Radius强制下线用户提示共享密钥错误 - 管理猿 2019 年 03 月 08 日 |访问: 362 次

在COA的下线过程中有个权限校验的过程,校验的数据在Disconnect-Request报文的authenticator字段
Authenticator字段是十六(16)个八位字节。最重要的八位字节首先被传输。此值用于验证动态授权客户端和动态授权服务器之间的数据包。

      请求身份验证器

         在Request数据包中,Authenticator值是一个16字节的MD5 [RFC1321]校验和,称为请求验证器。 Request Authenticator的计算方法与[RFC2866]中指定的Accounting-Request相同。

         请注意,CoA-Request或Disconnect-Request的Request Authenticator的计算方式与RADIUS Access-Request的Request Authenticator的计算方式不同,因为CoA-Request或Disconnect-Request中没有User-Password属性。

      响应身份验证器

         响应数据包中的Authenticator字段(例如,Disconnect-ACK,Disconnect-NAK,CoA-ACK或CoA-NAK)称为响应验证器,并包含通过八位字节流计算的单向MD5哈希值。代码,标识符,长度,正在回复的数据包中的请求验证器字段,以及响应属性(如果有),后跟共享密钥。得到的16个八位字节的MD5哈希值存储在响应数据包的Authenticator字段中。

      管理注释:如[RFC2865]第3节所述,秘密(动态授权客户端和动态授权服务器之间共享的密码)应该至少与精心选择的密码一样大且不可思议。动态授权服务器必须使用RADIUS UDP数据包的源IP地址来决定使用哪个共享密钥,以便可以代理请求。

两边的字段不一致,返回签名错误,进一步提示共享密钥错误

标签:none

添加新评论