Статус документа
Этот документ содержит информацию, адресованную сообществу Internet. В документе не содержится каких-либо стандартов Internet. Допускается распространение документа без каких-либо ограничений.
Тезисы
Этот документ описывает протокол обмена учетными сведениями (accounting) между серверами доступа NAS и серверами учета (Accounting Server).
Примечание для разработчиков
В этом документе описывается протокол RADIUS Accounting. Первые версии RADIUS Accounting использовали протокол UDP через порт 1646, что приводило к возникновению конфликтов со службами sa-msg-port. Официально для RADIUS Accounting выделен порт 1813.
Оглавление
- 1. Введение
- 1.1. Спецификация уровня требований
- 1.2. Терминология
- 2. Работа протокола
- 2.1. Proxy
- 3. Формат пакетов
- 4. Типы пакетов
- 4.1. Accounting-Request
- 4.2. Accounting-Response
- 5. Атрибуты
- 5.1. Acct-Status-Type
- 5.2. Acct-Delay-Time
- 5.3. Acct-Input-Octets
- 5.4. Acct-Output-Octets
- 5.5. Acct-Session-Id
- 5.6. Acct-Authentic
- 5.7. Acct-Session-Time
- 5.8. Acct-Input-Packets
- 5.9. Acct-Output-Packets
- 5.10. Acct-Terminate-Cause
- 5.11. Acct-Multi-Session-Id
- 5.12. Acct-Link-Count
- 5.13. Таблица атрибутов
- 6. Согласование с IANA
- 7. Вопросы безопасности
- 8. Журнал изменений
- 9. Литература
- 10. Подтверждение
1. Введение
Управление распределенными последовательными каналами и модемными пулами для большого числа пользователей может потребовать значительных усилий администраторов сети. Поскольку модемные пулы по определению являются каналами во внешний мир, они требуют пристального внимания с точки зрения безопасности, идентификации пользователей и учета их работы. Наиболее эффективным решением такой задачи является создание единой «базы данных» о пользователях, которая содержит идентификационные сведения (имена и пароли), а также конфигурационные параметры, определяющий предоставляемый пользователю сервис (например, SLIP, PPP, telnet, rlogin).
В документе [2] описан протокол RADIU (Remote Authentication Dial In User Service), используемый для идентификации пользователей и проверки их полномочий. В данном документе описывается расширение протокола RADIUS, обеспечивающее доставку учетных сведений о работе пользователей от серверов доступа (NAS) к серверам учета RADIUS accounting.
Данный документ заменяет RFC 2139 [1]. Список отличий приведенной здесь спецификации от RFC 2139 дан в приложении «Журнал изменений».
Основные свойства RADIUS Accounting:
- Архитектура «клиент-сервер»
Сервер доступа (NAS) выступает в качестве клиента служб RADIUS accounting. Клиент отвечает за передачу учетных сведений серверам RADIUS accounting.
Серверы RADIUS accounting отвечают за прием учетных запросов и возврат клиенту информации, подтверждающей получение запроса.
Сервер RADIUS accounting может выступать в качестве клиента-посредника (proxy client) других серверов RADIUS accounting.
- Безопасность
- Аутентификация транзакций между клиентом и сервером RADIUS accounting осуществляется с использованием разделяемого ключа (shared secret), который никогда не передается через сеть.
- Возможность расширения
Все протокольные транзакции представляются в форме триплетов «атрибут-размер-значение». Новые атрибуты могут добавляться без нарушения работы существующих реализаций протокола.