筆記：RADIUS使用案例

from blog.csdn.net/twingao/art…

用戶telnet到特定主機

IP地址爲192.168.1.16的NAS發送一個接入請求UDP報文給RADIUS服務器。表示 一個名爲nemo的用戶在端口3使用密碼「arctangent」登陸。

請求認證字(Request Authenticator)是一個NAS生成的16個字節的隨機數。

User-Password屬性是佔位16個字節的密碼，末尾使用null填充滿。而後再和 MD5（共享密碼|請求認證字）異或。

01 00 00 38 0f 40 3f 94 73 97 80 57 bd 83 d5 cb
  98 f4 22 7a 01 06 6e 65 6d 6f 02 12 0d be 70 8d
  93 d4 13 ce 31 96 e4 3f 78 2a 0a ee 04 06 c0 a8
  01 10 05 06 00 00 00 03

   1 Code = Access-Request (1)
   1 ID = 0
   2 Length = 56
  16 Request Authenticator

  Attributes:
   6  User-Name = "nemo"
  18  User-Password
   6  NAS-IP-Address = 192.168.1.16
   6  NAS-Port = 3
複製代碼

RADIUS服務器認證nemo用戶，而後給NAS發送接入成功迴應UDP報文，告訴NAS將 nemo用戶telnet到主機192.168.1.3。

迴應認證字(Response Authenticator)是一個16字節的MD5校驗碼，對代碼域（2），標識符域（0），長度 域（38），上面的請求認證字，迴應報文中的屬性域以及共享密鑰進行MD5加密 生成迴應認證字。

02 00 00 26 86 fe 22 0e 76 24 ba 2a 10 05 f6 bf
  9b 55 e0 b2 06 06 00 00 00 01 0f 06 00 00 00 00
  0e 06 c0 a8 01 03

   1 Code = Access-Accept (2)
   1 ID = 0 (same as in Access-Request)
   2 Length = 38
  16 Response Authenticator

  Attributes:
   6  Service-Type (6) = Login (1)
   6  Login-Service (15) = Telnet (0)
複製代碼

用戶使用CHAP認證

IP地址爲192.168.1.16的NAS發送接入請求UDP報文給RADIUS服務器，表示一個 flopsy用戶使用PPP協議在端口20使用CHAP認證方式登陸。NAS發送了 Service-Type和Framed-Protocol屬性，以提示RADIUS服務器該用戶想使用PPP 協議，儘管NAS不須要這樣作。

請求認證字是一個NAS生成的16個字節的隨機數，它也用來表示CHAP挑戰字。

CHAP-Password屬性由1個字節的CHAP ID（本例中爲22）以及後面的16個字節的 CHAP迴應組成。

01 01 00 47 2a ee 86 f0 8d 0d 55 96 9c a5 97 8e
  0d 33 67 a2 01 08 66 6c 6f 70 73 79 03 13 16 e9
  75 57 c3 16 18 58 95 f2 93 ff 63 44 07 72 75 04
  06 c0 a8 01 10 05 06 00 00 00 14 06 06 00 00 00
  02 07 06 00 00 00 01

   1 Code = 1     (Access-Request)
   1 ID = 1
   2 Length = 71
  16 Request Authenticator

  Attributes:
   8  User-Name (1) = "flopsy"
  19  CHAP-Password (3)
   6  NAS-IP-Address (4) = 192.168.1.16
   6  NAS-Port (5) = 20
   6  Service-Type (6) = Framed (2)
   6  Framed-Protocol (7) = PPP (1)
複製代碼

RADIUS服務器認證flopsy用戶，而後給NAS發送接入成功迴應UDP報文，告訴NAS開始PPP服務，而且爲用戶從動態地址池中分配一個IP地址。

迴應認證字是一個16字節的MD5校驗碼，對代碼域（2），標識符域（1），長度域（56），上面的請求認證字，迴應報文的屬性域以及共享密鑰進行MD5加密生成迴應認證字。

02 01 00 38 15 ef bc 7d ab 26 cf a3 dc 34 d9 c0
  3c 86 01 a4 06 06 00 00 00 02 07 06 00 00 00 01
  08 06 ff ff ff fe 0a 06 00 00 00 02 0d 06 00 00
  00 01 0c 06 00 00 05 dc

   1 Code = Access-Accept (2)
   1 ID = 1 (same as in Access-Request)
   2 Length = 56
  16 Response Authenticator

  Attributes:
   6  Service-Type (6) = Framed (2)
   6  Framed-Protocol (7) = PPP (1)
   6  Framed-IP-Address (8) = 255.255.255.254
   6  Framed-Routing (10) = None (0)
   6  Framed-Compression (13) = VJ TCP/IP Header Compression (1)
   6  Framed-MTU (12) = 1500
複製代碼

使用挑戰迴應卡認證

IP地址爲192.168.1.16的NAS發送一個接入請求UDP報文給RADIUS服務器，表示 一個mopsy用戶要在端口7登陸，在本例中，假定用戶輸入密碼「challenge」。 在本例中，由智能卡生成的挑戰和迴應分別是「32769430」和「99101462」。

請求認證字是一個由NAS生成的16個字節的隨機數。

User-Password屬性是佔位16個字節的密碼，在本例中，密碼爲 「challenge」，後面使用null填充滿16個字節。而後再和MD5（共享密碼|請求 認證字）異或。

01 02 00 39 f3 a4 7a 1f 6a 6d 76 71 0b 94 7a b9
  30 41 a0 39 01 07 6d 6f 70 73 79 02 12 33 65 75
  73 77 82 89 b5 70 88 5e 15 08 48 25 c5 04 06 c0
  a8 01 10 05 06 00 00 00 07
複製代碼

1 Code = Access-Request (1) 1 ID = 2 2 Length = 57 16 Request Authenticator

Attributes:
   7 User-Name (1) = "mopsy"
  18 User-Password (2)
   6  NAS-IP-Address (4) = 192.168.1.16
   6  NAS-Port (5) = 7
複製代碼

RADIUS服務器決定挑戰mopsy用戶，須要發送回一個挑戰字符串並等待迴應，因 此RADIUS服務器發送了一個接入挑戰UDP報文給NAS。

迴應認證字是一個16字節的MD5校驗碼，對代碼域（11），標識符域（2），長 度域（78），上面的請求認證字，迴應報文的屬性域以及共享密鑰進行MD5加密 生成迴應認證字。

Reply-Message屬性值爲「Challenge 32769430. Enter response at prompt.」。

State屬性是一個隨着用戶的迴應返回的神奇的cookie，在本例中是一個8個字節 的數據（33 32 37 36 39 34 33 30，十六進制）。

0b 02 00 4e 36 f3 c8 76 4a e8 c7 11 57 40 3c 0c
  71 ff 9c 45 12 30 43 68 61 6c 6c 65 6e 67 65 20
  33 32 37 36 39 34 33 30 2e 20 20 45 6e 74 65 72
  20 72 65 73 70 6f 6e 73 65 20 61 74 20 70 72 6f
  6d 70 74 2e 18 0a 33 32 37 36 39 34 33 30

   1 Code = Access-Challenge (11)
   1 ID = 2 (same as in Access-Request)
   2 Length = 78
  16 Response Authenticator

  Attributes:
  48  Reply-Message (18)
  10  State (24)
複製代碼

用戶輸入迴應後，NAS發送一個新的攜帶該回應的接入請求報文，其中包括 State屬性。

請求認證字是一個新的16字節隨機數。

User-Password屬性是用戶迴應的16字節字符串，在本例中爲「99101462」，後 面用null填滿16個字節，而後和MD5（共享密鑰|請求認證字）異或

State屬性是接入挑戰報文中的神奇cookie，沒有作修改。

01 03 00 43 b1 22 55 6d 42 8a 13 d0 d6 25 38 07
  c4 57 ec f0 01 07 6d 6f 70 73 79 02 12 69 2c 1f
  20 5f c0 81 b9 19 b9 51 95 f5 61 a5 81 04 06 c0
  a8 01 10 05 06 00 00 00 07 18 10 33 32 37 36 39
  34 33 30

   1 Code = Access-Request (1)
   1 ID = 3 (Note that this changes.)
   2 Length = 67
  16 Request Authenticator

  Attributes:
   7  User-Name = "mopsy"
  18  User-Password
   6  NAS-IP-Address (4) = 192.168.1.16
   6  NAS-Port (5) = 7
  10  State (24)
複製代碼

迴應是不正確的（爲了舉例之便），因此RADIUS服務器告訴NAS拒絕了試圖的登 錄。

迴應認證字是一個16字節的MD5校驗碼，對代碼域（11），標識符域（3），長 度域（20），上面的請求認證字，迴應報文的屬性域以及共享密鑰進行MD5加密 生成迴應認證字。

03 03 00 14 a4 2f 4f ca 45 91 6c 4e 09 c8 34 0f
  9e 74 6a a0

   1 Code = Access-Reject (3)
   1 ID = 3 (same as in Access-Request)
   2 Length = 20
  16 Response Authenticator

  Attributes:
     (none, although a Reply-Message could be sent)
複製代碼