город Сердобск

Например, в случае канала связи приложение может попросить изменить параметры канала так, чтобы шифровались все последующие данные, посылаемые по этому каналу. Возможна также ситуация, когда ресурс принадлежит больше чем одному сеансу. Например, тот же канал связи может быть одновременно использован несколькими сеансами.

Сообщение Запрос Добавить Ресурс может иметь Идентификатор Сеанса, принадлежащий вспомогательному сеансу. Запросы ресурсов, посланные вспомогательным сеансом, относятся к ресурсам вне сеансов или к разделяемым ресурсам.

После этого берется за дело уровень 2, помещает блок данных IPSec во фрейм L_2 и посылает его по физическому каналу связи. После обработки IPSec, готовый пакет может подвергнуться разбиению на части, но обсуждение этого выходит за рамки данного примера.

IPSec определяет обработку при отсылке следующим образом. В случае шлюза безопасности или внешнего устройства (а также во многих реализациях с помещением IPSec в стек) каждый отправляемый пакет сопоставляется с записями в SPD для того, чтобы определить набор операций, применяемых к данному пакету.

В конце концов, пользователь может и не захотеть ждать авторизации слишком долго, и более производительным для него может быть использование другого сервера (а не ожидание, пока TCP разрешит проблему). » О RADIUS не меняет своего состояния, и эта его особенность упрощает использование UDP. Клиенты и серверы могут подключаться, отключаться, перегружаться и т. д., в результате чего соединениями TCP стало бы трудно управлять.

О Использование UDP упрощает поддержку многопоточности (когда запрос пользователя разбивается на несколько процессов для сокращения времени идентификации).

Польза UDP i RADIUS работает поверх UDP по следующим причинам: если запрос к главному серверу авторизации не удался, то тогда нужно обратиться к вспомогательному серверу. Протокол TCP не предназначен для решения такого рода проблем. Таким образом, таймеры и повторная передача обеспечиваются RADIUS, а применение UDP обосновано следующими причинами (RADIUS использует порт 1812):

Требования по времени отличаются от тех, которые обеспечиваются в TCP. Обнаружение потери данных, повторная их посылка на основе времени доставки данных туда и обратно (Round Trip Time — RTT) — все это не нужно

Начало сеанса с обратным вызовом: Сервер должен отсоединиться от пользователя и позвонить самому, а затем соединить пользователя с узлом.
О Фреймовый, с обратным вызовом: Сервер должен отсоединиться от пользователя и позвонить самому, а затем использовать фреймовый протокол.

Исходящий доступ: Пользователь должен получить доступ к выходным устройствам.
Административный: Пользователь должен получить доступ к интерфейсу администратора NAS, при помощи которого могут быть выполнены привилегированные команды.
Приглашение NAS: Пользователь должен получить доступ к командной строке NAS, с которой могут быть выполнены непривилегированные команды.
Только идентификация: Запрашивается только идентификация, а информация авторизации не посылается в Разрешение-Доступа (обычно используется прокси-серверами, а не самим NAS).

Полученный результат помещается в атрибут Пароль-Пользователя пакета Запрос-Доступа. В пакетах Запрос-Доступа, Отказ-Доступа и Вызов-Доступа это значение называется ответ-идентификатором и является результатом М05-функции, выполненной на значениях полей кода, идентификатора, длины и идентифицирующего числа пакета Запрос-Доступа.

О Атрибуты: Их описание вы найдете в следующем разделе этой главы.
Атрибуты RADIUS В атрибутах узлы RADIUS передают друг другу информацию, необходимую для идентификации, авторизации и конфигурации.

В этой части главы будут примеры обмена данными между NAS (клиент RADIUS) и RADIUS-сервером. В первом примере, показанном на 7.7, NAS с адресом 192.168.1.16 посылает пакет Запрос-Доступа серверу RADIUS для пользователя «улисс», соединяющегося с портом 3.

Идентификатор запроса (Request Authenticator — RA) устанавливается равным 16-байтному случайному числу (Random Number — RN). Поле Пароль-Пользователя заполняется результатом операции исключающее ИЛИ с паролем пользователя (дополненным нулями, если нужно) и результатом функции MD5 (общий секретный код ИЛИ идентифицирующее число запроса).

Заголовок DIAMETER, также как и все AVP (включая дополненные данные) вплоть до данной AVP, защищены Векторон-Проверки-Целостности. AVP Отметка-Времени используется для защиты ответов, a AVP Вектор-Инициализации применяются для повышения случайности этого пакета.
Применение AVP ВПЦ требует предварительно заданного общего секретного ключа. И хотя этот механизм не масштабируется также хорошо, как цифровая подпись, может оказаться желательным использовать этот механизм, когда использование асимметричных ключей или не требуется или невозможно.

Функция НМАС выполняется следующим образом: hmac_md5 (DIAMETERmessage. MessageLength, Secret. SecretLength. Output) Идентификатор-Преобразования. Поле Идентификатор-Преобразования содержит значение, которое указывает на то, какое преобразование было использовано при вычислении ВПЦ. Алгоритм MD5-HMAC-96 выделен специально для DIAMETER.

Пример обмена сообщениями в RADIUS Запрос от клиента к RADIUS-серверу должен использовать общий секретный ключ так, как на 7.5. В противном случае запрос будет отвергнут (раз ничего не случилось, то нет и дальнейшей обработки). Если начальная проверка Пройдена, то сервер обращается к базе данных с целью проверки данных пользователя. Эта база данных содержит информацию, необходимую для авторизации пользователя.

Если пользователь идентифицирован, то сервер посылает запрос пользователю в виде сообщения о запросе доступа. Клиент может передать это сообщение пользователю в виде приглашения ввода.

Пользователь должен ввести информацию идентификации, такую как имя и пароль, серверу NAS (далее называемому клиентом) или послать соответствующий РРР-пакет. Клиент может затем соединиться с RADIUS. В этом случае клиент создает сообщение с запросом доступа и посылает его RADIUS-серверу (далее — сервер).

Это сообщение содержит информацию о пользователе, называемую атрибутами. Эти атрибуты определяются администратором RADIUS-сервера, поэтому они могут отличаться. Примерами атрибутов могут быть имя, пароль, порт, название клиента и т. д.
Если в атрибутах содержится секретная информация, то она должна быть защищена с использованием алгоритма MD5. Целостность всех данных, передаваемых между сервером и клиентом, должна быть удостоверена с помощью общего секретного ключа, а пароли должны быть зашифрованы.