダイヤルインユーザに提供される各サービスがセッションに任命するセッションは、サービスがどこで終了されるかポイントとして定義しました。 各セッションが個別のスタートを生成して、NASがそれを支援する場合、ユーザは平行またはシリーズの中に多数のセッションを行っているかもしれないし、それ自身のAcctセッション-Id(Acct-Session-Id)を備えた会計記録を止めるかもしれません。 暗黙に廃棄してください。 これは、インプリメンテーションがそれ以上の処理のないパケットを廃棄することを意味します。 インプリメンテーションSHOULD、暗黙に廃棄されたパケットの内容を含むエラー、およびSHOULDを記録する能力を提供する、統計カウンターに出来事を記録します。 2. オペレーション クライアントがそれが生成するサービス配達の最初に、RADIUS会計(RADIUS Accounting)を使用するために形成される場合、説明最初(Accounting Start)パケット、タイプ・オブ・サービスについての記述、伝えられる、またユーザ、それ、伝えられている、に、またRADIUSへそれを送るだろう、説明するサーバー、どれ、送り返すだろう、認識、それ、パケット、受け取られました。 サービス配達の終わりに、クライアントは、伝えられたタイプ・オブ・サービスについて記述する、説明停止(Accounting Stop)パケットを生成するでしょう、そして自由に経過タイム、入力および出力オクテットのような統計あるいは入力と出力のパケット。 それは、サーバー(それはパケットが受け取られたという認識を送り返すだろう)を説明するRADIUSにそれを送るでしょう。 説明するリクエスト(Accounting-Request)(スタートまたは停止のためにも)は、ネットワークによってサーバーを説明するRADIUSに提出されます。 backoffのある形式を使用して、それが認識を受け取るまで説明するリクエスト(Accounting-Request)パケットを送ることをクライアントが試み続けることが勧められます。 レスポンスが時間の長さの内に返されない場合、リクエストはそうです、多くの回に憤慨します。 クライアントはさらに前にできます、主要なサーバーが下がっているか手が届かない場合、交互のサーバーかサーバーに要求します。 主要なサーバーへの多くの試みが失敗した後、交互のサーバーは使用することができます、あるいはリーグ戦方法中で。 再挑戦と蓄えのアルゴリズムは現在の研究のトピックで、このドキュメントに詳細に指定されません。 サーバーMAY形を説明するRADIUSは、リクエストを満たすために他のサーバーに要求します。それは、クライアントの役割をします。 サーバーを説明するRADIUSが説明するパケットを成功裡に記録することができない場合、それ、MUST NOT、クライアントに説明レスポンス(Accounting-Response)認識を送ります。 Rigneyの[4ページ](情報の) RFC 2139 RADIUSは1997年4月を説明しています 3. パケット・フォーマット パケットを説明するちょうど1つのRADIUSは、UDPデータ(UDP Data)フィールド[1]にカプセルに入れられます。そこでは、UDP目的地ポート(UDP Destination Port)フィールドは1813(10進)を示します。 返答が生成される場合、出所と目的地のポートが逆にされます。 このメモは、プロトコルを説明するRADIUSをドキュメント化します。 このプロトコルのためのポート番号の割り当ての中にある混乱がありました。 RADIUS会計(RADIUS Accounting)の初期の配備は、誤って選ばれたポート番号1646(それは「samsgポート」サービスと矛盾する)を使用して、終わりました。 RADIUS会計(RADIUS Accounting)のための公式に割り当てられたポート番号は1813です。 RADIUSデータ・フォーマットの要約は下に示されます。 フィールドは右への左から送信されます。 0 1 2 3 0 1 2 3 4 5、6 7 8 9 0、1 2 3 4 5、6 7 8 9 0、1 2 3 4 5、6 7 8 9 0、1 ++++++++、+++++++++++++++++-+-+-+-+-+-+-+-+ |コード|確認者|長さ| ++++++++、+++++++++++++++++-+-+-+-+-+-+-+-+ || |証人| || || ++++++++、+++++++++++++++++-+-+-+-+-+-+-+-+ |属性... ++++++++、+-+-+-+-+。- コード コード・フィールドは1つのオクテットで、RADIUSパケットのタイプを識別します。 パケットが無効のコード・フィールドで受け取られる場合、それは暗黙に廃棄されます。 RADIUSを説明コード(Accounting Codes)(10進)は以下のように割り当てられます: 4 説明するリクエスト 5 説明レスポンス 確認者 確認者フィールドは1つのオクテットで、リクエストと返答と一致することを援助します。 Rigneyの[5ページ](情報の) RFC 2139 RADIUSは1997年4月を説明しています 長さ 長さフィールドは2つのオクテットです。 それは、コード、確認者、長さ、証人および属性フィールドを含むパケットの長さを示します。 長さフィールドの範囲の外側のオクテットはパディングとして扱われるべきであり、受理で無視されるべきです。 パケットが長さフィールドが示すより短い場合、それは暗黙に廃棄されるべきです。 最小の長さは20です。また、最大の長さは4096です。 証人 証人フィールドは16の(16)オクテットです。 最も重要なオクテットは最初に送信されます。 この値はサーバーを説明するクライアントおよびRADIUSの間のメッセージを確証するために使用されます。 リクエスト証人 説明するリクエストパケット(Accounting-Request Packets)では、証人価値がリクエスト証人(Request Authenticator)と呼ばれる16のオクテットMD5[3]チェックサムです。 サーバーを説明するNASおよびRADIUSは秘密を共有します。 説明するリクエスト(Accounting-Request)パケット中のリクエスト証人(Request Authenticator)フィールドはものを含んでいます―コード+確認者+長さ+から成るオクテットの流れの上に計算された方法MD5ハッシュ、16の0オクテット+リクエストは+に帰着します、秘密(+が連結を示すところで)を共有しました。 16のオクテットMD5ハッシュ価値は、説明するリクエスト(Accounting-Request)パケットの証人分野に格納されます。 説明するリクエスト(Accounting-Request)の中にユーザパスワード(User-Password)属性がないので説明するリクエスト(Accounting-Request)のリクエスト証人(Request Authenticator)が、RADIUSアクセスリクエスト(RADIUS Access-Request)のリクエスト証人(Request Authenticator)と同じ方法をもたらされることができないことに注意してください。 レスポンス証人 説明レスポンス(Accounting-Response)パケット中の証人フィールドはレスポンス証人(Response Authenticator)と呼ばれ、説明レスポンス・コード(Accounting Response Code)、確認者、長さ、答えられている説明するリクエスト(Accounting-Request)パケットからのリクエスト証人(Request Authenticator)フィールド、およびレスポンスから成るオクテットの流れの上に計算された一方通行のMD5ハッシュを含んでいます、帰着する、共有された秘密を後に続けて、もしあれば。 生じる16のオクテットMD5ハッシュ価値は、説明レスポンス(Accounting-Response)パケットの証人分野に格納されます。 Rigneyの[6ページ](情報の) RFC 2139 RADIUSは1997年4月を説明しています 属性 属性はそのような場合の中に、多数のインスタンスを持っているかもしれません、同じ型SHOULDの属性の順序、保存されます。 異なるタイプの属性の順序は保存されるためには要求されません。 4. パケット・タイプ RADIUSパケット・タイプは、パケットの第1のオクテット中のコード・フィールドによって決定されます。 4.1. 説明するリクエスト 記述 説明するリクエスト(Accounting-Request)パケットは、クライアント(典型的にネットワーク・アクセス・サーバー(Network Access Server)あるいはそのプロキシー)からサーバーを説明するRADIUSまで送られ、情報がユーザに対する提供される貢献を説明することをいつも提供したと伝えます。 クライアントは、4(説明するリクエスト(Accounting-Request))までコード・フィールド・セットを備えたRADIUSパケットを送信します。 説明するリクエスト(Accounting-Request)(サーバーMUST)の受取で、それが説明するパケットを成功裡に記録する場合、説明レスポンス(Accounting-Response)返答を送信する、そしてMUST NOT、それが説明するパケットを記録しない場合、任意の返答を送信します。 RADIUSアクセスリクエスト(RADIUS Access-Request)かアクセス受理(Access-Accept)パケットにおいて有効ないかなる属性も、それ以外は、RADIUS説明するリクエスト(RADIUS Accounting-Request)パケットにおいて有効です、その、次、MUST NOTに帰着する、説明するリクエスト(Accounting Request)の中にある:ユーザパスワード(User-Password)、CHAPパスワード(CHAP-Password)、返答メッセージ(Reply-Message)、州。 NASIPアドレス(NAS-IP-Address)あるいはNAS確認者MUST(NAS-Identifier MUST)のいずれか、説明するRADIUSリクエストの中にあります。 それ、SHOULD、もしサービスがポートを含んでいるか、NASがそのポート中に識別しなければ、NASポート(NAS-Port)かNASポート型(NAS Port Type)属性、あるいは両方を含んでいます。 説明するリクエスト(Accounting-Request)パケット・フォーマットの要約は下に示されます。 フィールドは右への左から送信されます。 Rigneyの[7ページ](情報の) RFC 2139 RADIUSは1997年4月を説明しています 0 1 2 3 0 1 2 3 4 5、6 7 8 9 0、1 2 3 4 5、6 7 8 9 0、1 2 3 4 5、6 7 8 9 0、1 ++++++++、+++++++++++++++++-+-+-+-+-+-+-+-+ |コード|確認者|長さ| ++++++++、+++++++++++++++++-+-+-+-+-+-+-+-+ || |リクエスト証人| || || ++++++++、+++++++++++++++++-+-+-+-+-+-+-+-+ |属性... ++++++++、+-+-+-+-+。- コード 説明するリクエスト(Accounting-Request)用の4. 確認者 確認者フィールドMUST、変更される、常に、属性フィールド変更の内容、また有効な返答が前のリクエストのために受け取られた場合は常に。 内容が同一のところで、確認者MUST(Identifier MUST)変わらない。(再送信のために、) Acct-遅延時間(Acct-Delay-Time)がそのとき説明するリクエスト(Accounting-Request)の属性に含まれている場合、属性フィールドの内容を変更しかつ、新しい確認者を要求して、パケットが再送達された場合Acct遅延(Acct-Delay)時価が更新され証人を要求するだろうということに注意してください。 リクエスト証人 説明するリクエスト(Accounting-Request)のリクエスト証人(Request Authenticator)は、上記の「リクエスト証人(Request Authenticator)」に記述された方法によって計算された16-オクテットMD5ハッシュ価値を含んでいます。 属性 属性フィールドは長さで可変で、属性のリストを含んでいます。 4.2. 説明レスポンス 記述 説明するレスポンス(Accounting-Response)パケットは、説明するリクエスト(Accounting-Request)が成功裡に受け取られており記録されたと認めるクライアントに、サーバーを説明するRADIUSによって送られます。 場合、会計。- Rigneyの[8ページ](情報の) RFC 2139 RADIUSは1997年4月を説明しています リクエストはそのとき成功裡に記録されました、サーバーMUSTを説明するRADIUS、5(説明レスポンス(Accounting-Response))までコード・フィールド・セットを備えたパケットを送信します。 クライアントによる説明レスポンス(Accounting-Response)の受理で、確認者フィールドは説明する未決のリクエストと対抗させられます。 無効のパケットは暗黙に廃棄されます。 説明するRADIUSレスポンスはそれに任意の属性を持っているためには要求されません。 説明レスポンス(Accounting-Response)パケット・フォーマットの要約は下に示されます。 フィールドは右への左から送信されます。 0 1 2 3 0 1 2 3 4 5、6 7 8 9 0、1 2 3 4 5、6 7 8 9 0、1 2 3 4 5、6 7 8 9 0、1 ++++++++、+++++++++++++++++-+-+-+-+-+-+-+-+ |コード|確認者|長さ| ++++++++、+++++++++++++++++-+-+-+-+-+-+-+-+ || |レスポンス証人| || || ++++++++、+++++++++++++++++-+-+-+-+-+-+-+-+ |属性... ++++++++、+-+-+-+-+。- コード 説明レスポンス(Accounting-Response)用の5. 確認者 確認者フィールドはこの説明レスポンス(Accounting-Response)を引き起こした説明するリクエスト(Accounting-Request)の確認者フィールドのコピーです。 レスポンス証人 説明レスポンス(Accounting-Response)のレスポンス証人(Response Authenticator)は、上記の「レスポンス証人(Response Authenticator)」に記述された方法によって計算された16-オクテットMD5ハッシュ価値を含んでいます。 属性 属性フィールドは長さで可変で、0あるいはより多くの属性のリストを含んでいます。 Rigneyの[9ページ](情報の) RFC 2139 RADIUSは1997年4月を説明しています 5. 属性 RADIUS属性(RADIUS Attributes)は、リクエストおよびレスポンスのための特定の認証、認可および説明する詳細を運びます。 ある属性MAY、二度以上含まれています。 この影響は属性です、特定、また各属性記述中で指定されます。 属性のリストの終了はRADIUSパケットの長さまでに示されます。 アトリビュートフォーマットの要約は下に示されます。 フィールドは右への左から送信されます。 0 1 2 0 1 2 3 4 5、6 7 8 9 0、1 2 3 4 5、6 7 8 9 0、1 2 3 ++++++++、+++++++++-+-+-+-+-+-+-+-+ |タイプ|長さ|値... ++++++++、+++++++++-+-+-+-+-+-+-+-+ タイプ 型フィールドは1つのオクテットです。 リモート・オーセンティケイション・ダイアル・イン・ユーザー・サービス型(RADIUS Type)フィールドの最新の値は非常に最近のものの中で指定されます「割り当てられた数(Assigned Numbers)」RFC[2]. 値192-223は実験の使用のために取っておかれます。値224-240はインプリメンテーション特定の使用のために取っておかれます。また、値241-255は保存され、使用されたべきでない。 この明細は次の値に関係があります: 1-39(RADIUSドキュメント[4]を参照する) 40 Acct-ステータスタイプ 41 Acct-遅延時間 42 Acct-入力オクテット 43 Acct-出力オクテット 44 Acct-セッション-Id 45 Acct-本物です 46 Acct-セッション時間 47 Acct-入力パケット 48 Acct-出力パケット 49 Acct-終了する原因 50 Acct-マルチセッション-Id 51 Acct-リンク計算 60+(RADIUSドキュメント[4]を参照する) Rigneyの[10ページ](情報の) RFC 2139 RADIUSは1997年4月を説明しています 長さ 長さフィールドは1つのオクテットで、タイプ、長さおよび値フィールドを含むこの属性の長さを示します。 アトリビュートが、無効の長さの説明するリクエスト(Accounting-Request)中で受け取られる場合、全リクエストは暗黙に廃棄されるべきです。 値 値フィールドは0あるいはより多くのオクテットで、属性に特有の情報を含んでいます。 値フィールドのフォーマットおよび長さは型と長さのフィールドによって決定されます。 値フィールドのフォーマットは4つのデータ・タイプのうちの1つです。 ストリング0-253オクテット アドレス32ビットの価値、最も重要なオクテット、1位。 整数32ビットの価値、最も重要なオクテット、1位。 時間32ビットの価値、最も重要なオクテット、1位--00:00:00 GMT以来の秒、1970年1月1日。 標準の属性はこのデータ・タイプを使用しません。しかし、それは、ベンダー特定の属性内の可能な使用のためにここに示されます。 5.1. Acct-ステータスタイプ 記述 この属性は、この説明するリクエスト(Accounting-Request)がユーザ・サービス(スタート)あるいは終了(停止)の始めを示すかどうか示します。 それ、MAY、説明するオン(Accounting-On)ことを指定することにより説明する(例えばブートすることで)スタートを示し、かつ説明するオフ(Accounting-Off)ことを指定することにより説明する(例えばちょうど予定されたリブートの前に)終了を示すためにクライアントによって使用されます。 Acctステータスタイプ(Acct-Status-Type)属性フォーマットの要約は下に示されます。 フィールドは右への左から送信されます。 0 1 2 3 0 1 2 3 4 5、6 7 8 9 0、1 2 3 4 5、6 7 8 9 0、1 2 3 4 5、6 7 8 9 0、1 ++++++++、+++++++++++++++++-+-+-+-+-+-+-+-+ |タイプ|長さ|値 ++++++++、+++++++++++++++++-+-+-+-+-+-+-+-+ 値(cont) ++++++++、+-+-+-+-+-+-+-+-+ Rigneyの[11ページ](情報の) RFC 2139 RADIUSは1997年4月を説明しています タイプ Acct-ステータスタイプ(Acct-Status-Type)用の40. 長さ 6 値 値フィールドは4つのオクテットです。 1 スタートします 2 止まります 7 説明するオン(Accounting-On)こと 8、説明するオフ(Accounting-Off)こと。 5.2. Acct-遅延時間 記述 この属性は、クライアントがどれだけの秒をこのレコードを送ろうをしていたか示し、この説明するリクエスト(Accounting-Request)を生成する出来事の近似の時間を見つけるサーバーへの到着の時間から引くことができます。 (ネットワーク通過時間が無視されます。) Acct遅延時間(Acct-Delay-Time)を変更すると確認者が変わることに注意してください; 上記の確認者の下の議論を参照してください。 Acct遅延時間(Acct-Delay-Time)の属性フォーマットの要約は下に示されます。 フィールドは右への左から送信されます。 0 1 2 3 0 1 2 3 4 5、6 7 8 9 0、1 2 3 4 5、6 7 8 9 0、1 2 3 4 5、6 7 8 9 0、1 ++++++++、+++++++++++++++++-+-+-+-+-+-+-+-+ |タイプ|長さ|値 ++++++++、+++++++++++++++++-+-+-+-+-+-+-+-+ 値(cont) ++++++++、+-+-+-+-+-+-+-+-+ タイプ Acct-遅延時(Acct-Delay-Time)の41. 長さ 6 Rigneyの[12ページ](情報の) RFC 2139 RADIUSは1997年4月を説明しています 値 値フィールドは4つのオクテットです。 5.3. Acct-入力オクテット 記述 この属性は、どれだけのオクテットが提供されているこのサービスの間にポートから受け取られたか説明するリクエスト(Accounting-Request)の中に単にありうるか示します、Acctステータス・タイプ(Acct Status Type)が止めるにセットされる場合、記録します。 Acct入力オクテット(Acct-Input-Octets)属性フォーマットの要約は下に示されます。 フィールドは右への左から送信されます。 0 1 2 3 0 1 2 3 4 5、6 7 8 9 0、1 2 3 4 5、6 7 8 9 0、1 2 3 4 5、6 7 8 9 0、1 ++++++++、+++++++++++++++++-+-+-+-+-+-+-+-+ |タイプ|長さ|値 ++++++++、+++++++++++++++++-+-+-+-+-+-+-+-+ 値(cont) ++++++++、+-+-+-+-+-+-+-+-+ タイプ Acct-入力オクテット(Acct-Input-Octets)用の42. 長さ 6 値 値フィールドは4つのオクテットです。 5.4. Acct-出力オクテット 記述 この属性は、どれだけのオクテットがこのサービスを伝えることの間にポートへ送られたか説明するリクエスト(Accounting-Request)の中に単にありうるか示します、Acctステータスタイプ(Acct-Status-Type)が止めるにセットされる場合、記録します。 Acct出力オクテット(Acct-Output-Octets)属性フォーマットの要約は下に示されます。 フィールドは右への左から送信されます。 Rigneyの[13ページ](情報の) RFC 2139 RADIUSは1997年4月を説明しています 0 1 2 3 0 1 2 3 4 5、6 7 8 9 0、1 2 3 4 5、6 7 8 9 0、1 2 3 4 5、6 7 8 9 0、1 ++++++++、+++++++++++++++++-+-+-+-+-+-+-+-+ |タイプ|長さ|値 ++++++++、+++++++++++++++++-+-+-+-+-+-+-+-+ 値(cont) ++++++++、+-+-+-+-+-+-+-+-+ タイプ Acct-出力オクテット(Acct-Output-Octets)用の43. 長さ 6 値 値フィールドは4つのオクテットです。 5.5. Acct-セッション-Id 記述 この属性はスタートと一致し対数ファイル中のレコードを止めることを容易にするユニークな説明するID(Accounting ID)です。 与えられたセッションMUSTのスタートと停止の記録は同じAcctセッション-Id(Acct-Session-Id)を持っています。 Acctセッション-Id(Acct-Session-Id)が印刷可能なASCIIストリングであることは強く勧められます。 例えば、1つのインプリメンテーションは、8桁大文字16進法番号、各リブート(256のリブートごとを包んで)中の2つの最初の桁インクリメント、および、2^24-1、約1600万までのリブートの後にログインする、最初の人のために0から数える次の6桁を備えたストリングを使用します。 他の符号づけは可能です。 Acctセッション-Id(Acct-Session-Id)属性フォーマットの要約は下に示されます。 フィールドは右への左から送信されます。 Rigneyの[14ページ](情報の) RFC 2139 RADIUSは1997年4月を説明しています 0 1 2 0 1 2 3 4 5、6 7 8 9 0、1 2 3 4 5、6 7 8 9 0、1 2 3 ++++++++、+++++++++-+-+-+-+-+-+-+-+ |タイプ|長さ|ストリング... ++++++++、+++++++++-+-+-+-+-+-+-+-+ タイプ Acct-セッション-Id(Acct-Session-Id)のための44. 長さ >=3 ストリング ストリングのフィールドSHOULD、一連の印刷可能なASCII特徴です。 5.6. Acct-本物です 記述 この属性MAY、RADIUS、NASあるいは別の遠隔の認証プロトコルそれ自身によってもユーザがどう確証されたか示す説明するリクエスト(Accounting-Request)に含まれています。 確証されたSHOULD NOTでなくて、伝えられたサービスであるユーザは会計記録を生成します。 Acct本物の属性フォーマットの要約は下に示されます。 フィールドは右への左から送信されます。 0 1 2 3 0 1 2 3 4 5、6 7 8 9 0、1 2 3 4 5、6 7 8 9 0、1 2 3 4 5、6 7 8 9 0、1 ++++++++、+++++++++++++++++-+-+-+-+-+-+-+-+ |タイプ|長さ|値 ++++++++、+++++++++++++++++-+-+-+-+-+-+-+-+ 値(cont) ++++++++、+-+-+-+-+-+-+-+-+ タイプ 45、のために、Acct-本物。 長さ 6 Rigneyの[15ページ](情報の) RFC 2139 RADIUSは1997年4月を説明しています 値 値フィールドは4つのオクテットです。 1 レイディアス 2 ローカルです 3 遠隔です 5.7. Acct-セッション時間 記述 この属性は、ユーザがどれだけの秒をサービスを受けたか示し、Acctステータスタイプ(Acct-Status-Type)が止めるにセットされる、説明するリクエスト(Accounting-Request)レコードの中に単にありえます。 Acctセッション時間(Acct-Session-Time)の属性フォーマットの要約は下に示されます。 フィールドは右への左から送信されます。 0 1 2 3 0 1 2 3 4 5、6 7 8 9 0、1 2 3 4 5、6 7 8 9 0、1 2 3 4 5、6 7 8 9 0、1 ++++++++、+++++++++++++++++-+-+-+-+-+-+-+-+ |タイプ|長さ|値 ++++++++、+++++++++++++++++-+-+-+-+-+-+-+-+ 値(cont) ++++++++、+-+-+-+-+-+-+-+-+ タイプ Acct-セッション時(Acct-Session-Time)の46. 長さ 6 値 値フィールドは4つのオクテットです。 5.8. Acct-入力パケット 記述 この属性は、組み立てられたユーザ(Framed User)に提供されているこのサービスの間にポートからどれだけのパケットが受け取られたか説明するリクエスト(Accounting-Request)の中に単にありうるか示します、Acctステータスタイプ(Acct-Status-Type)が止めるにセットされる場合、記録します。 Rigneyの[16ページ](情報の) RFC 2139 RADIUSは1997年4月を説明しています Acct入力(Acct-Input)パケット属性フォーマットの要約は下に示されます。 フィールドは右への左から送信されます。 0 1 2 3 0 1 2 3 4 5、6 7 8 9 0、1 2 3 4 5、6 7 8 9 0、1 2 3 4 5、6 7 8 9 0、1 ++++++++、+++++++++++++++++-+-+-+-+-+-+-+-+ |タイプ|長さ|値 ++++++++、+++++++++++++++++-+-+-+-+-+-+-+-+ 値(cont) ++++++++、+-+-+-+-+-+-+-+-+ タイプ Acct-入力パケット(Acct-Input-Packets)用の47. 長さ 6 値 値フィールドは4つのオクテットです。 5.9. Acct-出力パケット 記述 この属性は、組み立てられたユーザ(Framed User)にこのサービスを配達することの間に、ポートへどれだけのパケットが送られたか説明するリクエスト(Accounting-Request)の中に単にありうるか示します、Acctステータスタイプ(Acct-Status-Type)が止めるにセットされる場合、記録します。 Acct出力パケット(Acct-Output-Packets)属性フォーマットの要約は下に示されます。 フィールドは右への左から送信されます。 0 1 2 3 0 1 2 3 4 5、6 7 8 9 0、1 2 3 4 5、6 7 8 9 0、1 2 3 4 5、6 7 8 9 0、1 ++++++++、+++++++++++++++++-+-+-+-+-+-+-+-+ |タイプ|長さ|値 ++++++++、+++++++++++++++++-+-+-+-+-+-+-+-+ 値(cont) ++++++++、+-+-+-+-+-+-+-+-+ タイプ Acct-出力パケット(Acct-Output-Packets)用の48. Rigneyの[17ページ](情報の) RFC 2139 RADIUSは1997年4月を説明しています 長さ 6 値 値フィールドは4つのオクテットです。 5.10. Acct-終了する原因 記述 この属性は、セッションがどう終了したかAcctステータス・タイプ(Acct Status Type)が止めるにセットされる、説明するリクエスト(Accounting-Request)レコードの中に単にありうるか示します。 Acct-終了する原因属性フォーマットの要約は下に示されます。 フィールドは右への左から送信されます。 0 1 2 3 0 1 2 3 4 5、6 7 8 9 0、1 2 3 4 5、6 7 8 9 0、1 2 3 4 5、6 7 8 9 0、1 ++++++++、+++++++++++++++++-+-+-+-+-+-+-+-+ |タイプ|長さ|値 ++++++++、+++++++++++++++++-+-+-+-+-+-+-+-+ 値(cont) ++++++++、+-+-+-+-+-+-+-+-+ タイプ Acct-終了する原因用の49 長さ 6 Rigneyの[18ページ](情報の) RFC 2139 RADIUSは1997年4月を説明しています 値 値フィールドは以下のようにセッション終了の原因を指定する整数を含んでいる4つのオクテットです: 1 ユーザ・リクエスト 2 失われたキャリアー 3 失われたサービス 4 使用されていないタイムアウト 5 セッション・タイムアウト 6 リセットされたAdmin 7 Adminリブート 8 ポート・エラー 9 NASエラー 10 NASリクエスト 11 NASリブート 12 無用ポート 13 専有されたポート 14 サスペンドされたポート 15 利用不可能なサービス 16 コールバック 17 ユーザ・エラー 18 ホスト・リクエスト 終了原因は以下のとおりです: ユーザ・リクエストユーザ(User Request User)は、例えばサービスの終了がLCPで終了することを要求しました、あるいはログアウトによって。 失われたキャリアーDCD(Lost Carrier DCD)は、ポートに落とされました。 失われたサービス・サービス(Lost Service Service)はもはや提供することができません; 例えば、ホストへのユーザの接続は中断されました。 使用されていないタイマーが吐き出したタイムアウトを空費してください。 セッション・タイムアウト最大の(Session Timeout Maximum)セッション長さタイマーは終了しました。 Adminリセット管理者(Admin Reset Administrator)はポートかセッションをリセットしました。 Adminリブート管理者(Admin Reboot Administrator)は、NASをリブートするに先立って例えばNASの上のサービスを終了しています。 ポート・エラーNAS(Port Error NAS)は、セッションを終了することを要求したポート上のエラーを検知しました。 Rigneyの[19ページ](情報の) RFC 2139 RADIUSは1997年4月を説明しています NASエラーNAS(NAS Error NAS)は、セッションを終了することを要求したあるエラー(ポート上で以外の)を検知しました。 NASは、NASがそうでなければここにリストされない非エラー理由のためのセッションを終了したことを要求します。 NASはNASをリブートします、リブートするためにセッションを終了した、非管理上(「衝突」)。 無用のNAS(Unneeded NAS)が終了したポート、セッション、ので、資源、使用法、干潮標(例えばポートがもはや必要ではないとbandwidth on demandアルゴリズムが決定した場合)以下に落ちました。 ポートはより高いプライオリティ使用にポートを分配するためにNASを終わりになったセッションを専有しました。 ポートは仮想セッションをサスペンドするためにNASを終わりになったセッションをサスペンドしました。 サービス利用不可能なNAS(Service Unavailable NAS)は要求されたサービスを提供することができませんでした。 コールバックNAS(Callback NAS)は新しいセッションのコールバックを実行するために現在のセッションを終了しています。 ユーザからのユーザ・エラー入力(User Error Input)はセッションの終了を引き起こすエラーの中にあります。 ホスト・リクエストログイン・ホスト(Host Request Login Host)はセッションを通常終了しました。 5.11. Acct-マルチセッション-Id 記述 この属性は対数ファイル中のともに多数の関連するセッションをリンクすることを容易にするユニークな説明するID(Accounting ID)です。 ともにリンクした各セッションはユニークなAcctセッション-Id(Acct-Session-Id)だが同じAcctマルチセッション-Id(Acct-Multi-Session-Id)を持つでしょう。 Acctマルチセッション-Id(Acct Multi Session-Id)が印刷可能なASCIIストリングであることは強く勧められます。 Acctセッション-Id(Acct-Session-Id)属性フォーマットの要約は下に示されます。 フィールドは右への左から送信されます。 0 1 2 0 1 2 3 4 5、6 7 8 9 0、1 2 3 4 5、6 7 8 9 0、1 2 3 ++++++++、+++++++++-+-+-+-+-+-+-+-+ |タイプ|長さ|ストリング... ++++++++、+++++++++-+-+-+-+-+-+-+-+ Rigneyの[20ページ](情報の) RFC 2139 RADIUSは1997年4月を説明しています タイプ Acct-マルチセッション-Id(Acct-Multi-Session-Id)のための50. 長さ >=3 ストリング ストリングのフィールドSHOULD、一連の印刷可能なASCII特徴です。 5.12. Acct-リンク計算 記述 この属性は、会計記録が生成される時の与えられたマルチリンク・セッション中だったと知られているリンクの計算を与えます。 NAS MAY、多数のリンクを持っているかもしれないすべての説明するリクエスト(Accounting-Request)にAcctリンク計算(Acct-Link-Count)属性を含んでいます。 Acctリンク計算(Acct-Link-Count)属性フォーマットの要約は下にショーです。 フィールドは右への左から送信されます。 0 1 2 3 0 1 2 3 4 5、6 7 8 9 0、1 2 3 4 5、6 7 8 9 0、1 2 3 4 5、6 7 8 9 0、1 ++++++++、+++++++++++++++++-+-+-+-+-+-+-+-+ |タイプ|長さ|値 ++++++++、+++++++++++++++++-+-+-+-+-+-+-+-+ 値(cont) ++++++++、+-+-+-+-+-+-+-+-+ タイプ Acct-リンク計算(Acct-Link-Count)用の51. 長さ 6 値 値フィールドは4つのオクテットで、このマルチリンク・セッション(Multilink Session)にここまで見られたリンクの数を含んでいます。 Rigneyの[21ページ](情報の) RFC 2139 RADIUSは1997年4月を説明しています それはそれを、それが与えられたマルチリンク・セッションの記録をすべていつ持っているか知っている、説明するサーバーにとってより容易にするために使用されるかもしれません。 (Acctセッション)いつ、説明するリクエスト(Accounting-Requests)の数、Acctステータスタイプ(Acct-Status-Type)=停止および同じAcctマルチセッション-Id(Acct-Multi-Session-Id)で受け取られかつ、Acctリンク計算(Acct-Link-Count)の最大の値が説明するリクエスト(Accounting-Requests)で見られて、すべては、そのマルチリンク・セッション(Multilink Session)の説明する要請(Accounting-Requests)を止めます、受け取られました。 8つの説明するリクエスト(Accounting-Requests)を示す例は事態をより明らかにするべきです。 明瞭については、適切な属性だけが示されます。しかし、説明する情報を含んでいる追加の属性は、さらに説明するリクエスト(Accounting-Request)の中にあるでしょう。 マルチセッション-Idセッション-Idステータスタイプリンク計算 「10」「10」は1を始めます 「10」「11」は2を始めます 「10」「11」は2を止めます 「10」「12」は3を始めます 「10」「13」は4を始めます 「10」「12」は4を止めます 「10」「13」は4を止めます 「10」「10」は4を止めます 5.13. 属性のテーブル 次のテーブルは、属性が説明するリクエスト(Accounting-Request)パケットで見つかるかもしれないガイドを提供します。 アトリビュートは、特定のプロキシー州および恐らくベンダー以外の説明レスポンス(Accounting-Response)パケットで見つかってはなりません。 #属性 0-1 ユーザー名 0 ユーザパスワード 0 CHAPパスワード 0-1 NASIPアドレス(NAS-IP-Address)[5] 0-1 NASポート 0-1 サービスタイプ 0-1 組み立てられたプロトコル 0-1 組み立てられたIPアドレス 0-1 組み立てられたIP-Netmask 0-1 敗走させて、組み立てました 0の+フィルタ-Id 0-1 組み立てられたMTU 0の組み立てられた+圧縮 0人の+ログインIPホスト 0-1 ログインサービス 0-1 ログインTCPポート 0 返答メッセージ Rigneyの[22ページ](情報の) RFC 2139 RADIUSは1997年4月を説明しています 0-1 コールバック数 0-1 コールバック-Id 0の組み立てられた+ルート 0-1 組み立てられたIPXネットワーク 0 州 0の+クラス ベンダー特定の0の+ 0-1 セッションタイムアウト 0-1 使用されていないタイムアウト 0-1 終了アクション 0-1 呼ばれたステーション-Id 0-1 呼ぶステーション-Id 0-1 NAS確認者(NAS-Identifier)[4] 0の+プロキシー州 0-1 ログインLATサービス 0-1 ログインLATノード 0-1 ログインLATグループ 0-1 組み立てられたアップル・トークリンク 0-1 組み立てられたアップル・トークネットワーク 0-1 組み立てられたアップル・トークゾーン 1 Acct-ステータスタイプ 0-1 Acct-遅延時間 0-1 Acct-入力オクテット 0-1 Acct-出力オクテット 1 Acct-セッション-Id 0-1 Acct-本物です 0-1 Acct-セッション時間 0-1 Acct-入力パケット 0-1 Acct-出力パケット 0-1 Acct-終了する原因 0の+Acct-マルチセッション-Id 0の+Acct-リンク計算 0 CHAP挑戦 0-1 NASポートタイプ 0-1 ポート限界 0-1 ログインLATポート [5] 説明するリクエストMUST(Accounting-Request MUST)NASIPアドレス(NAS-IP-Address)あるいはNAS確認者(NAS-Identifier)のいずれかを含んでいる、また、それは、両方を含むことを許されます(しかし推薦されていなかった)。 次のテーブルは上記のテーブル・エントリーを定義します。 0 この属性MUST NOT、存在する。 0の+ゼロあるいはこの属性MAYのより多くのインスタンス、存在します。 この属性MAYの0-1のゼロあるいは1つのインスタンス、存在します。 1 この属性MUSTのちょうど1つのインスタンス、存在します。 Rigneyの[23ページ](情報の) RFC 2139 RADIUSは1997年4月を説明しています セキュリティ考察 セキュリティ問題は、ネットワーク上に送られない共有された秘密を使用して、リクエストとレスポンスを説明する際に含まれた証人に関するセクションで簡潔に議論されます。 参照 [1] ポストL、J。「ユーザ・データグラム・プロトコル。」STD、RFC、USC/情報科学研究所、1980年8月768 6。 [2] レノルズ(J)、またポストL、J、「割り当てられた数。」STD、RFC、USC/情報科学研究所、1994年10月1700 2。 [3] Rivest(R)、またDusse、S、「MD5メッセージ・ダイジェスト・アルゴリズム。」RFC、MITコンピューター科学研究所、RSA Data Security、1992年4月インク1321。 [4] Rigney(C)、ルーベンス(A)、シンプソン(W)、またWillens、S、「リモート・オーセンティケイション・ダイアル・イン・ユーザー・サービス」(RADIUS)。RFC、1997年4月2138。 認識 RADIUSおよびRADIUS会計(RADIUS Accounting)は、ネットワーク・アクセス・サーバー(Network Access Servers)のそれらのPortMasterシリーズのためのリヴィングストンEnterprisesによって元来開発されていました。 椅子のアドレス RADIUSワーキンググループは現在の椅子によって連絡を受けることができます: カールRigney リヴィングストンEnterprises 4464本の柳道 プレザントン、カリフォルニア94588 電話:510の+1 426、0770 EMail:cdr@livingston.com Rigneyの[24ページ](情報の) RFC 2139 RADIUSは1997年4月を説明しています 著者のアドレス さらにこのメモについての疑問は次のものに向けることができます: カールRigney リヴィングストンEnterprises 4464本の柳道 プレザントン、カリフォルニア94588 EMail:cdr@livingston.com Rigneyの[25ページ](情報の)