2.2. Взаимодействие с PAP и CHAP
Для PAP сервер NAS принимает PAP ID и пароль, передавая их в запросе Access-Request как атрибуты User-Name и User-Password. NAS может включать атрибуты Service-Type = Framed-User и Framed-Protocol = PPP как указание серверу RADIUS на использование сервиса PPP.
Для CHAP сервер NAS генерирует случайное число — challenge (предпочтительно 16 октетов) и передает его пользователю, который возвращает CHAP-отклик вместе с CHAP ID и CHAP username. После этого NAS передает запрос Access-Request серверу RADIUS со значением CHAP username для атрибута User-Name и значениями CHAP ID и CHAP-отклик в качестве CHAP-Password (атрибут 3). Случайное число (challenge) может быть включено в атрибут CHAP-Challenge или (если размер числа равен 16 октетам) в поле Request Authenticator пакета Access-Request. Сервер NAS может включать атрибуты Service-Type = Framed-User и Framed-Protocol = PPP как указание серверу RADIUS на использование сервиса PPP.
Сервер RADIUS находит пароль для пользователя, указанного атрибутом User-Name, шифрует значение challenge с использованием алгоритма MD5, октета CHAP ID, найденного пароля и CHAP challenge (из атрибута CHAP-Challenge или Request Authenticator при отсутствии этого атрибута) и сравнивает результат с атрибутом CHAP-Password. При совпадении сервер возвращает Access-Accept, в противном случае — Access-Reject.
Если сервер RADIUS не способен выполнить запрошенную идентификацию, он должен возвращать Access-Reject. Например, CHAP требует чтобы пользовательский пароль был доступен серверу в открытом виде для шифрования CHAP challenge и сравнения с откликом CHAP. Если незашифрованный пароль недоступен, сервер RADIUS должен возвращать клиенту Access-Reject.