小编 RADIUS CoA/DM
RADIUS CoA/DM
设备支持RADIUS CoA/DM功能,提供一种动态修改在线用户权限或者使用户下线的机制。
RADIUS CoA/DM报文
CoA/DM报文类型如表2-10所示。
报文名称 | 说明 |
|---|---|
CoA-Request | 动态授权请求报文。当管理员需要更改某个在线用户的权限时(例如,管理员不希望用户访问某个网站),可以通过RADIUS服务器发送一个动态授权请求报文给RADIUS客户端,使RADIUS客户端修改在线用户的权限。 |
CoA-ACK | 动态授权请求接受报文。如果RADIUS客户端成功更改了用户的权限,则RADIUS客户端回应动态授权请求接受报文给RADIUS服务器。 |
CoA-NAK | 动态授权请求拒绝报文。如果RADIUS客户端未成功更改用户的权限,则RADIUS客户端回应动态授权请求拒绝报文给RADIUS服务器。 |
DM-Request | 用户离线请求报文。当管理员需要让某个在线的用户下线时,可以通过RADIUS服务器发送一个用户离线请求报文给RADIUS客户端,使RADIUS客户端终结用户的连接。 |
DM-ACK | 用户离线请求接受报文。如果RADIUS客户端已经切断了用户的连接,则RADIUS客户端回应用户离线请求接受报文给RADIUS服务器。 |
DM-NAK | 用户离线请求拒绝报文。如果RADIUS客户端无法切断用户的连接,则RADIUS客户端回应用户离线请求拒绝报文给RADIUS服务器。 |
交互流程
CoA(Change of Authorization)是指用户认证成功后,可以通过RADIUS协议来修改在线用户的权限。CoA的报文交互流程如图2-14所示。
RADIUS服务器根据业务信息,向设备发送CoA-Request报文,请求更改用户的授权信息。该报文中可以包括ACL规则等授权。
设备收到CoA-Request报文后,与设备上的用户信息匹配来识别用户。如果匹配成功,则更改用户的授权信息;如果匹配失败,则保持用户原有授权信息。
设备回应CoA-ACK/NAK报文。
如果更改成功,则设备向RADIUS服务器回应CoA-ACK报文。
如果更改失败,则设备向RADIUS服务器回应CoA-NAK报文。如果用户不存在,则不回应。
DM(Disconnect Message)是指用户下线报文,即由RADIUS服务器主动发起的使用户下线的报文。DM的报文交互流程如图2-15所示。
管理员在RADIUS服务器上使用户下线,RADIUS服务器向设备发送DM-Request报文,请求用户下线。
设备收到DM-Request报文后,与设备上的用户信息匹配来识别用户。如果匹配成功,则通知用户下线;如果匹配失败,则用户保持在线。
设备回应DM-ACK/NAK报文。
如果用户成功下线,设备给RADIUS服务器回应DM-ACK报文。
如果用户未下线,设备给RADIUS服务器回应DM-NAK报文。如果用户不存在,则不回应。
与用户上线授权或用户主动下线过程相比,CoA/DM的特点是请求报文是由服务器发送的,回应报文是由设备发送的,成功则回应ACK报文、失败则回应NAK报文。
会话识别
RADIUS标准属性:User-Name(1)
RADIUS标准属性:Acct-Session-ID(44)
RADIUS标准属性:Framed-IP-Address(8)
RADIUS标准属性:Calling-Station-Id(31)
匹配的方式包括以下两种:
any方式:其中一个属性与设备上的用户信息进行匹配检查。识别用户所用的RADIUS属性优先级为:Acct-Session-ID(44) > Calling-Station-Id(31) > Framed-IP-Address(8)。按照优先级在请求报文中查找属性,优先找到哪个属性就用哪个属性与设备上的用户信息进行匹配,匹配成功时,设备回应ACK报文,否则回应NAK报文。
all方式:所有的属性与设备上的用户信息进行匹配检查。识别用户所用的RADIUS属性包括:Acct-Session-ID(44)、Calling-Station-Id(31)、Framed-IP-Address(8)和User-Name(1)。请求报文中以上属性都要与设备上的用户信息进行匹配,全部匹配成功时,设备回应ACK报文,否则回应NAK报文。
错误码说明
RADIUS服务器的CoA-Request报文或DM-Request报文与设备上的用户信息匹配失败时,设备会在回应的CoA-NAK报文或DM-NAK报文中通过错误码描述失败的原因。错误码介绍请参见表2-11和表2-12。
名称 | 数值 | 说明 |
|---|---|---|
RD_DM_ERRCODE_MISSING_ATTRIBUTE | 402 | 请求报文中缺少关键属性,导致RADIUS属性完整性检查失败 |
RD_DM_ERRCODE_INVALID_REQUEST | 404 | 对请求报文进行属性解析时,解析失败 |
RD_DM_ERRCODE_INVALID_ATTRIBUTE_VALUE | 407 | 请求报文中包含不支持或不存在的属性,导致属性检查失败。 授权检查的内容包括:VLAN、ACL、CAR、重定向ACL编号以及基于接口的认证用户不支持授权华为RADIUS扩展属性RD_hw_URL_Flag和RD_hw_Portal_URL 可能出现的错误包括:
|
RD_DM_ERRCODE_SESSION_CONTEXT_NOT_FOUND | 503 | 会话请求失败。包括:
|
RD_DM_ERRCODE_RESOURCES_UNAVAILABLE | 506 | 其他授权失败的情况使用该错误码 |
名称 | 数值 | 说明 |
|---|---|---|
RD_DM_ERRCODE_NAS_IDENTIFICATION_MISMATCH | 403 | 请求报文中用户信息不匹配 |
RD_DM_ERRCODE_INVALID_REQUEST | 404 | 对请求报文进行属性解析时,解析失败 |
RD_DM_ERRCODE_SESSION_CONTEXT_NOT_REMOVABLE | 504 | 用户删除失败 |
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。
转载请保留出处: www.zh-cjh.com珠海陈坚浩博客 » RADIUS CoA/DM
作者: 小编
| 手机扫一扫,手机上查看此文章: |
一切源于价值!
其他 模板文件不存在: ./template/plugins/comment/pc/index.htm