[要約] RFC 4005は、Diameterネットワークアクセスサーバーアプリケーションに関する仕様です。このRFCの目的は、Diameterプロトコルを使用してネットワークアクセスサーバーと認証サーバー間の通信を確立し、ユーザーの認証と認可を行うことです。
Network Working Group P. Calhoun
Request for Comments: 4005 G. Zorn
Category: Standards Track Cisco Systems Inc.
D. Spence
Consultant
D. Mitton
Circular Networks
August 2005
Diameter Network Access Server Application
直径ネットワークアクセスサーバーアプリケーション
Status of This Memo
本文書の位置付け
This document specifies an Internet standards track protocol for the Internet community, and requests discussion and suggestions for improvements. Please refer to the current edition of the "Internet Official Protocol Standards" (STD 1) for the standardization state and status of this protocol. Distribution of this memo is unlimited.
このドキュメントは、インターネットコミュニティのインターネット標準トラックプロトコルを指定し、改善のための議論と提案を要求します。このプロトコルの標準化状態とステータスについては、「インターネット公式プロトコル標準」(STD 1)の現在のエディションを参照してください。このメモの配布は無制限です。
Copyright Notice
著作権表示
Copyright (C) The Internet Society (2005).
Copyright(c)The Internet Society(2005)。
Abstract
概要
This document describes the Diameter protocol application used for Authentication, Authorization, and Accounting (AAA) services in the Network Access Server (NAS) environment. When combined with the Diameter Base protocol, Transport Profile, and Extensible Authentication Protocol specifications, this application specification satisfies typical network access services requirements.
このドキュメントでは、ネットワークアクセスサーバー(NAS)環境での認証、承認、および会計(AAA)サービスに使用される直径プロトコルアプリケーションについて説明します。直径ベースプロトコル、輸送プロファイル、および拡張可能な認証プロトコル仕様と組み合わせると、このアプリケーション仕様は典型的なネットワークアクセスサービス要件を満たします。
Initial deployments of the Diameter protocol are expected to include legacy systems. Therefore, this application has been carefully designed to ease the burden of protocol conversion between RADIUS and Diameter. This is achieved by including the RADIUS attribute space to eliminate the need to perform many attribute translations.
直径プロトコルの初期展開には、レガシーシステムが含まれると予想されます。したがって、このアプリケーションは、半径と直径の間のプロトコル変換の負担を軽減するために慎重に設計されています。これは、多くの属性翻訳を実行する必要性を排除するために、RADIUS属性スペースを含めることによって達成されます。
The interactions between Diameter applications and RADIUS specified in this document are to be applied to all Diameter applications. In this sense, this document extends the Base Diameter protocol.
このドキュメントで指定された直径アプリケーションと半径との相互作用は、すべての直径アプリケーションに適用されます。この意味で、このドキュメントは基本径プロトコルを拡張します。
Table of Contents
目次
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . 5
1.1. Terminology . . . . . . . . . . . . . . . . . . . . . . 5
1.2. Requirements Language . . . . . . . . . . . . . . . . . 6
1.3. Advertising Application Support . . . . . . . . . . . . 6
2. NAS Calls, Ports, and Sessions . . . . . . . . . . . . . . . . 6
2.1. Diameter Session Establishment . . . . . . . . . . . . . 7
2.2. Diameter Session Reauthentication or Reauthorization . . 7
2.3. Diameter Session Termination . . . . . . . . . . . . . . 8
3. NAS Messages . . . . . . . . . . . . . . . . . . . . . . . . . 9
3.1. AA-Request (AAR) Command . . . . . . . . . . . . . . . . 9
3.2. AA-Answer (AAA) Command . . . . . . . . . . . . . . . . 11
3.3. Re-Auth-Request (RAR) Command . . . . . . . . . . . . . 13
3.4. Re-Auth-Answer (RAA) Command . . . . . . . . . . . . . . 14
3.5. Session-Termination-Request (STR) Command . . . . . . . 15
3.6. Session-Termination-Answer (STA) Command . . . . . . . . 15
3.7. Abort-Session-Request (ASR) Command . . . . . . . . . . 16
3.8. Abort-Session-Answer (ASA) Command . . . . . . . . . . . 17
3.9. Accounting-Request (ACR) Command . . . . . . . . . . . . 17
3.10. Accounting-Answer (ACA) Command. . . . . . . . . . . . . 19
4. NAS Session AVPs . . . . . . . . . . . . . . . . . . . . . . . 20
4.1. Call and Session Information . . . . . . . . . . . . . . 21
4.2. NAS-Port AVP . . . . . . . . . . . . . . . . . . . . . . 22
4.3. NAS-Port-Id AVP . . . . . . . . . . . . . . . . . . . . 22
4.4. NAS-Port-Type AVP . . . . . . . . . . . . . . . . . . . 22
4.5. Called-Station-Id AVP . . . . . . . . . . . . . . . . . 23
4.6. Calling-Station-Id AVP . . . . . . . . . . . . . . . . . 23
4.7. Connect-Info AVP . . . . . . . . . . . . . . . . . . . . 24
4.8. Originating-Line-Info AVP . . . . . . . . . . . . . . . 24
4.9. Reply-Message AVP . . . . . . . . . . . . . . . . . . . 25
5. NAS Authentication AVPs . . . . . . . . . . . . . . . . . . . 26
5.1. User-Password AVP . . . . . . . . . . . . . . . . . . . 26
5.2. Password-Retry AVP . . . . . . . . . . . . . . . . . . . 27
5.3. Prompt AVP . . . . . . . . . . . . . . . . . . . . . . . 27
5.4. CHAP-Auth AVP . . . . . . . . . . . . . . . . . . . . . 27
5.5. CHAP-Algorithm AVP . . . . . . . . . . . . . . . . . . . 28
5.6. CHAP-Ident AVP . . . . . . . . . . . . . . . . . . . . . 28
5.7. CHAP-Response AVP . . . . . . . . . . . . . . . . . . . 28
5.8. CHAP-Challenge AVP . . . . . . . . . . . . . . . . . . . 28
5.9. ARAP-Password AVP . . . . . . . . . . . . . . . . . . . 28
5.10. ARAP-Challenge-Response AVP. . . . . . . . . . . . . . . 28
5.11. ARAP-Security AVP. . . . . . . . . . . . . . . . . . . . 29
5.12. ARAP-Security-Data AVP . . . . . . . . . . . . . . . . . 29
6. NAS Authorization AVPs . . . . . . . . . . . . . . . . . . . . 29
6.1. Service-Type AVP . . . . . . . . . . . . . . . . . . . . 30
6.2. Callback-Number AVP . . . . . . . . . . . . . . . . . . 32
6.3. Callback-Id AVP . . . . . . . . . . . . . . . . . . . . 32
6.4. Idle-Timeout AVP . . . . . . . . . . . . . . . . . . . . 32
6.5. Port-Limit AVP . . . . . . . . . . . . . . . . . . . . . 32
6.6. NAS-Filter-Rule AVP . . . . . . . . . . . . . . . . . . 32
6.7. Filter-Id AVP . . . . . . . . . . . . . . . . . . . . . 33
6.8. Configuration-Token AVP . . . . . . . . . . . . . . . . 33
6.9. QoS-Filter-Rule AVP . . . . . . . . . . . . . . . . . . 33
6.10. Framed Access Authorization AVPs . . . . . . . . . . . . 35
6.10.1. Framed-Protocol AVP . . . . . . . . . . . . . . 35
6.10.2. Framed-Routing AVP. . . . . . . . . . . . . . . 35
6.10.3. Framed-MTU AVP. . . . . . . . . . . . . . . . . 35
6.10.4. Framed-Compression AVP. . . . . . . . . . . . . 36
6.11. IP Access Authorization AVPs.. . . . . . . . . . . . . . 36
6.11.1. Framed-IP-Address AVP . . . . . . . . . . . . . 36
6.11.2. Framed-IP-Netmask AVP . . . . . . . . . . . . . 36
6.11.3. Framed-Route AVP. . . . . . . . . . . . . . . . 37
6.11.4. Framed-Pool AVP . . . . . . . . . . . . . . . . 37
6.11.5. Framed-Interface-Id AVP . . . . . . . . . . . . 37
6.11.6. Framed-IPv6-Prefix AVP. . . . . . . . . . . . . 38
6.11.7. Framed-IPv6-Route AVP . . . . . . . . . . . . . 38
6.11.8. Framed-IPv6-Pool AVP. . . . . . . . . . . . . . 38
6.12. IPX Access . . . . . . . . . . . . . . . . . . . . . . . 38
6.12.1. Framed-IPX-Network AVP. . . . . . . . . . . . . 39
6.13. AppleTalk Network Access . . . . . . . . . . . . . . . . 39
6.13.1. Framed-AppleTalk-Link AVP . . . . . . . . . . . 39
6.13.2. Framed-AppleTalk-Network AVP . . . . . . . . . 39
6.13.3. Framed-AppleTalk-Zone AVP . . . . . . . . . . . 40
6.14. AppleTalk Remote Access. . . . . . . . . . . . . . . . . 40
6.14.1. ARAP-Features AVP . . . . . . . . . . . . . . . 40
6.14.2. ARAP-Zone-Access AVP. . . . . . . . . . . . . . 40
6.15. Non-Framed Access Authorization AVPs . . . . . . . . . . 40
6.15.1. Login-IP-Host AVP . . . . . . . . . . . . . . . 40
6.15.2. Login-IPv6-Host AVP . . . . . . . . . . . . . . 41
6.15.3. Login-Service AVP . . . . . . . . . . . . . . . 41
6.16. TCP Services . . . . . . . . . . . . . . . . . . . . . . 42
6.16.1. Login-TCP-Port AVP . . . . . . . . . . . . . . 42
6.17. LAT Services . . . . . . . . . . . . . . . . . . . . . . 42
6.17.1. Login-LAT-Service AVP . . . . . . . . . . . . . 42
6.17.2. Login-LAT-Node AVP. . . . . . . . . . . . . . . 43
6.17.3. Login-LAT-Group AVP . . . . . . . . . . . . . . 43
6.17.4. Login-LAT-Port AVP. . . . . . . . . . . . . . . 43
7. NAS Tunneling . . . . . . . . . . . . . . . . . . . . . . . . 44
7.1. Tunneling AVP . . . . . . . . . . . . . . . . . . . . . 44
7.2. Tunnel-Type AVP . . . . . . . . . . . . . . . . . . . . 45
7.3. Tunnel-Medium-Type AVP . . . . . . . . . . . . . . . . . 46
7.4. Tunnel-Client-Endpoint AVP . . . . . . . . . . . . . . . 46
7.5. Tunnel-Server-Endpoint AVP . . . . . . . . . . . . . . . 47
7.6. Tunnel-Password AVP . . . . . . . . . . . . . . . . . . 48
7.7. Tunnel-Private-Group-Id AVP . . . . . . . . . . . . . . 48
7.8. Tunnel-Assignment-Id AVP . . . . . . . . . . . . . . . . 48
7.9. Tunnel-Preference AVP . . . . . . . . . . . . . . . . . 49
7.10. Tunnel-Client-Auth-Id AVP. . . . . . . . . . . . . . . . 50
7.11. Tunnel-Server-Auth-Id AVP. . . . . . . . . . . . . . . . 50
8. NAS Accounting . . . . . . . . . . . . . . . . . . . . . . . . 50
8.1. Accounting-Input-Octets AVP . . . . . . . . . . . . . . 51
8.2. Accounting-Output-Octets AVP . . . . . . . . . . . . . . 52
8.3. Accounting-Input-Packets AVP . . . . . . . . . . . . . . 52
8.4. Accounting-Output-Packets AVP . . . . . . . . . . . . . 52
8.5. Acct-Session-Time AVP . . . . . . . . . . . . . . . . . 52
8.6. Acct-Authentic AVP . . . . . . . . . . . . . . . . . . . 52
8.7. Accounting-Auth-Method AVP . . . . . . . . . . . . . . . 53
8.8. Acct-Delay-Time . . . . . . . . . . . . . . . . . . . . 53
8.9. Acct-Link-Count . . . . . . . . . . . . . . . . . . . . 54
8.10. Acct-Tunnel-Connection AVP . . . . . . . . . . . . . . . 54
8.11. Acct-Tunnel-Packets-Lost AVP . . . . . . . . . . . . . . 55
9. RADIUS/Diameter Protocol Interactions . . . . . . . . . . . . 55
9.1. RADIUS Request Forwarded as Diameter Request . . . . . . 55
9.1.1. RADIUS Dynamic Authorization Considerations . . 59
9.2. Diameter Request Forwarded as RADIUS Request . . . . . . 60
9.2.1. RADIUS Dynamic Authorization Considerations . . 62
9.3. AVPs Used Only for Compatibility . . . . . . . . . . . . 63
9.3.1. NAS-Identifier AVP. . . . . . . . . . . . . . . 63
9.3.2. NAS-IP-Address AVP. . . . . . . . . . . . . . . 64
9.3.3. NAS-IPv6-Address AVP. . . . . . . . . . . . . . 65
9.3.4. State AVP . . . . . . . . . . . . . . . . . . . 65
9.3.5. Termination-Cause AVP Code Values . . . . . . . 66
9.3.6. Origin-AAA-Protocol . . . . . . . . . . . . . . 68
9.4. Prohibited RADIUS Attributes . . . . . . . . . . . . . . 69
9.5. Translatable Diameter AVPs . . . . . . . . . . . . . . . 69
9.6. RADIUS Vendor-Specific Attributes . . . . . . . . . . . 69
9.6.1. Forwarding a Diameter Vendor Specific AVP as a
RADIUS VSA . . . . . . . . . . . . . . . . . . . 70
9.6.2. Forwarding a RADIUS VSA as a Diameter Vendor
Specific AVP . . . . . . . . . . . . . . . . . . 70
10. AVP Occurrence Tables. . . . . . . . . . . . . . . . . . . . . 71
10.1. AA-Request/Answer AVP Table. . . . . . . . . . . . . . . 71
10.2. Accounting AVP Tables. . . . . . . . . . . . . . . . . . 73
10.2.1. Accounting Framed Access AVP Table. . . . . . . 74
10.2.2. Accounting Non-Framed Access AVP Table. . . . . 76
11. IANA Considerations. . . . . . . . . . . . . . . . . . . . . . 77
11.1. Command Codes. . . . . . . . . . . . . . . . . . . . . . 77
11.2. AVP Codes. . . . . . . . . . . . . . . . . . . . . . . . 78
11.3. Application Identifier . . . . . . . . . . . . . . . . . 78
11.4. CHAP-Algorithm AVP Values. . . . . . . . . . . . . . . . 78
11.5. Accounting-Auth-Method AVP Values. . . . . . . . . . . . 78
11.6. Origin-AAA-Protocol AVP Values . . . . . . . . . . . . . 78
12. Security Considerations. . . . . . . . . . . . . . . . . . . . 78
13. References . . . . . . . . . . . . . . . . . . . . . . . . . . 79
13.1. Normative References . . . . . . . . . . . . . . . . . . 79
13.2. Informative References . . . . . . . . . . . . . . . . . 80
14. Acknowledgements . . . . . . . . . . . . . . . . . . . . . . . 83
Authors' Addresses . . . . . . . . . . . . . . . . . . . . . . . . 84
Full Copyright Statement . . . . . . . . . . . . . . . . . . . . . 85
This document describes the Diameter protocol application used for AAA in the Network Access Server (NAS) environment. When combined with the Diameter Base protocol [BASE], Transport Profile [DiamTrans], and EAP [DiamEAP] specifications, this Diameter NAS application specification satisfies NAS-related requirements defined in RFC 2989 [AAACriteria] and RFC 3169 [NASCriteria].
このドキュメントでは、ネットワークアクセスサーバー(NAS)環境でAAAに使用される直径プロトコルアプリケーションについて説明します。直径ベースプロトコル[ベース]、輸送プロファイル[Diamtrans]、およびEAP [DiameAp]仕様と組み合わせると、この直径NASアプリケーション仕様は、RFC 2989 [AAAcriteria]およびRFC 3169 [Nassriteria]で定義されているNAS関連の要件を満たします。
Initial deployments of the Diameter protocol are expected to include legacy systems. Therefore, this application has been carefully designed to ease the burden of protocol conversion between RADIUS and Diameter. This is achieved by including the RADIUS attribute space to eliminate the need to perform many attribute translations.
直径プロトコルの初期展開には、レガシーシステムが含まれると予想されます。したがって、このアプリケーションは、半径と直径の間のプロトコル変換の負担を軽減するために慎重に設計されています。これは、多くの属性翻訳を実行する必要性を排除するために、RADIUS属性スペースを含めることによって達成されます。
The interactions specified in this document between Diameter applications and RADIUS are to be applied to all Diameter applications. In this sense, this document extends the Base Diameter protocol [BASE].
直径アプリケーションと半径の間でこのドキュメントで指定された相互作用は、すべての直径アプリケーションに適用されます。この意味で、このドキュメントはベース直径プロトコル[ベース]を拡張します。
First, this document describes the operation of a Diameter NAS application. Then it defines the Diameter message Command-Codes. The following sections list the AVPs used in these messages, grouped by common usage. These are session identification, authentication, authorization, tunneling, and accounting. The authorization AVPs are further broken down by service type. Interaction and backward compatibility issues with RADIUS are discussed in later sections.
まず、このドキュメントでは、直径NASアプリケーションの動作について説明します。次に、直径メッセージコマンドコードを定義します。次のセクションには、これらのメッセージで使用されているAVPが一般的な使用法によってグループ化されています。これらは、セッションの識別、認証、承認、トンネリング、および会計です。許可AVPは、サービスタイプごとにさらに分割されます。半径との相互作用と後方互換性の問題については、後のセクションで説明します。
The base Diameter [BASE] specification section 1.4 defines most of the terminology used in this document. Additionally, the following terms and acronyms are used in this application:
ベース直径[ベース]仕様セクション1.4は、このドキュメントで使用されているほとんどの用語を定義しています。さらに、このアプリケーションでは、次の用語と頭字語が使用されています。
NAS (Network Access Server) - A device that provides an access service for a user to a network. The service may be a network connection or a value-added service such as terminal emulation [NASModel].
NAS(ネットワークアクセスサーバー) - ユーザーにネットワークにアクセスサービスを提供するデバイス。このサービスは、ネットワーク接続またはターミナルエミュレーション[Nasmodel]などの付加価値サービスである場合があります。
PPP (Point-to-Point Protocol) - A multiprotocol serial datalink. PPP is the primary IP datalink used for dial-in NAS connection service [PPP].
PPP(ポイントツーポイントプロトコル) - マルチプロトコルシリアルデータリンク。PPPは、ダイヤルインNAS接続サービス[PPP]に使用される主要なIPデータリンクです。
CHAP (Challenge Handshake Authentication Protocol) - An authentication process used in PPP [PPPCHAP].
Chap(チャレンジハンドシェイク認証プロトコル) - PPP [PPPChap]で使用される認証プロセス。
PAP (Password Authentication Protocol) - A deprecated PPP authentication process, but often used for backward compatibility [PAP].
PAP(パスワード認証プロトコル) - PPP認証プロセスが拒否されましたが、後方互換性[PAP]によく使用されます。
SLIP (Serial Line Interface Protocol) - A serial datalink that only supports IP. A design prior to PPP.
スリップ(シリアルラインインターフェイスプロトコル) - IPのみをサポートするシリアルデータリンク。PPPの前のデザイン。
ARAP (Appletalk Remote Access Protocol) - A serial datalink for accessing Appletalk networks [ARAP].
ARAP(AppleTalk Remote Access Protocol) - AppleTalkネットワークにアクセスするためのシリアルデータリンク[ARAP]。
IPX (Internet Packet Exchange) - The network protocol used by NetWare networks [IPX].
IPX(インターネットパケット交換) - ネットウェアネットワーク[IPX]が使用するネットワークプロトコル。
LAT (Local Area Transport) - A Digital Equipment Corp. LAN protocol for terminal services [LAT].
LAT(ローカルエリアの輸送) - デジタル機器Corp.ターミナルサービス用のLANプロトコル[LAT]。
VPN (Virtual Private Network) - In this document, this term is used to describe access services that use tunneling methods.
VPN(仮想プライベートネットワーク) - このドキュメントでは、この用語は、トンネルメソッドを使用するアクセスサービスを説明するために使用されます。
In this document, the key words "MAY", "MUST", "MUST NOT", "OPTIONAL", "RECOMMENDED", "SHOULD", and "SHOULD NOT" are to be interpreted as described in [Keywords].
このドキュメントでは、キーワードは「可能性があります」、「必須」、「必須」、「オプション」、「推奨」、「必要」、および「[キーワード]で説明されているように解釈されるべきではありません。
Diameter applications conforming to this specification MUST advertise support by including the value of one (1) in the Auth-Application-Id of Capabilities-Exchange-Request (CER), AA-Request (AAR), and AA-Answer (AAA) messages. All other messages are defined by [BASE] and use the Base application id value.
この仕様に準拠した直径アプリケーションは、機能-Exchange-Request(CER)、AA-Request(AAR)、およびAA-Answer(AAA)メッセージのAuth-Application-IDに1の値を含めることにより、サポートを宣伝する必要があります。。他のすべてのメッセージは[ベース]で定義され、ベースアプリケーションID値を使用します。
The arrival of a new call or service connection at a port of a Network Access Server (NAS) starts a Diameter NAS message exchange. Information about the call, the identity of the user, and the user's authentication information are packaged into a Diameter AA-Request (AAR) message and sent to a server.
ネットワークアクセスサーバー(NAS)のポートに新しい通話またはサービス接続が到着すると、直径NASメッセージ交換が開始されます。通話、ユーザーのID、およびユーザーの認証情報に関する情報は、AA-Request(AAR)メッセージの直径にパッケージ化され、サーバーに送信されます。
The server processes the information and responds with a Diameter AA-Answer (AAA) message that contains authorization information for the NAS, or a failure code (Result-Code AVP). A value of DIAMETER_MULTI_ROUND_AUTH indicates an additional authentication exchange, and several AAR and AAA messages may be exchanged until the transaction completes.
サーバーは情報を処理し、NASの認証情報または障害コード(結果コードAVP)を含む直径AA-Answer(AAA)メッセージで応答します。diameter_multi_round_authの値は追加の認証交換を示し、トランザクションが完了するまでいくつかのAARおよびAAAメッセージを交換することができます。
Depending on the Auth-Request-Type AVP, the Diameter protocol allows authorization-only requests that contain no authentication information from the client. This capability goes beyond the Call Check capabilities described in section 5.6 of [RADIUS] in that no access decision is requested. As a result, service cannot be started as a result of a response to an authorization-only request without introducing a significant security vulnerability.
Auth-Request-Type AVPに応じて、Diameterプロトコルは、クライアントからの認証情報を含まない認証のみの要求を許可します。この機能は、[RADIUS]のセクション5.6で説明されているコールチェック機能を超えています。その結果、重要なセキュリティの脆弱性を導入することなく、認証専用の要求への対応の結果としてサービスを開始することはできません。
Since no equivalent capability exists in RADIUS, authorization-only requests from a NAS implementing Diameter may not be easily translated to an equivalent RADIUS message by a Diameter/RADIUS gateway. For example, when a Diameter authorization-only request cannot be translated to a RADIUS Call Check, it would be necessary for the Diameter/RADIUS gateway to add authentication information to the RADIUS Access Request. On receiving the Access-Reply, the Diameter/RADIUS gateway would need to discard the access decision (Accept/Reject). It is not clear whether these translations can be accomplished without adding significant security vulnerabilities.
RADIUSには同等の機能が存在しないため、NASの実装直径からの認証のみの要求は、直径/半径ゲートウェイによって同等の半径メッセージに簡単に翻訳できない場合があります。たとえば、直径認証のみの要求をRADIUSコールチェックに変換できない場合、直径/RADIUSゲートウェイがRADIUSアクセス要求に認証情報を追加する必要があります。アクセス応答を受信すると、直径/半径のゲートウェイがアクセス決定を破棄する必要があります(受け入れ/拒否)。重要なセキュリティの脆弱性を追加することなく、これらの翻訳を達成できるかどうかは明らかではありません。
When the authentication or authorization exchange completes successfully, the NAS application SHOULD start a session context. If the Result-Code of DIAMETER_MULTI_ROUND_AUTH is returned, the exchange continues until a success or error is returned.
認証または承認交換が正常に完了すると、NASアプリケーションはセッションコンテキストを開始する必要があります。diameter_multi_round_authの結果コードが返された場合、交換は成功またはエラーが返されるまで続きます。
If accounting is active, the application MUST also send an Accounting message [BASE]. An Accounting-Record-Type of START_RECORD is sent for a new session. If a session fails to start, the EVENT_RECORD message is sent with the reason for the failure described.
会計がアクティブな場合、アプリケーションは会計メッセージ[ベース]も送信する必要があります。start_recordのアカウンティングレコードタイプが新しいセッションに送信されます。セッションが開始されなかった場合、event_recordメッセージは、説明された障害の理由とともに送信されます。
Note that the return of an unsupportable Accounting-Realtime-Required value [BASE] would result in a failure to establish the session.
サポートできない会計REALTIME-REQUIRED値[ベース]の返還により、セッションの確立に失敗することに注意してください。
The Diameter Base protocol allows users to be periodically reauthenticated and/or reauthorized. In such instances, the Session-Id AVP in the AAR message MUST be the same as the one present in the original authentication/authorization message.
直径ベースプロトコルにより、ユーザーは定期的に再承認および/または再承認されることができます。そのような場合、AARメッセージのセッションID AVPは、元の認証/認証メッセージに存在するものと同じでなければなりません。
A Diameter server informs the NAS of the maximum time allowed before reauthentication or reauthorization via the Authorization-Lifetime AVP [BASE]. A NAS MAY reauthenticate and/or reauthorize before the end, but A NAS MUST reauthenticate and/or reauthorize at the end of the period provided by the Authorization-Lifetime AVP. The failure of a reauthentication exchange will terminate the service.
直径サーバーは、NASに、承認-Lifetime AVP [ベース]を介して再認可または再承認の前に許可された最大時間を通知します。NASは、終了前に再認可および/または再承認することができますが、NASは、認証系AVPによって提供された期間の終わりに再認可および/または再承認する必要があります。再認証交換の失敗は、サービスを終了します。
Furthermore, it is possible for Diameter servers to issue an unsolicited reauthentication and/or reauthorization request (e.g., Re-Auth-Request (RAR) message [BASE]) to the NAS. Upon receipt of such a message, the NAS MUST respond to the request with a Re-Auth-Answer (RAA) message [BASE].
さらに、直径サーバーは、NASに未承諾の再認可および/または再承認要求(reauth-request(RAR)メッセージ[ベース])を発行することが可能です。そのようなメッセージを受け取ると、NASは再起訴(RAA)メッセージ[ベース]でリクエストに応答する必要があります。
If the RAR properly identifies an active session, the NAS will initiate a new local reauthentication or authorization sequence as indicated by the Re-Auth-Request-Type value. This will cause the NAS to send a new AAR message using the existing Session-Id. The server will respond with an AAA message to specify the new service parameters.
RARがアクティブなセッションを適切に識別する場合、NASは、再Auth-Requestタイプの値で示されるように、新しいローカル再認証または承認シーケンスを開始します。これにより、NASは既存のセッションIDを使用して新しいAARメッセージを送信します。サーバーは、新しいサービスパラメーターを指定するAAAメッセージで応答します。
If accounting is active, every change of authentication or authorization SHOULD generate an accounting message. If the NAS service is a continuation of the prior user context, then an Accounting-Record-Type of INTERIM_RECORD indicating the new session attributes and cumulative status would be appropriate. If a new user or a significant change in authorization is detected by the NAS, then the service may send two messages of the types STOP_RECORD and START_RECORD. Accounting may change the subsession identifiers (Acct-Session-ID, or Acct-Sub-Session-Id) to indicate such sub-sessions. A service may also use a different Session-Id value for accounting (see [BASE] section 9.6).
会計がアクティブな場合、認証または承認のすべての変更は会計メッセージを生成する必要があります。NASサービスが以前のユーザーコンテキストの継続である場合、新しいセッションの属性と累積ステータスを示すInterim_Recordの会計記録タイプが適切です。NASによって新しいユーザーまたは承認の大幅な変更が検出された場合、サービスはタイプSTOP_RECORDとstart_Recordの2つのメッセージを送信する場合があります。会計は、そのようなサブセッションを示すために、サブセッション識別子(ACCT-セッションID、またはACCT-Sub-Session-ID)を変更する場合があります。サービスは、会計に別のセッションID値を使用する場合があります([ベース]セクション9.6を参照)。
However, the Diameter Session-ID AVP value used for the initial authorization exchange MUST be used to generate an STR message when the session context is terminated.
ただし、初期認証交換に使用される直径セッション-ID AVP値を使用して、セッションコンテキストが終了したときにSTRメッセージを生成する必要があります。
When a NAS receives an indication that a user's session is being disconnected by the client (e.g., LCP Terminate is received) or an administrative command, the NAS MUST issue a Session-Termination-Request (STR) [BASE] to its Diameter Server. This will ensure that any resources maintained on the servers are freed appropriately.
NASがユーザーのセッションがクライアントによって切断されているという兆候(例えば、LCP終了が受信される)または管理コマンドを受け取った場合、NASはその直径サーバーにセッションターミネーションリケスト(STR)[ベース]を発行する必要があります。これにより、サーバーに維持されているリソースが適切に解放されます。
Furthermore, a NAS that receives an Abort-Session-Request (ASR) [BASE] MUST issue an ASA if the session identified is active and disconnect the PPP (or tunneling) session.
さらに、識別されたセッションがアクティブである場合、中絶セッションレクエスト(ASR)[ベース]を受け取るNASは、ASAを発行し、PPP(またはトンネリング)セッションを切断する必要があります。
If accounting is active, an Accounting STOP_RECORD message [BASE] MUST be sent upon termination of the session context.
会計がアクティブな場合、会計STOP_RECORDメッセージ[ベース]をセッションコンテキストの終了時に送信する必要があります。
More information on Diameter Session Termination is included in [BASE] sections 8.4 and 8.5.
直径セッション終了の詳細については、[ベース]セクション8.4および8.5に含まれています。
This section defines the Diameter message Command-Code [BASE] values that MUST be supported by all Diameter implementations conforming to this specification. The Command Codes are as follows:
このセクションでは、この仕様に準拠したすべての直径の実装でサポートする必要がある直径メッセージコマンドコード[ベース]値を定義します。コマンドコードは次のとおりです。
Command-Name Abbrev. Code Reference
-------------------------------------------------------
AA-Request AAR 265 3.1
AA-Answer AAA 265 3.2
Re-Auth-Request RAR 258 3.3
Re-Auth-Answer RAA 258 3.4
Session-Termination-Request STR 275 3.5
Session-Termination-Answer STA 275 3.6
Abort-Session-Request ASR 274 3.7
Abort-Session-Answer ASA 274 3.8
Accounting-Request ACR 271 3.9
Accounting-Answer ACA 271 3.10
The AA-Request (AAR), which is indicated by setting the Command-Code field to 265 and the 'R' bit in the Command Flags field, is used to request authentication and/or authorization for a given NAS user. The type of request is identified through the Auth-Request-Type AVP [BASE]. The recommended value for most RADIUS interoperabily situations is AUTHORIZE_AUTHENTICATE.
AA-Request(AAR)は、コマンドコードフィールドを265に設定し、コマンドフラグフィールドに「R」ビットを設定することで示され、特定のNASユーザーの認証および/または承認を要求するために使用されます。リクエストのタイプは、auth-requestタイプのAVP [ベース]を通じて識別されます。ほとんどの半径間の状況に推奨される値は、authorize_authenticateです。
If Authentication is requested, the User-Name attribute SHOULD be present, as well as any additional authentication AVPs that would carry the password information. A request for authorization SHOULD only include the information from which the authorization will be performed, such as the User-Name, Called-Station-Id, or Calling-Station-Id AVPs. All requests SHOULD contain AVPs uniquely identifying the source of the call, such as Origin-Host and NAS-Port. Certain networks MAY use different AVPs for authorization purposes. A request for authorization will include some AVPs defined in section 6.
認証が要求された場合、ユーザー名属性と、パスワード情報を伝達する追加の認証AVPが存在する必要があります。承認の要求には、ユーザー名、ステーションID、または呼び出しステーション-ID AVPSなど、承認が実行される情報のみを含める必要があります。すべてのリクエストには、Origin-HostやNAS-Portなど、コールのソースを一意に識別するAVPを含める必要があります。特定のネットワークは、承認目的で異なるAVPを使用する場合があります。許可の要求には、セクション6で定義されたいくつかのAVPが含まれます。
It is possible for a single session to be authorized first and then for an authentication request to follow.
最初に1回のセッションを承認し、次に認証リクエストをフォローすることが可能です。
This AA-Request message MAY be the result of a multi-round authentication exchange, which occurs when the AA-Answer message is received with the Result-Code AVP set to DIAMETER_MULTI_ROUND_AUTH. A subsequent AAR message SHOULD be sent, with the User-Password AVP that includes the user's response to the prompt, and MUST include any State AVPs that were present in the AAA message.
このAA-Requestメッセージは、Multi-Round認証交換の結果である可能性があります。これは、AA-AnswerメッセージがDiameter_Multi_Round_Authに設定された結果コードAVPで受信されたときに発生します。プロンプトに対するユーザーの応答を含むユーザーパスワードAVPを使用して、後続のAARメッセージを送信する必要があり、AAAメッセージに存在する状態AVPを含める必要があります。
Message Format
<AA-Request> ::= < Diameter Header: 265, REQ, PXY >
< Session-Id >
{ Auth-Application-Id }
{ Origin-Host }
{ Origin-Realm }
{ Destination-Realm }
{ Auth-Request-Type }
[ Destination-Host ]
[ NAS-Identifier ]
[ NAS-IP-Address ]
[ NAS-IPv6-Address ]
[ NAS-Port ]
[ NAS-Port-Id ]
[ NAS-Port-Type ]
[ Origin-AAA-Protocol ]
[ Origin-State-Id ]
[ Port-Limit ]
[ User-Name ]
[ User-Password ]
[ Service-Type ]
[ State ]
[ Authorization-Lifetime ]
[ Auth-Grace-Period ]
[ Auth-Session-State ]
[ Callback-Number ]
[ Called-Station-Id ]
[ Calling-Station-Id ]
[ Originating-Line-Info ]
[ Connect-Info ]
[ CHAP-Auth ]
[ CHAP-Challenge ]
* [ Framed-Compression ]
[ Framed-Interface-Id ]
[ Framed-IP-Address ]
* [ Framed-IPv6-Prefix ]
[ Framed-IP-Netmask ]
[ Framed-MTU ]
[ Framed-Protocol ]
[ ARAP-Password ]
[ ARAP-Security ]
* [ ARAP-Security-Data ]
* [ Login-IP-Host ]
* [ Login-IPv6-Host ]
[ Login-LAT-Group ]
[ Login-LAT-Node ]
[ Login-LAT-Port ]
[ Login-LAT-Service ]
* [ Tunneling ]
* [ Proxy-Info ]
* [ Route-Record ]
* [ AVP ]
The AA-Answer (AAA) message is indicated by setting the Command-Code field to 265 and clearing the 'R' bit in the Command Flags field. It is sent in response to the AA-Request (AAR) message. If authorization was requested, a successful response will include the authorization AVPs appropriate for the service being provided, as defined in section 6.
AA-Answer(AAA)メッセージは、コマンドコードフィールドを265に設定し、コマンドフラグフィールドの「R」ビットをクリアすることにより示されます。AA-Request(AAR)メッセージに応じて送信されます。承認が要求された場合、セクション6で定義されているように、成功した応答には、提供されるサービスに適したAVPが含まれます。
For authentication exchanges requiring more than a single round trip, the server MUST set the Result-Code AVP to DIAMETER_MULTI_ROUND_AUTH. An AAA message with this result code MAY include one Reply-Message or more and MAY include zero or one State AVPs.
1回以上のラウンドトリップを必要とする認証交換の場合、サーバーは結果コードAVPをdiameter_multi_round_authに設定する必要があります。この結果コードを使用したAAAメッセージには、1つの返信メッセージが含まれ、ゼロまたは1つの状態AVPが含まれる場合があります。
If the Reply-Message AVP was present, the network access server SHOULD send the text to the user's client to display to the user, instructing the client to prompt the user for a response. For example, this capability can be achieved in PPP via PAP. If the access client is unable to prompt the user for a new response, it MUST treat the AA-Answer (AAA) with the Reply-Message AVP as an error and deny access.
Reply-Message AVPが存在する場合、ネットワークアクセスサーバーはユーザーのクライアントにテキストを送信してユーザーに表示し、クライアントにユーザーに応答を求めるように指示する必要があります。たとえば、この機能は、PAPを介してPPPで達成できます。アクセスクライアントがユーザーに新しい応答を促すことができない場合、AA-Answer(AAA)をReply-Message AVPでエラーとして扱い、アクセスを拒否する必要があります。
Message Format
メッセージ形式
<AA-Answer> ::= < Diameter Header: 265, PXY >
< Session-Id >
{ Auth-Application-Id }
{ Auth-Request-Type }
{ Result-Code }
{ Origin-Host }
{ Origin-Realm }
[ User-Name ]
[ Service-Type ]
* [ Class ]
* [ Configuration-Token ]
[ Acct-Interim-Interval ]
[ Error-Message ]
[ Error-Reporting-Host ]
* [ Failed-AVP ]
[ Idle-Timeout ]
[ Authorization-Lifetime ]
[ Auth-Grace-Period ]
[ Auth-Session-State ]
[ Re-Auth-Request-Type ]
[ Multi-Round-Time-Out ]
[ Session-Timeout ]
[ State ]
* [ Reply-Message ]
[ Origin-AAA-Protocol ]
[ Origin-State-Id ]
* [ Filter-Id ]
[ Password-Retry ]
[ Port-Limit ]
[ Prompt ]
[ ARAP-Challenge-Response ]
[ ARAP-Features ]
[ ARAP-Security ]
* [ ARAP-Security-Data ]
[ ARAP-Zone-Access ]
[ Callback-Id ]
[ Callback-Number ]
[ Framed-Appletalk-Link ]
* [ Framed-Appletalk-Network ]
[ Framed-Appletalk-Zone ]
* [ Framed-Compression ]
[ Framed-Interface-Id ]
[ Framed-IP-Address ]
* [ Framed-IPv6-Prefix ]
[ Framed-IPv6-Pool ]
* [ Framed-IPv6-Route ]
[ Framed-IP-Netmask ]
* [ Framed-Route ]
[ Framed-Pool ]
[ Framed-IPX-Network ]
[ Framed-MTU ]
[ Framed-Protocol ]
[ Framed-Routing ]
* [ Login-IP-Host ]
* [ Login-IPv6-Host ]
[ Login-LAT-Group ]
[ Login-LAT-Node ]
[ Login-LAT-Port ]
[ Login-LAT-Service ]
[ Login-Service ]
[ Login-TCP-Port ]
* [ NAS-Filter-Rule ]
* [ QoS-Filter-Rule ]
* [ Tunneling ]
* [ Redirect-Host ]
[ Redirect-Host-Usage ]
[ Redirect-Max-Cache-Time ]
* [ Proxy-Info ]
* [ AVP ]
A Diameter server may initiate a re-authentication and/or re-authorization service for a particular session by issuing a Re-Auth-Request (RAR) message [BASE].
直径サーバーは、Reauth-Request(RAR)メッセージ[ベース]を発行することにより、特定のセッションの再認証および/または再承認サービスを開始する場合があります。
For example, for pre-paid services, the Diameter server that originally authorized a session may need some confirmation that the user is still using the services.
たとえば、プリペイドサービスの場合、セッションを最初に承認した直径サーバーには、ユーザーがまだサービスを使用していることを確認する必要がある場合があります。
If a NAS receives an RAR message with Session-Id equal to a currently active session and a Re-Auth-Type that includes authentication, it MUST initiate a re-authentication toward the user, if the service supports this particular feature.
NASが、現在アクティブなセッションと認証を含む再オーースタイプに等しいセッションIDでRARメッセージを受信する場合、サービスがこの特定の機能をサポートしている場合、ユーザーに対する再認証を開始する必要があります。
Message Format
メッセージ形式
<RA-Request> ::= < Diameter Header: 258, REQ, PXY >
< Session-Id >
{ Origin-Host }
{ Origin-Realm }
{ Destination-Realm }
{ Destination-Host }
{ Auth-Application-Id }
{ Re-Auth-Request-Type }
[ User-Name ]
[ Origin-AAA-Protocol ]
[ Origin-State-Id ]
[ NAS-Identifier ]
[ NAS-IP-Address ]
[ NAS-IPv6-Address ]
[ NAS-Port ]
[ NAS-Port-Id ]
[ NAS-Port-Type ]
[ Service-Type ]
[ Framed-IP-Address ]
[ Framed-IPv6-Prefix ]
[ Framed-Interface-Id ]
[ Called-Station-Id ]
[ Calling-Station-Id ]
[ Originating-Line-Info ]
[ Acct-Session-Id ]
[ Acct-Multi-Session-Id ]
[ State ]
* [ Class ]
[ Reply-Message ]
* [ Proxy-Info ]
* [ Route-Record ]
* [ AVP ]
The Re-Auth-Answer (RAA) message [BASE] is sent in response to the RAR. The Result-Code AVP MUST be present and indicates the disposition of the request.
ReAuth-Answer(RAA)メッセージ[ベース]は、RARに応じて送信されます。結果コードAVPが存在する必要があり、リクエストの処分を示します。
A successful RAA transaction MUST be followed by an AAR message.
成功したRAAトランザクションの後にAARメッセージが続く必要があります。
Message Format
メッセージ形式
<RA-Answer> ::= < Diameter Header: 258, PXY >
< Session-Id >
{ Result-Code }
{ Origin-Host }
{ Origin-Realm }
[ User-Name ]
[ Origin-AAA-Protocol ]
[ Origin-State-Id ]
[ Error-Message ]
[ Error-Reporting-Host ]
* [ Failed-AVP ]
* [ Redirected-Host ]
[ Redirected-Host-Usage ]
[ Redirected-Host-Cache-Time ]
[ Service-Type ]
* [ Configuration-Token ]
[ Idle-Timeout ]
[ Authorization-Lifetime ]
[ Auth-Grace-Period ]
[ Re-Auth-Request-Type ]
[ State ]
* [ Class ]
* [ Reply-Message ]
[ Prompt ]
* [ Proxy-Info ]
* [ AVP ]
The Session-Termination-Request (STR) message [BASE] is sent by the NAS to inform the Diameter Server that an authenticated and/or authorized session is being terminated.
Session-Termination-Request(STR)メッセージ[ベース]は、NASによって送信され、認証されたセッションや承認されたセッションが終了していることを直径サーバーに通知します。
Message Format
メッセージ形式
<ST-Request> ::= < Diameter Header: 275, REQ, PXY >
< Session-Id >
{ Origin-Host }
{ Origin-Realm }
{ Destination-Realm }
{ Auth-Application-Id }
{ Termination-Cause }
[ User-Name ]
[ Destination-Host ]
* [ Class ]
[ Origin-AAA-Protocol ]
[ Origin-State-Id ]
* [ Proxy-Info ]
* [ Route-Record ]
* [ AVP ]
The Session-Termination-Answer (STA) message [BASE] is sent by the Diameter Server to acknowledge the notification that the session has been terminated. The Result-Code AVP MUST be present and MAY contain an indication that an error occurred while the STR was being serviced.
セッション終了回答(STA)メッセージ[ベース]は、Diameterサーバーによって送信され、セッションが終了したという通知を確認します。結果コードAVPが存在する必要があり、STRがサービスを受けている間にエラーが発生したことを示している場合があります。
Upon sending or receiving the STA, the Diameter Server MUST release all resources for the session indicated by the Session-Id AVP. Any intermediate server in the Proxy-Chain MAY also release any resources, if necessary.
STAを送信または受信すると、Diameterサーバーは、セッションID AVPで示されるセッションのすべてのリソースをリリースする必要があります。プロキシチェーン内の中間サーバーは、必要に応じてリソースをリリースする場合があります。
Message Format
メッセージ形式
<ST-Answer> ::= < Diameter Header: 275, PXY >
< Session-Id >
{ Result-Code }
{ Origin-Host }
{ Origin-Realm }
[ User-Name ]
* [ Class ]
[ Error-Message ]
[ Error-Reporting-Host ]
* [ Failed-AVP ]
[ Origin-AAA-Protocol ]
[ Origin-State-Id ]
* [ Redirect-Host ]
[ Redirect-Host-Usase ]
[ Redirect-Max-Cache-Time ]
* [ Proxy-Info ]
* [ AVP ]
The Abort-Session-Request (ASR) message [BASE] may be sent by any server to the NAS providing session service, to request that the session identified by the Session-Id be stopped.
中止セッションレクエスト(ASR)メッセージ[ベース]は、セッションIDによって特定されたセッションを停止するように要求するために、セッションサービスを提供するNASにサーバーから送信される場合があります。
Message Format
メッセージ形式
<AS-Request> ::= < Diameter Header: 274, REQ, PXY >
< Session-Id >
{ Origin-Host }
{ Origin-Realm }
{ Destination-Realm }
{ Destination-Host }
{ Auth-Application-Id }
[ User-Name ]
[ Origin-AAA-Protocol ]
[ Origin-State-Id ]
[ NAS-Identifier ]
[ NAS-IP-Address ]
[ NAS-IPv6-Address ]
[ NAS-Port ]
[ NAS-Port-Id ]
[ NAS-Port-Type ]
[ Service-Type ]
[ Framed-IP-Address ]
[ Framed-IPv6-Prefix ]
[ Framed-Interface-Id ]
[ Called-Station-Id ]
[ Calling-Station-Id ]
[ Originating-Line-Info ]
[ Acct-Session-Id ]
[ Acct-Multi-Session-Id ]
[ State ]
* [ Class ]
* [ Reply-Message ]
* [ Proxy-Info ]
* [ Route-Record ]
* [ AVP ]
The ASA message [BASE] is sent in response to the ASR. The Result-Code AVP MUST be present and indicates the disposition of the request.
ASAメッセージ[ベース]は、ASRに応じて送信されます。結果コードAVPが存在する必要があり、リクエストの処分を示します。
If the session identified by Session-Id in the ASR was successfully terminated, Result-Code is set to DIAMETER_SUCCESS. If the session is not currently active, Result-Code is set to DIAMETER_UNKNOWN_SESSION_ID. If the access device does not stop the session for any other reason, Result-Code is set to DIAMETER_UNABLE_TO_COMPLY.
ASRのセッションIDによって識別されたセッションが正常に終了した場合、結果コードはdiameter_successに設定されます。セッションが現在アクティブでない場合、結果コードはdiameter_unking_session_idに設定されています。アクセスデバイスが他の理由でセッションを停止しない場合、結果コードはdiameter_unable_to_complyに設定されます。
Message Format
メッセージ形式
<AS-Answer> ::= < Diameter Header: 274, PXY >
< Session-Id >
{ Result-Code }
{ Origin-Host }
{ Origin-Realm }
[ User-Name ]
[ Origin-AAA-Protocol ]
[ Origin-State-Id ]
[ State]
[ Error-Message ]
[ Error-Reporting-Host ]
* [ Failed-AVP ]
* [ Redirected-Host ]
[ Redirected-Host-Usage ]
[ Redirected-Max-Cache-Time ]
* [ Proxy-Info ]
* [ AVP ]
The ACR message [BASE] is sent by the NAS to report its session information to a target server downstream.
ACRメッセージ[ベース]はNASによって送信され、セッション情報を下流のターゲットサーバーに報告します。
Either of Acct-Application-Id or Vendor-Specific-Application-Id AVPs MUST be present. If the Vendor-Specific-Application-Id grouped AVP is present, it must have an Acct-Application-Id inside.
ACCT-Application-IDまたはベンダー固有のアプリケーション-ID AVPのいずれかが存在する必要があります。ベンダー固有のアプリケーション-IDグループに掲載されている場合、AVPが存在する場合、内部にACCTアプリケーションIDが必要です。
The AVPs listed in the Base MUST be assumed to be present, as appropriate. NAS service-specific accounting AVPs SHOULD be present as described in section 8 and the rest of this specification.
ベースにリストされているAVPは、必要に応じて存在すると想定する必要があります。NASサービス固有の会計AVPは、セクション8およびこの仕様の残りの部分で説明されているように存在する必要があります。
Message Format
メッセージ形式
<AC-Request> ::= < Diameter Header: 271, REQ, PXY >
< Session-Id >
{ Origin-Host }
{ Origin-Realm }
{ Destination-Realm }
{ Accounting-Record-Type }
{ Accounting-Record-Number }
[ Acct-Application-Id ]
[ Vendor-Specific-Application-Id ]
[ User-Name ]
[ Accounting-Sub-Session-Id ]
[ Acct-Session-Id ]
[ Acct-Multi-Session-Id ]
[ Origin-AAA-Protocol ]
[ Origin-State-Id ]
[ Destination-Host ]
[ Event-Timestamp ]
[ Acct-Delay-Time ]
[ NAS-Identifier ]
[ NAS-IP-Address ]
[ NAS-IPv6-Address ]
[ NAS-Port ]
[ NAS-Port-Id ]
[ NAS-Port-Type ]
* [ Class ]
[ Service-Type ]
[ Termination-Cause ]
[ Accounting-Input-Octets ]
[ Accounting-Input-Packets ]
[ Accounting-Output-Octets ]
[ Accounting-Output-Packets ]
[ Acct-Authentic ]
[ Accounting-Auth-Method ]
[ Acct-Link-Count ]
[ Acct-Session-Time ]
[ Acct-Tunnel-Connection ]
[ Acct-Tunnel-Packets-Lost ]
[ Callback-Id ]
[ Callback-Number ]
[ Called-Station-Id ]
[ Calling-Station-Id ]
* [ Connection-Info ]
[ Originating-Line-Info ]
[ Authorization-Lifetime ]
[ Session-Timeout ]
[ Idle-Timeout ]
[ Port-Limit ]
[ Accounting-Realtime-Required ]
[ Acct-Interim-Interval ]
* [ Filter-Id ]
* [ NAS-Filter-Rule ]
* [ Qos-Filter-Rule ]
[ Framed-AppleTalk-Link ]
[ Framed-AppleTalk-Network ]
[ Framed-AppleTalk-Zone ]
[ Framed-Compression ]
[ Framed-Interface-Id ]
[ Framed-IP-Address ]
[ Framed-IP-Netmask ]
* [ Framed-IPv6-Prefix ]
[ Framed-IPv6-Pool ]
* [ Framed-IPv6-Route ]
[ Framed-IPX-Network ]
[ Framed-MTU ]
[ Framed-Pool ]
[ Framed-Protocol ]
* [ Framed-Route ]
[ Framed-Routing ]
* [ Login-IP-Host ]
* [ Login-IPv6-Host ]
[ Login-LAT-Group ]
[ Login-LAT-Node ]
[ Login-LAT-Port ]
[ Login-LAT-Service ]
[ Login-Service ]
[ Login-TCP-Port ]
* [ Tunneling ]
* [ Proxy-Info ]
* [ Route-Record ]
* [ AVP ]
The ACA message [BASE] is used to acknowledge an Accounting-Request command. The Accounting-Answer command contains the same Session-Id as the Request. If the Accounting-Request was protected by end-to-end security, then the corresponding ACA message MUST be protected as well.
ACAメッセージ[ベース]は、会計リクエストコマンドを確認するために使用されます。Accounting-Answerコマンドには、リクエストと同じセッションIDが含まれています。アカウンティングレクエストがエンドツーエンドのセキュリティによって保護されている場合、対応するACAメッセージも保護する必要があります。
Only the target Diameter Server or home Diameter Server SHOULD respond with the Accounting-Answer command.
ターゲット直径サーバーまたはホーム直径サーバーのみが、Accounting-Answerコマンドで応答する必要があります。
Either Acct-Application-Id or Vendor-Specific-Application-Id AVPs MUST be present, as it was in the request.
ACCT-Application-IDまたはベンダー固有のアプリケーションID AVPは、要求に応じて存在する必要があります。
The AVPs listed in the Base MUST be assumed to be present, as appropriate. NAS service-specific accounting AVPs SHOULD be present as described in section 8 and the rest of this specification.
ベースにリストされているAVPは、必要に応じて存在すると想定する必要があります。NASサービス固有の会計AVPは、セクション8およびこの仕様の残りの部分で説明されているように存在する必要があります。
Message Format
メッセージ形式
<AC-Answer> ::= < Diameter Header: 271, PXY >
< Session-Id >
{ Result-Code }
{ Origin-Host }
{ Origin-Realm }
{ Accounting-Record-Type }
{ Accounting-Record-Number }
[ Acct-Application-Id ]
[ Vendor-Specific-Application-Id ]
[ User-Name ]
[ Accounting-Sub-Session-Id ]
[ Acct-Session-Id ]
[ Acct-Multi-Session-Id ]
[ Event-Timestamp ]
[ Error-Message ]
[ Error-Reporting-Host ]
* [ Failed-AVP ]
[ Origin-AAA-Protocol ]
[ Origin-State-Id ]
[ NAS-Identifier ]
[ NAS-IP-Address ]
[ NAS-IPv6-Address ]
[ NAS-Port ]
[ NAS-Port-Id ]
[ NAS-Port-Type ]
[ Service-Type ]
[ Termination-Cause ]
[ Accounting-Realtime-Required ]
[ Acct-Interim-Interval ]
* [ Class ]
* [ Proxy-Info ]
* [ Route-Record ]
* [ AVP ]
Diameter reserves the AVP Codes 0 - 255 for RADIUS functions that are implemented in Diameter.
直径は、直径に実装されている半径関数のAVPコード0〜255を留保します。
AVPs new to Diameter have code values of 256 and greater. A Diameter message that includes one of these AVPs may represent functions not present in the RADIUS environment and may cause interoperability issues, should the request traverse an AAA system that only supports the RADIUS protocol.
直径の新規AVPは、256以上のコード値を持っています。これらのAVPのいずれかを含む直径メッセージは、RadiusプロトコルのみをサポートするAAAシステムを要求した場合、Radius環境に存在しない関数を表し、相互運用性の問題を引き起こす可能性があります。
Some RADIUS attributes are not allowed or supported directly in Diameter. See section 9 for more information.
一部の半径属性は、直径で直接許可またはサポートされていません。詳細については、セクション9を参照してください。
This section contains the AVPs specific to NAS Diameter applications that are needed to identify the call and session context and status information. On a request, this information allows the server to qualify the session.
このセクションには、呼び出しとセッションのコンテキストとステータス情報を識別するために必要なNAS直径アプリケーションに固有のAVPが含まれています。リクエストに応じて、この情報により、サーバーがセッションを適格にすることができます。
These AVPs are used in addition to the Base AVPs of:
これらのAVPは、以下のベースAVPに加えて使用されます。
Session-Id Auth-Application-Id Origin-Host Origin-Realm Auth-Request-Type Termination-Cause
session-id auth-application-id origin-host origin-realm auth-request-type exterinasoaus
The following table describes the session level AVPs; their AVP Code values, types, and possible flag values; and whether the AVP MAY be encrypted.
次の表には、セッションレベルAVPSについて説明します。AVPコード値、タイプ、および可能なフラグ値。AVPが暗号化されるかどうか。
+---------------------+
| AVP Flag rules |
|----+-----+----+-----|----+
AVP Section | | |SHLD| MUST| |
Attribute Name Code Defined Value Type |MUST| MAY | NOT| NOT|Encr|
-----------------------------------------|----+-----+----+-----|----|
NAS-Port 5 4.2 Unsigned32 | M | P | | V | Y |
NAS-Port-Id 87 4.3 UTF8String | M | P | | V | Y |
NAS-Port-Type 61 4.4 Enumerated | M | P | | V | Y |
Called-Station-Id 30 4.5 UTF8String | M | P | | V | Y |
Calling-Station- 31 4.6 UTF8String | M | P | | V | Y |
Id | | | | | |
Connect-Info 77 4.7 UTF8String | M | P | | V | Y |
Originating-Line- 94 4.8 OctetString| | M,P | | V | Y |
Info | | | | | |
Reply-Message 18 4.9 UTF8String | M | P | | V | Y |
-----------------------------------------|----+-----+----+-----|----|
The NAS-Port AVP (AVP Code 5) is of type Unsigned32 and contains the physical or virtual port number of the NAS which is authenticating the user. Note that "port" is meant in its sense as a service connection on the NAS, not as an IP protocol identifier.
NAS-Port AVP(AVPコード5)はタイプunsigned32で、ユーザーを認証しているNASの物理的または仮想ポート番号が含まれています。「ポート」は、IPプロトコル識別子としてではなく、NASのサービス接続としてその意味で意味されることに注意してください。
Either NAS-Port or NAS-Port-Id (AVP Code 87) SHOULD be present in AA-Request (AAR) commands if the NAS differentiates among its ports.
NASがポートを区別する場合、NAS-Port-ID(AVPコード87)のいずれかがAA-Request(AAR)コマンドに存在する必要があります。
The NAS-Port-Id AVP (AVP Code 87) is of type UTF8String and consists of ASCII text identifying the port of the NAS authenticating the user. Note that "port" is meant in its sense as a service connection on the NAS, not as an IP protocol identifier.
NAS-Port-ID AVP(AVPコード87)は型UTF8STRINGであり、ユーザーを認証するNASのポートを識別するASCIIテキストで構成されています。「ポート」は、IPプロトコル識別子としてではなく、NASのサービス接続としてその意味で意味されることに注意してください。
Either NAS-Port or NAS-Port-Id SHOULD be present in AA-Request (AAR) commands if the NAS differentiates among its ports. NAS-Port-Id is intended for use by NASes that cannot conveniently number their ports.
NASがポートを区別する場合、NAS-PortまたはNas-Port-IDのいずれかがAA-Request(AAR)コマンドに存在する必要があります。Nas-Port-IDは、ポートを便利に番号付けできないNaseが使用することを目的としています。
The NAS-Port-Type AVP (AVP Code 61) is of type Enumerated and contains the type of the port on which the NAS is authenticating the user. This AVP SHOULD be present if the NAS uses the same NAS-Port number ranges for different service types concurrently.
NASポートタイプのAVP(AVPコード61)は列挙されており、NASがユーザーを認証しているポートのタイプが含まれています。NASが異なるサービスタイプに対して同じNASポート数の範囲を同時に使用する場合、このAVPは存在する必要があります。
The supported values are defined in [RADIUSTypes]. The following list is informational and subject to change by the IANA.
サポートされた値は[Radiustypes]で定義されます。次のリストは情報提供であり、IANAによる変更の対象となります。
0 Async
1 Sync
2 ISDN Sync
3 ISDN Async V.120
4 ISDN Async V.110
5 Virtual
6 PIAFS
7 HDLC Clear Channel
8 X.25
9 X.75
10 G.3 Fax
11 SDSL - Symmetric DSL
12 ADSL-CAP - Asymmetric DSL, Carrierless Amplitude Phase
Modulation
13 ADSL-DMT - Asymmetric DSL, Discrete Multi-Tone
14 IDSL - ISDN Digital Subscriber Line
15 Ethernet
16 xDSL - Digital Subscriber Line of unknown type
17 Cable
18 Wireless - Other
19 Wireless - IEEE 802.11
20 Token-Ring [RAD802.1X]
21 FDDI [RAD802.1X]
22 Wireless - CDMA2000
23 Wireless - UMTS
24 Wireless - 1X-EV
25 IAPP [IEEE 802.11f]
The Called-Station-Id AVP (AVP Code 30) is of type UTF8String and allows the NAS to send the ASCII string describing the layer 2 address the user contacted in the request. For dialup access, this can be a phone number obtained by using Dialed Number Identification (DNIS) or a similar technology. Note that this may be different from the phone number the call comes in on. For use with IEEE 802 access, the Called-Station-Id MAY contain a MAC address formatted as described in [RAD802.1X]. It SHOULD only be present in authentication and/or authorization requests.
呼び出されたステーション-ID AVP(AVPコード30)は型UTF8STRINGであり、NASがリクエストで連絡したユーザーが連絡したレイヤー2アドレスを説明するASCII文字列を送信できるようにします。ダイヤルアップアクセスの場合、これは、ダイヤル番号識別(DNI)または同様のテクノロジーを使用して取得する電話番号にすることができます。これは、通話が行われる電話番号とは異なる場合があることに注意してください。IEEE 802アクセスで使用するために、[RAD802.1x]で説明されているようにフォーマットされたMACアドレスが含まれる場合があります。認証および/または承認リクエストにのみ存在する必要があります。
If the Auth-Request-Type AVP is set to authorization-only and the User-Name AVP is absent, the Diameter Server MAY perform authorization based on this field. This can be used by a NAS to request whether a call should be answered based on the DNIS.
Auth-Request-Type AVPが承認のみに設定され、ユーザー名AVPが存在しない場合、Diameterサーバーはこのフィールドに基づいて認証を実行できます。これは、NASがDNISに基づいて通話に応答する必要があるかどうかを要求するために使用できます。
The codification of this field's allowed usage range is outside the scope of this specification.
このフィールドの許可された使用範囲の成文化は、この仕様の範囲外です。
The Calling-Station-Id AVP (AVP Code 31) is of type UTF8String and allows the NAS to send the ASCII string describing the layer 2 address from which the user connected in the request. For dialup access, this is the phone number the call came from, using Automatic Number Identification (ANI) or a similar technology. For use with IEEE 802 access, the Calling-Station-Id AVP MAY contain a MAC address, formated as described in [RAD802.1X]. It SHOULD only be present in authentication and/or authorization requests.
呼び出しステーション-ID AVP(AVPコード31)は型UTF8STRINGであり、NASがリクエストでユーザーが接続するレイヤー2アドレスを説明するASCII文字列を送信できるようにします。Dialup Accessの場合、これは自動番号識別(ANI)または同様のテクノロジーを使用して、電話番号が発生した電話番号です。IEEE 802アクセスで使用するために、[RAD802.1x]で説明されているように形成されたMACアドレスが含まれる場合があります。認証および/または承認リクエストにのみ存在する必要があります。
If the Auth-Request-Type AVP is set to authorization-only and the User-Name AVP is absent, the Diameter Server MAY perform authorization based on this field. This can be used by a NAS to request whether a call should be answered based on the layer 2 address (ANI, MAC Address, etc.) The codification of this field's allowed usage range is outside the scope of this specification.
Auth-Request-Type AVPが承認のみに設定され、ユーザー名AVPが存在しない場合、Diameterサーバーはこのフィールドに基づいて認証を実行できます。これは、NASが使用して、レイヤー2アドレス(ANI、MACアドレスなど)に基づいて通話に応答する必要があるかどうかを要求できます。
The Connect-Info AVP (AVP Code 77) is of type UTF8String and is sent in the AA-Request message or ACR STOP message. When sent in the Access-Request, it indicates the nature of the user's connection. The connection speed SHOULD be included at the beginning of the first Connect-Info AVP in the message. If the transmit and receive connection speeds differ, both may be included in the first AVP with the transmit speed listed first (the speed the NAS modem transmits at), then a slash (/), then the receive speed, and then other optional information.
Connect-INFO AVP(AVPコード77)は型UTF8STRINGであり、AA-RequestメッセージまたはACR STOPメッセージで送信されます。Access-Requestで送信されると、ユーザーの接続の性質を示します。メッセージの最初の接続INFO AVPの先頭に接続速度を含める必要があります。送信と受信速度が異なる場合、両方とも最初にリストされた送信速度(NASモデムが送信する速度)、次にスラッシュ(/)、次に受信速度、その他のオプション情報を含む最初のAVPに両方を含めることができます。。
For example: "28800 V42BIS/LAPM" or "52000/31200 V90"
例:「28800 V42BIS/LAPM」または「52000/31200 V90」
More than one Connect-Info attribute may be present in an Accounting-Request packet to accommodate expected efforts by the ITU to have modems report more connection information in a standard format that might exceed 252 octets.
ITUによる予想される取り組みに対応するために、252オクテットを超える可能性のある標準形式でより多くの接続情報を報告するために、ITUによる予想される努力に対応するために、会計Requestパケットに複数のConnect-INFO属性が存在する場合があります。
If sent in the ACR STOP, this attribute may summarize statistics relating to session quality. For example, in IEEE 802.11, the Connect-Info attribute may contain information on the number of link layer retransmissions. The exact format of this attribute is implementation specific.
ACRストップで送信された場合、この属性はセッションの品質に関連する統計を要約する場合があります。たとえば、IEEE 802.11では、Connect-INFO属性には、リンクレイヤーの再送信の数に関する情報が含まれている場合があります。この属性の正確な形式は、実装固有です。
The Originating-Line-Info AVP (AVP Code 94) is of type OctetString and is sent by the NAS system to convey information about the origin of the call from an SS7 system.
起源のラインINFO AVP(AVPコード94)はタイプのオクテットストリングであり、SS7システムからのコールの起源に関する情報を伝えるためにNASシステムによって送信されます。
The originating line information (OLI) element indicates the nature and/or characteristics of the line from which a call originated (e.g., pay phone, hotel, cellular). Telephone companies are starting to offer OLI to their customers as an option over Primary Rate Interface (PRI). Internet Service Providers (ISPs) can use OLI in addition to Called-Station-Id and Calling-Station-Id attributes to differentiate customer calls and to define different services.
発信線情報(OLI)要素は、呼び出しが発生したラインの性質および/または特性を示します(例:Pay Phone、Hotel、Cellular)。電話会社は、プライマリレートインターフェイス(PRI)よりもオプションとして顧客にOLIを提供し始めています。インターネットサービスプロバイダー(ISP)は、顧客呼び出しを区別し、さまざまなサービスを定義するために、呼び出したステーションIDおよび通話ステーション-ID属性に加えてOLIを使用できます。
The Value field contains two octets (00 - 99). ANSI T1.113 and BELLCORE 394 can be used for additional information about these values and their use. For more information on current assignment values, see [ANITypes].
値フィールドには2つのオクテット(00-99)が含まれています。ANSI T1.113およびBellcore 394は、これらの値とその使用に関する追加情報に使用できます。現在の割り当て値の詳細については、[anitypes]を参照してください。
Value Description
------------------------------------------------------------
00 Plain Old Telephone Service (POTS)
01 Multiparty Line (more than 2)
02 ANI Failure
03 ANI Observed
04 ONI Observed
05 ANI Failure Observed
06 Station Level Rating
07 Special Operator Handling Required
08 InterLATA Restricted
10 Test Call
20 Automatic Identified Outward Dialing (AIOD)
23 Coin or Non-Coin
24 Toll Free Service (Non-Pay Origination)
25 Toll Free Service (Pay Origination)
27 Toll Free Service (Coin Control Origination)
29 Prison/Inmate Service
30-32 Intercept
30 Intercept (Blank)
31 Intercept (Trouble)
32 Intercept (Regular)
34 Telco Operator Handled Call
40-49 Unrestricted Use
52 Outward Wide Area Telecommunications Service (OUTWATS)
60 Telecommunications Relay Service (TRS)(Unrestricted)
61 Cellular/Wireless PCS (Type 1)
62 Cellular/Wireless PCS (Type 2)
63 Cellular/Wireless PCS (Roaming)
66 TRS (Hotel)
67 TRS (Restricted)
70 Pay Station, No Coin Control
93 Access for Private Virtual Network Service
The Reply-Message AVP (AVP Code 18) is of type UTF8String and contains text that MAY be displayed to the user. When used in an AA-Answer message with a successful Result-Code AVP, it indicates success. When found in an AAA message with a Result-Code other than DIAMETER_SUCCESS, the AVP contains a failure message.
Reply-Message AVP(AVPコード18)はタイプのUTF8STRINGで、ユーザーに表示されるテキストが含まれています。成功した結果コードAVPを使用してAA-Answerメッセージで使用すると、成功を示します。diameter_success以外の結果コードを持つAAAメッセージで見つかった場合、AVPには障害メッセージが含まれています。
The Reply-Message AVP MAY indicate dialog text to prompt the user before another AA-Request attempt. When used in an AA-Answer with a Result-Code of DIAMETER_MULTI_ROUND_AUTH or in an Re-Auth-Request message, it MAY contain a dialog text to prompt the user for a response.
Reply-Message AVPは、別のAA-Requestの試みの前にユーザーに促すダイアログテキストを示している場合があります。diameter_multi_round_authの結果コードを備えたAA-annwerで使用される場合、またはReauth-Requestメッセージで使用する場合、ユーザーに応答を促すダイアログテキストを含めることができます。
Multiple Reply-Messages MAY be included, and if any are displayed, they MUST be displayed in the same order as they appear in the Diameter message.
複数の返信メッセージが含まれている場合があり、表示されている場合は、直径メッセージに表示されるのと同じ順序で表示する必要があります。
This section defines the AVPs necessary to carry the authentication information in the Diameter protocol. The functionality defined here provides a RADIUS-like AAA service over a more reliable and secure transport, as defined in the base protocol [BASE].
このセクションでは、直径プロトコルに認証情報を伝達するために必要なAVPを定義します。ここで定義されている機能は、基本プロトコル[ベース]で定義されているように、より信頼性の高い安全なトランスポートよりも半径のようなAAAサービスを提供します。
The following table describes the AVPs; their AVP Code values, types, and possible flag values, and whether the AVP MAY be encrypted.
次の表には、AVPを説明しています。AVPコード値、タイプ、および可能なフラグ値、およびAVPが暗号化されるかどうか。
+---------------------+
| AVP Flag rules |
|----+-----+----+-----|----+
AVP Section | | |SHLD| MUST| |
Attribute Name Code Defined Value Type |MUST| MAY | NOT| NOT|Encr|
-----------------------------------------|----+-----+----+-----|----|
User-Password 2 5.1 OctetString| M | P | | V | Y |
Password-Retry 75 5.2 Unsigned32 | M | P | | V | Y |
Prompt 76 5.3 Enumerated | M | P | | V | Y |
CHAP-Auth 402 5.4 Grouped | M | P | | V | Y |
CHAP-Algorithm 403 5.5 Enumerated | M | P | | V | Y |
CHAP-Ident 404 5.6 OctetString| M | P | | V | Y |
CHAP-Response 405 5.7 OctetString| M | P | | V | Y |
CHAP-Challenge 60 5.8 OctetString| M | P | | V | Y |
ARAP-Password 70 5.9 OctetString| M | P | | V | Y |
ARAP-Challenge- 84 5.10 OctetString| M | P | | V | Y |
Response | | | | | |
ARAP-Security 73 5.11 Unsigned32 | M | P | | V | Y |
ARAP-Security- 74 5.12 OctetString| M | P | | V | Y |
Data | | | | | |
-----------------------------------------|----+-----+----+-----|----|
The User-Password AVP (AVP Code 2) is of type OctetString and contains the password of the user to be authenticated, or the user's input in a multi-round authentication exchange.
User-Password AVP(AVPコード2)はタイプのオクテットストリングであり、認証されるユーザーのパスワード、またはマルチラウンド認証交換でのユーザーの入力が含まれています。
The User-Password AVP contains a user password or one-time password and therefore represents sensitive information. As required in [BASE], Diameter messages are encrypted by using IPsec or TLS. Unless this AVP is used for one-time passwords, the User-Password AVP SHOULD NOT be used in untrusted proxy environments without encrypting it by using end-to-end security techniques, such as the proposed CMS Security [DiamCMS].
ユーザーパスワードAVPには、ユーザーパスワードまたは1回限りのパスワードが含まれているため、機密情報を表します。[ベース]で必要に応じて、直径メッセージはIPSECまたはTLSを使用して暗号化されます。このAVPが1回限りのパスワードに使用されない限り、ユーザーパスワードAVPは、提案されたCMSセキュリティ[DIAMCM]などのエンドツーエンドのセキュリティ手法を使用して暗号化することなく、信頼されていないプロキシ環境で使用しないでください。
The clear-text password (prior to encryption) MUST NOT be longer than 128 bytes in length.
クリアテキストパスワード(暗号化の前)は、長さ128バイトを超えてはなりません。
The Password-Retry AVP (AVP Code 75) is of type Unsigned32 and MAY be included in the AA-Answer if the Result-Code indicates an authentication failure. The value of this AVP indicates how many authentication attempts a user is permitted before being disconnected. This AVP is primarily intended for use when the Framed-Protocol AVP (see section 6.10.1) is set to ARAP.
Password-retry AVP(AVPコード75)はタイプunsigned32であり、結果コードが認証障害を示している場合、AA-Answerに含まれる場合があります。このAVPの値は、切断される前にユーザーが許可されている認証の数を示します。このAVPは、主にフレーム付きプロトコルAVP(セクション6.10.1を参照)がARAPに設定されている場合に使用することを目的としています。
The Prompt AVP (AVP Code 76) is of type Enumerated and MAY be present in the AA-Answer message. When present, it is used by the NAS to determine whether the user's response, when entered, should be echoed.
プロンプトAVP(AVPコード76)は列挙されており、AA-Answerメッセージに存在する場合があります。存在する場合、NASが使用して、ユーザーの応答が入力されたときに反響するかどうかを判断します。
The supported values are listed in [RADIUSTypes]. The following list is informational:
サポートされている値は[Radiustypes]にリストされています。次のリストには情報があります。
0 No Echo 1 Echo
0エコーなし1エコー
The CHAP-Auth AVP (AVP Code 402) is of type Grouped and contains the information necessary to authenticate a user using the PPP Challenge-Handshake Authentication Protocol (CHAP) [PPPCHAP]. If the CHAP-Auth AVP is found in a message, the CHAP-Challenge AVP MUST be present as well. The optional AVPs containing the CHAP response depend upon the value of the CHAP-Algorithm AVP. The grouped AVP has the following ABNF grammar:
Chap-Auth AVP(AVPコード402)はグループ化されたタイプで、PPP Challengeハンドシェイク認証プロトコル(Chap)[PPPChap]を使用してユーザーを認証するために必要な情報が含まれています。Chap-Auth AVPがメッセージで見つかった場合、Chap-Challenge AVPも同様に存在する必要があります。CHAP応答を含むオプションのAVPは、chap-algorithm AVPの値に依存します。グループ化されたAVPには、次のABNF文法があります。
CHAP-Auth ::= < AVP Header: 402 >
{ CHAP-Algorithm }
{ CHAP-Ident }
[ CHAP-Response ]
* [ AVP ]
The CHAP-Algorithm AVP (AVP Code 403) is of type Enumerated and contains the algorithm identifier used in the computation of the CHAP response [PPPCHAP]. The following values are currently supported:
Chap-Algorithm AVP(AVPコード403)は列挙されたタイプで、CHAP応答[PPPCHAP]の計算で使用されるアルゴリズム識別子が含まれています。現在、次の値がサポートされています。
CHAP with MD5 5 The CHAP response is computed by using the procedure described in [PPPCHAP]. This algorithm requires that the CHAP-Response AVP MUST be present in the CHAP-Auth AVP.
chap md5 5 chap応答は、[pppchap]で説明されている手順を使用して計算されます。このアルゴリズムでは、Chap-response AVPがChap-Auth AVPに存在する必要があります。
The CHAP-Ident AVP (AVP Code 404) is of type OctetString and contains the 1 octet CHAP Identifier used in the computation of the CHAP response [PPPCHAP].
Chap-Ident AVP(AVPコード404)はタイプのオクテットストリングで、CHAP応答[PPPCHAP]の計算で使用される1 Octet Chap Identifierが含まれています。
The CHAP-Response AVP (AVP Code 405) is of type OctetString and contains the 16 octet authentication data provided by the user in response to the CHAP challenge [PPPCHAP].
Chap-Response AVP(AVPコード405)はタイプのOctetStringであり、Chap Challenge [PPPChap]に応じてユーザーが提供する16のOctet認証データが含まれています。
The CHAP-Challenge AVP (AVP Code 60) is of type OctetString and contains the CHAP Challenge sent by the NAS to the CHAP peer [PPPCHAP].
Chap-Challenge AVP(AVPコード60)はタイプのオクテットストリングであり、NASがCHAPピアに送信したCHAPチャレンジ[PPPChap]が含まれています。
The ARAP-Password AVP (AVP Code 70) is of type OctetString and is only present when the Framed-Protocol AVP (see section 6.10.1) is included in the message and is set to ARAP. This AVP MUST NOT be present if either the User-Password or the CHAP-Auth AVP is present. See [RADIUSExt] for more information on the contents of this AVP.
ARAP-PASSWORD AVP(AVPコード70)はタイプのオクテットストリングであり、フレーム付きプロトコルAVP(セクション6.10.1を参照)がメッセージに含まれ、ARAPに設定されている場合にのみ存在します。ユーザーパスワードまたは章のAVPが存在する場合、このAVPは存在しないでください。このAVPの内容の詳細については、[Radiusext]を参照してください。
The ARAP-Challenge-Response AVP (AVP Code 84) is of type OctetString and is only present when the Framed-Protocol AVP (see section 6.10.1) is included in the message and is set to ARAP. This AVP contains an 8 octet response to the dial-in client's challenge. The RADIUS server calculates this value by taking the dial-in client's challenge from the high-order 8 octets of the ARAP-Password AVP and performing DES encryption on this value with the authenticating user's password as the key. If the user's password is fewer than 8 octets in length, the password is padded at the end with NULL octets to a length of 8 before it is used as a key.
ARAP-Challenge-Response AVP(AVPコード84)はタイプのオクテットストリングであり、フレーム付きプロトコルAVP(セクション6.10.1を参照)がメッセージに含まれ、ARAPに設定されている場合にのみ存在します。このAVPには、ダイヤルインクライアントの課題に対する8オクテットの応答が含まれています。RADIUSサーバーは、ARAP-PASSWORD AVPの高次8オクテットからダイヤルインクライアントの課題を採用し、認証ユーザーのパスワードをキーとしてこの値でDES暗号化を実行することにより、この値を計算します。ユーザーのパスワードの長さが8オクテット未満の場合、パスワードは、キーとして使用される前に、nullオクテットで8の長さ8までの端にパッドで埋められます。
The ARAP-Security AVP (AVP Code 73) is of type Unsigned32 and MAY be present in the AA-Answer message if the Framed-Protocol AVP (see section 6.10.1) is set to the value of ARAP, and the Result-Code AVP is set to DIAMETER_MULTI_ROUND_AUTH. See [RADIUSExt] for more information on the format of this AVP.
ARAP-Security AVP(AVP Code 73)はタイプunsigned32であり、フレーム付きプロトコルAVP(セクション6.10.1を参照)がARAPの値に設定されている場合、AA-Answerメッセージに存在する場合があります。AVPはdiameter_multi_round_authに設定されています。このAVPの形式の詳細については、[Radiusext]を参照してください。
The ARAP-Security AVP (AVP Code 74) is of type OctetString and MAY be present in the AA-Request or AA-Answer message if the Framed-Protocol AVP is set to the value of ARAP, and the Result-Code AVP is set to DIAMETER_MULTI_ROUND_AUTH. This AVP contains the security module challenge or response associated with the ARAP Security Module specified in ARAP-Security.
ARAP-Security AVP(AVPコード74)はタイプのオクテットストリングであり、フレーム付きプロトコルAVPがARAPの値に設定され、結果コードAVPが設定されている場合、AA-RequestまたはAA-Answerメッセージに存在する場合がありますdiameter_multi_round_authへ。このAVPには、ARAPセキュリティで指定されたARAPセキュリティモジュールに関連付けられたセキュリティモジュールチャレンジまたは応答が含まれています。
This section contains the authorization AVPs supported in the NAS Application. The Service-Type AVP SHOULD be present in all messages, and, based on its value, additional AVPs defined in this section and in section 7 MAY be present.
このセクションには、NASアプリケーションでサポートされているAVPSが含まれています。サービス型AVPはすべてのメッセージに存在する必要があり、その値に基づいて、このセクションおよびセクション7で定義されている追加のAVPが存在する場合があります。
Due to space constraints, the short-form IPFltrRule is used to represent IPFilterRule, and QoSFltrRule is used for QoSFilterRule.
スペースの制約により、短い形式のIPFLTRRULEを使用してIPFilterruleを表し、QoSflTrruleはQoSfilterruleに使用されます。
+---------------------+
| AVP Flag rules |
|----+-----+----+-----|----+
AVP Section | | |SHLD| MUST| |
Attribute Name Code Defined Value Type |MUST| MAY | NOT| NOT|Encr|
-----------------------------------------|----+-----+----+-----|----|
Service-Type 6 6.1 Enumerated | M | P | | V | Y |
Callback-Number 19 6.2 UTF8String | M | P | | V | Y |
Callback-Id 20 6.3 UTF8String | M | P | | V | Y |
Idle-Timeout 28 6.4 Unsigned32 | M | P | | V | Y |
Port-Limit 62 6.5 Unsigned32 | M | P | | V | Y |
NAS-Filter-Rule 400 6.6 IPFltrRule | M | P | | V | Y |
Filter-Id 11 6.7 UTF8String | M | P | | V | Y |
Configuration- 78 6.8 OctetString| M | | | P,V | |
Token | | | | | |
QoS-Filter-Rule 407 6.9 QoSFltrRule| | | | | |
Framed-Protocol 7 6.10.1 Enumerated | M | P | | V | Y |
Framed-Routing 10 6.10.2 Enumerated | M | P | | V | Y |
Framed-MTU 12 6.10.3 Unsigned32 | M | P | | V | Y |
Framed- 13 6.10.4 Enumerated | M | P | | V | Y |
Compression | | | | | |
Framed-IP-Address 8 6.11.1 OctetString| M | P | | V | Y |
Framed-IP-Netmask 9 6.11.2 OctetString| M | P | | V | Y |
Framed-Route 22 6.11.3 UTF8String | M | P | | V | Y |
Framed-Pool 88 6.11.4 OctetString| M | P | | V | Y |
Framed- 96 6.11.5 Unsigned64 | M | P | | V | Y |
Interface-Id | | | | | |
Framed-IPv6- 97 6.11.6 OctetString| M | P | | V | Y |
Prefix | | | | | |
Framed-IPv6- 99 6.11.7 UTF8String | M | P | | V | Y |
Route | | | | | |
Framed-IPv6-Pool 100 6.11.8 OctetString| M | P | | V | Y |
Framed-IPX- 23 6.12.1 UTF8String | M | P | | V | Y |
Network | | | | | |
Framed-Appletalk- 37 6.13.1 Unsigned32 | M | P | | V | Y |
Link | | | | | |
Framed-Appletalk- 38 6.13.2 Unsigned32 | M | P | | V | Y |
Network | | | | | |
Framed-Appletalk- 39 6.13.3 OctetString| M | P | | V | Y |
Zone | | | | | |
ARAP-Features 71 6.14.1 OctetString| M | P | | V | Y |
ARAP-Zone-Access 72 6.14.2 Enumerated | M | P | | V | Y |
Login-IP-Host 14 6.15.1 OctetString| M | P | | V | Y |
Login-IPv6-Host 98 6.15.2 OctetString| M | P | | V | Y |
Login-Service 15 6.15.3 Enumerated | M | P | | V | Y |
Login-TCP-Port 16 6.16.1 Unsigned32 | M | P | | V | Y |
Login-LAT-Service 34 6.17.1 OctetString| M | P | | V | Y |
Login-LAT-Node 35 6.17.2 OctetString| M | P | | V | Y |
Login-LAT-Group 36 6.17.3 OctetString| M | P | | V | Y |
Login-LAT-Port 63 6.17.4 OctetString| M | P | | V | Y |
-----------------------------------------|----+-----+----+-----|----|
The Service-Type AVP (AVP Code 6) is of type Enumerated and contains the type of service the user has requested or the type of service to be provided. One such AVP MAY be present in an authentication and/or authorization request or response. A NAS is not required to implement all of these service types. It MUST treat unknown or unsupported Service-Types received in a response as a failure and end the session with a DIAMETER_INVALID_AVP_VALUE Result-Code.
Service-Type AVP(AVPコード6)は列挙されたタイプで、ユーザーが要求したサービスのタイプまたは提供するサービスのタイプが含まれています。そのようなAVPの1つは、認証および/または承認要求または応答に存在する場合があります。NASは、これらのすべてのサービスタイプを実装する必要はありません。応答として受信した未知またはサポートされていないサービスタイプを障害として扱い、diameter_invalid_avp_value result-codeでセッションを終了する必要があります。
When used in a request, the Service-Type AVP SHOULD be considered a hint to the server that the NAS believes the user would prefer the kind of service indicated. The server is not required to honor the hint. Furthermore, if the service specified by the server is supported, but not compatible with the current mode of access, the NAS MUST fail to start the session. The NAS MUST also generate the appropriate error message(s).
リクエストで使用する場合、サービスタイプのAVPは、ユーザーが示す種類のサービスを好むとNASが信じているサーバーのヒントと見なされる必要があります。サーバーは、ヒントを尊重する必要はありません。さらに、サーバーによって指定されたサービスがサポートされているが、現在のアクセスモードと互換性がない場合、NASはセッションの開始に失敗する必要があります。NASは、適切なエラーメッセージも生成する必要があります。
The following values have been defined for the Service-Type AVP. The complete list of defined values can be found in [RADIUS] and [RADIUSTypes]. The following list is informational:
以下の値は、サービスタイプのAVPに対して定義されています。定義された値の完全なリストは、[radius]および[radiustypes]にあります。次のリストには情報があります。
1 Login
2 Framed
3 Callback Login
4 Callback Framed
5 Outbound
6 Administrative
7 NAS Prompt
8 Authenticate Only
9 Callback NAS Prompt
10 Call Check
11 Callback Administrative
12 Voice
13 Fax
14 Modem Relay
15 IAPP-Register [IEEE 802.11f]
16 IAPP-AP-Check [IEEE 802.11f]
17 Authorize Only [RADDynAuth]
The following values are further qualified:
次の値はさらに資格があります。
Login 1 The user should be connected to a host. The message MAY include additional AVPs defined in sections 6.16 or 6.17.
ログイン1ユーザーはホストに接続する必要があります。メッセージには、セクション6.16または6.17で定義された追加のAVPが含まれる場合があります。
Framed 2 A Framed Protocol, such as PPP or SLIP, should be started for the User. The message MAY include additional AVPs defined in section 6.10, or section 7 for tunneling services.
Framed 2 PPPやスリップなどのフレームプロトコルは、ユーザー用に開始する必要があります。メッセージには、セクション6.10で定義された追加のAVP、またはトンネルサービスのセクション7が含まれます。
Callback Login 3 The user should be disconnected and called back, then connected to a host. The message MAY include additional AVPs defined in this section.
コールバックログイン3ユーザーを切断してコールバックし、ホストに接続する必要があります。メッセージには、このセクションで定義されている追加のAVPが含まれる場合があります。
Callback Framed 4 The user should be disconnected and called back, and then a Framed Protocol, such as PPP or SLIP, should be started for the User. The message MAY include additional AVPs defined in section 6.10, or in section 7 for tunneling services.
callback framed 4ユーザーを切断してコールバックする必要があります。その後、PPPやスリップなどのフレーム付きプロトコルをユーザー用に開始する必要があります。メッセージには、セクション6.10で定義された追加のAVP、またはトンネリングサービスのセクション7に含まれる場合があります。
The Callback-Number AVP (AVP Code 19) is of type UTF8String and contains a dialing string to be used for callback. It MAY be used in an authentication and/or authorization request as a hint to the server that a Callback service is desired, but the server is not required to honor the hint in the corresponding response.
Callback-Number AVP(AVPコード19)は型UTF8STRINGであり、コールバックに使用されるダイヤル文字列が含まれています。コールバックサービスが必要であることをサーバーにヒントとして認証および/または承認要求で使用することができますが、サーバーは、対応する応答のヒントを尊重する必要はありません。
The codification of this field's allowed usage range is outside the scope of this specification.
このフィールドの許可された使用範囲の成文化は、この仕様の範囲外です。
The Callback-Id AVP (AVP Code 20) is of type UTF8String and contains the name of a place to be called, to be interpreted by the NAS. This AVP MAY be present in an authentication and/or authorization response.
Callback-ID AVP(AVPコード20)は型UTF8STRINGであり、NASによって解釈される場所の名前が含まれています。このAVPは、認証および/または認証応答に存在する場合があります。
This AVP is not roaming-friendly as it assumes that the Callback-Id is configured on the NAS. Using the Callback-Number AVP therefore preferable.
このAVPは、コールバックIDがNASで構成されていると想定しているため、ローミングに優しいものではありません。したがって、コールバック番号AVPを使用することが望ましい。
The Idle-Timeout AVP (AVP Code 28) is of type Unsigned32 and sets the maximum number of consecutive seconds of idle connection allowable to the user before termination of the session or before a prompt is issued. The default is none, or system specific.
アイドルタイムアウトAVP(AVPコード28)はタイプunsigned32であり、セッションの終了前またはプロンプトが発行される前に、ユーザーに許容されるアイドル接続の最大数秒を設定します。デフォルトはなし、またはシステム固有です。
The Port-Limit AVP (AVP Code 62) is of type Unsigned32 and sets the maximum number of ports the NAS provides to the user. It MAY be used in an authentication and/or authorization request as a hint to the server that multilink PPP [PPPMP] service is desired, but the server is not required to honor the hint in the corresponding response.
ポートリミットAVP(AVPコード62)はタイプunsigned32で、NASがユーザーに提供するポートの最大数を設定します。マルチリンクPPP [PPPMP]サービスが望まれるというサーバーへのヒントとして、認証および/または承認要求で使用される場合がありますが、サーバーは対応する応答のヒントを尊重する必要はありません。
The NAS-Filter-Rule AVP (AVP Code 400) is of type IPFilterRule and provides filter rules that need to be configured on the NAS for the user. One or more of these AVPs MAY be present in an authorization response.
NAS-Filter-Rule AVP(AVPコード400)はタイプIPFilterruleのもので、ユーザー用にNASで構成する必要があるフィルタールールを提供します。これらのAVPの1つ以上は、承認応答に存在する場合があります。
The Filter-Id AVP (AVP Code 11) is of type UTF8String and contains the name of the filter list for this user. Zero or more Filter-Id AVPs MAY be sent in an authorization answer.
Filter-ID AVP(AVPコード11)は型UTF8STRINGのタイプで、このユーザーのフィルターリストの名前が含まれています。ゼロ以上のフィルターID AVPは、承認回答で送信される場合があります。
Identifying a filter list by name allows the filter to be used on different NASes without regard to filter-list implementation details. However, this AVP is not roaming friendly, as filter naming differs from one service provider to another.
名前でフィルターリストを識別することで、フィルターリストの実装の詳細に関係なく、さまざまなnaseでフィルターを使用できます。ただし、フィルターの命名はサービスプロバイダーから別のサービスプロバイダーに異なるため、このAVPは友好的ではありません。
In non-RADIUS environments, it is RECOMMENDED that the NAS-Filter-Rule AVP be used instead.
非ラジウス環境では、代わりにNASフィルタールールAVPを使用することをお勧めします。
The Configuration-Token AVP (AVP Code 78) is of type OctetString and is sent by a Diameter Server to a Diameter Proxy Agent or Translation Agent in an AA-Answer command to indicate a type of user profile to be used. It should not be sent to a Diameter Client (NAS).
構成トークンAVP(AVPコード78)はタイプのオクテットストリングであり、AA-Answerコマンドの直径サーバーによって直径プロキシエージェントまたは翻訳エージェントに送信され、使用するユーザープロファイルのタイプを示すものがあります。直径クライアント(NAS)に送信しないでください。
The format of the Data field of this AVP is site specific.
このAVPのデータフィールドの形式はサイト固有です。
The QoS-Filter-Rule AVP (AVP Code 407) is of type QoSFilterRule and provides QoS filter rules that need to be configured on the NAS for the user. One or more such AVPs MAY be present in an authorization response.
QOS-Filter-Rule AVP(AVPコード407)はタイプQOSFilTerruleであり、ユーザーに対してNASで構成する必要があるQOSフィルタールールを提供します。1つ以上のそのようなAVPは、承認応答に存在する場合があります。
Note: Due to an editorial mistake in [BASE], only the AVP format is discussed. The complete QoSFilterRule definition was not included. It is reprinted here for clarification.
注:[ベース]の編集上の間違いにより、AVP形式のみが議論されています。完全なQosfilterrule定義は含まれていません。ここでは説明のために転載されています。
QoSFilterRule
qosfilterrule
The QosFilterRule format is derived from the OctetString AVP Base Format. It uses the ASCII charset. Packets may be marked or metered based on the following information:
Qosfilterrule形式は、OctetString AVPベース形式から派生しています。ASCII charsetを使用します。パケットは、次の情報に基づいてマークまたは計算される場合があります。
Direction (in or out) Source and destination IP address (possibly masked) Protocol Source and destination port (lists or ranges) DSCP values (no mask or range)
方向(インまたはアウト)ソースおよび宛先IPアドレス(おそらくマスクされた)プロトコルソースと宛先ポート(リストまたは範囲)DSCP値(マスクまたは範囲なし)
Rules for the appropriate direction are evaluated in order; the first matched rule terminates the evaluation. Each packet is evaluated once. If no rule matches, the packet is treated as best effort. An access device unable to interpret or apply a QoS rule SHOULD NOT terminate the session.
適切な方向のルールは順番に評価されます。最初の一致したルールは、評価を終了します。各パケットは一度評価されます。ルールが一致しない場合、パケットは最善の努力として扱われます。QoSルールを解釈または適用できないアクセスデバイスは、セッションを終了してはなりません。
QoSFilterRule filters MUST follow the following format:
Qosfilterruleフィルターは、次の形式に従う必要があります。
action dir proto from src to dst [options]
SRCからDSTへのアクションディルプロト[オプション]
tag - Mark packet with a specific DSCP [DIFFSERV]. The DSCP option MUST be included. meter - Meter traffic. The metering options MUST be included.
タグ - 特定のDSCP [diffserv]を備えたマークパケット。DSCPオプションを含める必要があります。メーター - メータートラフィック。計量オプションを含める必要があります。
dir The format is as described under IPFilterRule.
dirこの形式は、ipfilterruleで説明されているとおりです。
proto The format is as described under IPFilterRule.
protoこの形式は、IPFilterruleで説明されているとおりです。
src and dst The format is as described under IPFilterRule.
SRCおよびDST形式は、IPFilterruleで説明されています。
options:
オプション:
DSCP <color> Color values as defined in [DIFFSERV]. Exact matching of DSCP values is required (no masks or ranges).
[diffserv]で定義されているdscp <color>色の値。DSCP値の正確な一致が必要です(マスクまたは範囲はありません)。
metering <rate> <color_under> <color_over> The metering option provides Assured Forwarding, as defined in [DIFFSERVAF], and MUST be present if the action is set to meter. The rate option is the throughput, in bits per second, used by the access device to mark packets. Traffic over the rate is marked with the color_over codepoint, and traffic under the rate is marked with the color_under codepoint. The color_under and color_over options contain the drop preferences and MUST conform to the recommended codepoint keywords described in [DIFFSERVAF] (e.g., AF13).
計測<rate> <color_under> <color_over>メーターオプションは、[diffservaf]で定義されているように、保証された転送を提供し、アクションがメーターに設定されている場合は存在する必要があります。レートオプションは、パケットをマークするためにアクセスデバイスによって使用される1秒あたりのビットのスループットです。レート上のトラフィックはColor_Over CodePointでマークされており、レートの下でのトラフィックはColor_under CodePointでマークされています。Color_underおよびcolor_overオプションにはドロップ設定が含まれており、[diffservaf](たとえば、AF13)で説明されている推奨されるCodePointキーワードに準拠する必要があります。
The metering option also supports the strict limit on traffic required by Expedited Forwarding, as defined in [DIFFSERVEF]. The color_over option may contain the keyword "drop" to prevent forwarding of traffic that exceeds the rate parameter.
メーターオプションは、[diffservef]で定義されているように、迅速な転送に必要なトラフィックの厳格な制限もサポートします。Color_Overオプションには、レートパラメーターを超えるトラフィックの転送を防ぐために、キーワード「ドロップ」が含まれている場合があります。
The rule syntax is a modified subset of ipfw(8) from FreeBSD, and the ipfw.c code may provide a useful base for implementations.
ルール構文は、FreeBSDのIPFW(8)の修正されたサブセットであり、IPFW.Cコードは実装に有用なベースを提供する場合があります。
This section lists the authorization AVPs necessary to support framed access, such as PPP and SLIP. AVPs defined in this section MAY be present in a message if the Service-Type AVP was set to "Framed" or "Callback Framed".
このセクションには、PPPやSlipなどのフレームアクセスをサポートするために必要なAVPSを示します。このセクションで定義されているAVPは、サービスタイプのAVPが「フレーム」または「Callback Framed」に設定されている場合、メッセージに存在する場合があります。
The Framed-Protocol AVP (AVP Code 7) is of type Enumerated and contains the framing to be used for framed access. This AVP MAY be present in both requests and responses. The supported values are listed in [RADIUSTypes]. The following list is informational:
フレーム付きプロトコルAVP(AVPコード7)は列挙されており、フレームアクセスに使用されるフレーミングが含まれています。このAVPは、リクエストと応答の両方に存在する場合があります。サポートされている値は[Radiustypes]にリストされています。次のリストには情報があります。
1 PPP 2 SLIP 3 AppleTalk Remote Access Protocol (ARAP) 4 Gandalf proprietary SingleLink/MultiLink protocol 5 Xylogics proprietary IPX/SLIP 6 X.75 Synchronous
1 PPP 2スリップ3 AppleTalkリモートアクセスプロトコル(ARAP)4 Gandalf Proprietary Singlelink/Multilink Protocol 5 Xylogics Proprietary IPX/Slip 6 X.75同期
The Framed-Routing AVP (AVP Code 10) is of type Enumerated and contains the routing method for the user when the user is a router to a network. This AVP SHOULD only be present in authorization responses. The supported values are listed in [RADIUSTypes]. The following list is informational:
フレームルーティングAVP(AVPコード10)は列挙されたタイプで、ユーザーがネットワークのルーターである場合、ユーザーのルーティング方法が含まれています。このAVPは、承認応答にのみ存在する必要があります。サポートされている値は[Radiustypes]にリストされています。次のリストには情報があります。
0 None 1 Send routing packets 2 Listen for routing packets 3 Send and Listen
0なし1ルーティングパケットを送信2ルーティングパケットを聞く3送信と聞く
The Framed-MTU AVP (AVP Code 12) is of type Unsigned32 and contains the Maximum Transmission Unit to be configured for the user, when it is not negotiated by some other means (such as PPP). This AVP SHOULD only be present in authorization responses. The MTU value MUST be in the range from 64 to 65535.
フレーム-MTU AVP(AVPコード12)は型Unsigned32であり、他の手段(PPPなど)によって交渉されていない場合、ユーザー用に構成する最大伝送ユニットが含まれています。このAVPは、承認応答にのみ存在する必要があります。MTU値は、64〜65535の範囲でなければなりません。
The Framed-Compression AVP (AVP Code 13) is of type Enumerated and contains the compression protocol to be used for the link. It MAY be used in an authorization request as a hint to the server that a specific compression type is desired, but the server is not required to honor the hint in the corresponding response.
フレームコンプレッションAVP(AVPコード13)は列挙されており、リンクに使用される圧縮プロトコルが含まれています。承認要求では、特定の圧縮タイプが必要であることをサーバーにヒントとして使用できますが、サーバーは、対応する応答のヒントを尊重する必要はありません。
More than one compression protocol AVP MAY be sent. The NAS is responsible for applying the proper compression protocol to the appropriate link traffic.
複数の圧縮プロトコルAVPが送信される場合があります。NASは、適切なリンクトラフィックに適切な圧縮プロトコルを適用する責任があります。
The supported values are listed in [RADIUSTypes]. The following list is informational:
サポートされている値は[Radiustypes]にリストされています。次のリストには情報があります。
0 None 1 VJ TCP/IP header compression 2 IPX header compression 3 Stac-LZS compression
0なし1 VJ TCP/IPヘッダー圧縮2 IPXヘッダー圧縮3 STAC-LZS圧縮
The AVPs defined in this section are used when the user requests, or is being granted, access service to IP.
このセクションで定義されているAVPは、ユーザーがIPへのアクセスサービスを要求する、または許可されているときに使用されます。
The Framed-IP-Address AVP (AVP Code 8) [RADIUS] is of type OctetString and contains an IPv4 address of the type specified in the attribute value to be configured for the user. It MAY be used in an authorization request as a hint to the server that a specific address is desired, but the server is not required to honor the hint in the corresponding response.
フレーム-IP-Address AVP(AVPコード8)[RADIUS]はタイプのオクテットストリングであり、ユーザーに設定される属性値で指定されたタイプのIPv4アドレスが含まれています。承認リクエストでは、特定のアドレスが望まれることをサーバーにヒントとして使用できますが、サーバーは、対応する応答のヒントを尊重する必要はありません。
Two values have special significance: 0xFFFFFFFF and 0xFFFFFFFE. The value 0xFFFFFFFF indicates that the NAS should allow the user to select an address (i.e., negotiated). The value 0xFFFFFFFE indicates that the NAS should select an address for the user (e.g., assigned from a pool of addresses kept by the NAS).
2つの値には、0xffffffffffと0xfffffffeの2つの値があります。値0xffffffffffは、NASがユーザーがアドレスを選択できるようにする必要があることを示しています(つまり、ネゴシエート)。値0xfffffffeは、NASがユーザーのアドレスを選択する必要があることを示します(たとえば、NASが保持しているアドレスのプールから割り当てられます)。
The Framed-IP-Netmask AVP (AVP Code 9) is of type OctetString and contains the four octets of the IPv4 netmask to be configured for the user when the user is a router to a network. It MAY be used in an authorization request as a hint to the server that a specific netmask is desired, but the server is not required to honor the hint in the corresponding response. This AVP MUST be present in a response if the request included this AVP with a value of 0xFFFFFFFF.
フレーム付きIP-NetMask AVP(AVPコード9)はタイプのオクテットストリングであり、ユーザーがネットワークのルーターである場合、ユーザー用に構成するIPv4ネットマスクの4オクテットが含まれています。承認要求では、特定のネットマスクが望まれることをサーバーにヒントとして使用できますが、サーバーは、対応する応答のヒントを尊重する必要はありません。このAVPがこのAVPを0xFFFFFFFFの値で含めた場合、このAVPは応答に存在する必要があります。
The Framed-Route AVP (AVP Code 22) is of type UTF8String and contains the ASCII routing information to be configured for the user on the NAS. Zero or more of these AVPs MAY be present in an authorization response.
フレームルートAVP(AVPコード22)は型UTF8STRINGであり、NASのユーザーに設定するASCIIルーティング情報が含まれています。これらのAVPのゼロ以上は、承認応答に存在する場合があります。
The string MUST contain a destination prefix in dotted quad form optionally followed by a slash and a decimal length specifier stating how many high-order bits of the prefix should be used. This is followed by a space, a gateway address in dotted quad form, a space, and one or more metrics separated by spaces; for example,
文字列には、オプションでスラッシュと10進数のビットを使用する必要があることを示すスラッシュと小数点の長さの指定をオプションで使用する宛先プレフィックスを含める必要があります。これに続いて、スペース、点線のクワッド形式のゲートウェイアドレス、スペース、およびスペースで区切られた1つ以上のメトリックが続きます。例えば、
"192.168.1.0/24 192.168.1.1 1".
"192.168.1.0/24 192.168.1.1 1"。
The length specifier may be omitted, in which case it should default to 8 bits for class A prefixes, to 16 bits for class B prefixes, and to 24 bits for class C prefixes; for example,
長さ指定子は省略できます。この場合、クラスAプレフィックスでは8ビット、クラスBのプレフィックスでは16ビット、クラスCプレフィックスの24ビットにデフォルトする必要があります。例えば、
"192.168.1.0 192.168.1.1 1".
"192.168.1.0 192.168.1.1 1"。
Whenever the gateway address is specified as "0.0.0.0" the IP address of the user SHOULD be used as the gateway address.
ゲートウェイアドレスが「0.0.0.0」として指定されるたびに、ユーザーのIPアドレスをゲートウェイアドレスとして使用する必要があります。
The Framed-Pool AVP (AVP Code 88) is of type OctetString and contains the name of an assigned address pool that SHOULD be used to assign an address for the user. If a NAS does not support multiple address pools, the NAS SHOULD ignore this AVP. Address pools are usually used for IP addresses but can be used for other protocols if the NAS supports pools for those protocols.
フレームプールAVP(AVPコード88)はタイプのオクテットストリングで、ユーザーにアドレスを割り当てるために使用する必要がある割り当てられたアドレスプールの名前が含まれています。NASが複数のアドレスプールをサポートしていない場合、NASはこのAVPを無視する必要があります。アドレスプールは通常、IPアドレスに使用されますが、NASがこれらのプロトコルのプールをサポートする場合、他のプロトコルに使用できます。
Although specified as type OctetString for compatibility with RADIUS [RADIUSExt], the encoding of the Data field SHOULD also conform to the rules for the UTF8String Data Format.
RADIUS [Radiusext]との互換性のためのタイプのオクテットストリングとして指定されていますが、データフィールドのエンコードは、UTF8STRINGデータ形式のルールにも準拠する必要があります。
The Framed-Interface-Id AVP (AVP Code 96) is of type Unsigned64 and contains the IPv6 interface identifier to be configured for the user. It MAY be used in authorization requests as a hint to the server that a specific interface id is desired, but the server is not required to honor the hint in the corresponding response.
フレームインターフェイスID AVP(AVPコード96)は型Unsigned64で、ユーザー用に構成されるIPv6インターフェイス識別子が含まれています。特定のインターフェイスIDが必要であることをサーバーにヒントとして認証リクエストで使用できますが、サーバーは、対応する応答のヒントを尊重する必要はありません。
The Framed-IPv6-Prefix AVP (AVP Code 97) is of type OctetString and contains the IPv6 prefix to be configured for the user. One or more AVPs MAY be used in authorization requests as a hint to the server that specific IPv6 prefixes are desired, but the server is not required to honor the hint in the corresponding response.
フレーム付き-IPV6-PREFIX AVP(AVPコード97)はタイプのオクテットストリングで、ユーザー用に構成するIPv6プレフィックスが含まれています。1つ以上のAVPは、特定のIPv6プレフィックスが必要であるというサーバーへのヒントとして認証要求で使用できますが、サーバーは、対応する応答のヒントを尊重する必要はありません。
The Framed-IPv6-Route AVP (AVP Code 99) is of type UTF8String and contains the ASCII routing information to be configured for the user on the NAS. Zero or more of these AVPs MAY be present in an authorization response.
フレーム-IPV6-Route AVP(AVPコード99)は型UTF8STRINGであり、NASのユーザーに設定するASCIIルーティング情報が含まれています。これらのAVPのゼロ以上は、承認応答に存在する場合があります。
The string MUST contain an IPv6 address prefix followed by a slash and a decimal length specifier stating how many high order bits of the prefix should be used. This is followed by a space, a gateway address in hexadecimal notation, a space, and one or more metrics separated by spaces; for example,
文字列には、IPv6アドレスプレフィックスに続いてスラッシュと小数の長さ指定器が含まれている必要があります。これに続いて、スペース、16進表のゲートウェイアドレス、スペース、およびスペースで区切られた1つ以上のメトリックが続きます。例えば、
"2000:0:0:106::/64 2000::106:a00:20ff:fe99:a998 1".
"2000:0:0:0:106 ::/64 2000 :: 106:A00:20FF:FE99:A998 1"。
Whenever the gateway address is the IPv6 unspecified address, the IP address of the user SHOULD be used as the gateway address, such as in:
ゲートウェイアドレスがIPv6の不特定アドレスである場合、ユーザーのIPアドレスは、次のようなゲートウェイアドレスとして使用する必要があります。
"2000:0:0:106::/64 :: 1".
"2000:0:0:106 ::/64 :: 1"。
The Framed-IPv6-Pool AVP (AVP Code 100) is of type OctetString and contains the name of an assigned pool that SHOULD be used to assign an IPv6 prefix for the user. If the access device does not support multiple prefix pools, it MUST ignore this AVP.
フレーム付き-IPV6-プールAVP(AVPコード100)はタイプのオクテットストリングであり、ユーザーにIPv6プレフィックスを割り当てるために使用する割り当てられたプールの名前が含まれています。アクセスデバイスが複数のプレフィックスプールをサポートしていない場合、このAVPを無視する必要があります。
Although specified as type OctetString for compatibility with RADIUS [RADIUSIPv6], the encoding of the Data field SHOULD also conform to the rules for the UTF8String Data Format.
RADIUS [RADIUSIPV6]との互換性のためのタイプのオクテットストリングとして指定されていますが、データフィールドのエンコードは、UTF8STRINGデータ形式のルールにも準拠する必要があります。
The AVPs defined in this section are used when the user requests, or is being granted, access to an IPX network service.
このセクションで定義されているAVPは、ユーザーがIPXネットワークサービスへのアクセスを要求する、または許可されているときに使用されます。
The Framed-IPX-Network AVP (AVP Code 23) is of type Unsigned32 and contains the IPX Network number to be configured for the user. It MAY be used in an authorization request as a hint to the server that a specific address is desired, but the server is not required to honor the hint in the corresponding response.
フレーム付き-IPXネットワークAVP(AVPコード23)はタイプunsigned32で、ユーザー用に構成するIPXネットワーク番号が含まれています。承認リクエストでは、特定のアドレスが望まれることをサーバーにヒントとして使用できますが、サーバーは、対応する応答のヒントを尊重する必要はありません。
Two addresses have special significance: 0xFFFFFFFF and 0xFFFFFFFE. The value 0xFFFFFFFF indicates that the NAS should allow the user to select an address (i.e., Negotiated). The value 0xFFFFFFFE indicates that the NAS should select an address for the user (e.g., assign it from a pool of one or more IPX networks kept by the NAS).
2つのアドレスには、0xffffffffffと0xfffffffeの2つのアドレスが重要です。値0xffffffffffは、NASがユーザーがアドレスを選択できるようにする必要があることを示しています(つまり、ネゴシエート)。値0xfffffffeは、NASがユーザーのアドレスを選択する必要があることを示します(たとえば、NASが保持している1つ以上のIPXネットワークのプールから割り当てます)。
The AVPs defined in this section are used when the user requests, or is being granted, access to an AppleTalk network [AppleTalk].
このセクションで定義されているAVPは、ユーザーがAppleTalkネットワーク[AppleTalk]へのアクセスを要求する、または許可されているときに使用されます。
The Framed-AppleTalk-Link AVP (AVP Code 37) is of type Unsigned32 and contains the AppleTalk network number that should be used for the serial link to the user, which is another AppleTalk router. This AVP MUST only be present in an authorization response and is never used when the user is not another router.
フレーム付きアプリテルクリンクAVP(AVPコード37)は、符号なし32型で、ユーザーへのシリアルリンクに使用するAppleTalkネットワーク番号が含まれています。これは別のAppleTalkルーターです。このAVPは、承認応答にのみ存在する必要があり、ユーザーが別のルーターではない場合は使用されません。
Despite the size of the field, values range from 0 to 65,535. The special value of 0 indicates an unnumbered serial link. A value of 1 to 65,535 means that the serial line between the NAS and the user should be assigned that value as an AppleTalk network number.
フィールドのサイズにもかかわらず、値の範囲は0〜65,535です。0の特別な値は、非数のシリアルリンクを示します。1〜65,535の値は、NASとユーザーの間のシリアルラインがAppleTalkネットワーク番号としてその値を割り当てる必要があることを意味します。
The Framed-AppleTalk-Network AVP (AVP Code 38) is of type Unsigned32 and contains the AppleTalk Network number that the NAS should probe to allocate an AppleTalk node for the user. This AVP MUST only be present in an authorization response and is never used when the user is not another router. Multiple instances of this AVP indicate that the NAS may probe, using any of the network numbers specified.
フレーム付きアプリテルクネットワークAVP(AVPコード38)は、符号なし32型で、NASがユーザーにAppleTalkノードを割り当てるために調査するAppleTalkネットワーク番号が含まれています。このAVPは、承認応答にのみ存在する必要があり、ユーザーが別のルーターではない場合は使用されません。このAVPの複数のインスタンスは、NASが指定されたネットワーク番号のいずれかを使用して調査できることを示しています。
Despite the size of the field, values range from 0 to 65,535. The special value 0 indicates that the NAS should assign a network for the user, using its default cable range. A value between 1 and 65,535 (inclusive) indicates to the AppleTalk Network that the NAS should probe to find an address for the user.
フィールドのサイズにもかかわらず、値の範囲は0〜65,535です。特別な値0は、NASがデフォルトのケーブル範囲を使用してユーザーにネットワークを割り当てる必要があることを示します。1〜65,535(包括的)の値は、AppleTalkネットワークに、NASがユーザーのアドレスを見つけるために調査する必要があることを示しています。
The Framed-AppleTalk-Zone AVP (AVP Code 39) is of type OctetString and contains the AppleTalk Default Zone to be used for this user. This AVP MUST only be present in an authorization response. Multiple instances of this AVP in the same message are not allowed.
フレーム付きアプリテルクゾーンAVP(AVPコード39)はタイプのオクテットストリングであり、このユーザーに使用されるAppleTalkデフォルトゾーンが含まれています。このAVPは、承認応答にのみ存在する必要があります。同じメッセージ内のこのAVPの複数のインスタンスは許可されていません。
The codification of this field's allowed range is outside the scope of this specification.
このフィールドの許可範囲の成文化は、この仕様の範囲外です。
The AVPs defined in this section are used when the user requests, or is being granted, access to the AppleTalk network via the AppleTalk Remote Access Protocol [ARAP]. They are only present if the Framed-Protocol AVP (see section 6.10.1) is set to ARAP. Section 2.2 of RFC 2869 [RADIUSExt] describes the operational use of these attributes.
このセクションで定義されているAVPは、ユーザーがAppleTalkリモートアクセスプロトコル[ARAP]を介してAppleTalkネットワークへのアクセスを要求する、または許可されているときに使用されます。それらは、フレーム付きプロトコルAVP(セクション6.10.1を参照)がARAPに設定されている場合にのみ存在します。RFC 2869 [Radiusext]のセクション2.2では、これらの属性の運用上の使用について説明します。
The ARAP-Features AVP (AVP Code 71) is of type OctetString and MAY be present in the AA-Accept message if the Framed-Protocol AVP is set to the value of ARAP. See [RADIUSExt] for more information about the format of this AVP.
ARAP-FeaturesAVP(AVPコード71)はタイプのオクテットストリングであり、フレーム付きプロトコルAVPがARAPの値に設定されている場合、AA-ACCEPTメッセージに存在する場合があります。このAVPの形式の詳細については、[Radiusext]を参照してください。
The ARAP-Zone-Access AVP (AVP Code 72) is of type Enumerated and MAY be present in the AA-Accept message if the Framed-Protocol AVP is set to the value of ARAP.
ARAP-ZONE-ACCESS AVP(AVPコード72)は列挙されており、フレーム付きプロトコルAVPがARAPの値に設定されている場合、AA-Acceptメッセージに存在する場合があります。
The supported values are listed in [RADIUSTypes] and defined in [RADIUSExt].
サポートされている値は[Radiustypes]にリストされ、[Radiusext]で定義されています。
This section contains the authorization AVPs that are needed to support terminal server functionality. AVPs defined in this section MAY be present in a message if the Service-Type AVP was set to "Login" or "Callback Login".
このセクションには、ターミナルサーバー機能をサポートするために必要なAVPSが含まれています。このセクションで定義されているAVPは、サービスタイプのAVPが「ログイン」または「コールバックログイン」に設定されている場合、メッセージに存在する場合があります。
The Login-IP-Host AVP (AVP Code 14) [RADIUS] is of type OctetString and contains the IPv4 address of a host with which to connect the user when the Login-Service AVP is included. It MAY be used in an AA-Request command as a hint to the Diameter Server that a specific host is desired, but the Diameter Server is not required to honor the hint in the AA-Answer.
Login-IP-Host AVP(AVPコード14)[RADIUS]はタイプのオクテットストリングであり、ログインサービスAVPが含まれているときにユーザーを接続するホストのIPv4アドレスが含まれています。AA-Requestコマンドでは、特定のホストが望まれることを直径サーバーにヒントとして使用できますが、AA-Answerのヒントを尊重するために直径サーバーは必要ありません。
Two addresses have special significance: all ones and 0. The value of all ones indicates that the NAS SHOULD allow the user to select an address. The value 0 indicates that the NAS SHOULD select a host to connect the user to.
2つのアドレスには、すべてのアドレスと0のアドレスが重要です。すべてのアドレスの値は、NASがユーザーがアドレスを選択できるようにする必要があることを示しています。値0は、NASがユーザーを接続するホストを選択する必要があることを示します。
The Login-IPv6-Host AVP (AVP Code 98) [RADIUSIPv6] is of type OctetString and contains the IPv6 address of a host with which to connect the user when the Login-Service AVP is included. It MAY be used in an AA-Request command as a hint to the Diameter Server that a specific host is desired, but the Diameter Server is not required to honor the hint in the AA-Answer.
Login-IPV6-HOST AVP(AVP Code 98)[RADIUSIPV6]はタイプのオクテットストリングであり、ログインサービスAVPが含まれているときにユーザーを接続するホストのIPv6アドレスが含まれています。AA-Requestコマンドでは、特定のホストが望まれることを直径サーバーにヒントとして使用できますが、AA-Answerのヒントを尊重するために直径サーバーは必要ありません。
Two addresses have special significance:
2つのアドレスには特別な意味があります。
0xFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF and 0. The value 0xFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF indicates that the NAS SHOULD allow the user to select an address. The value 0 indicates that the NAS SHOULD select a host to connect the user to.
0xfffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffidfut 0xfffffffffffffffffffffffffffffffffffffffは、NASがユーザーがアドレスを選択できるようにする必要があることを示します。値0は、NASがユーザーを接続するホストを選択する必要があることを示します。
The Login-Service AVP (AVP Code 15) is of type Enumerated and contains the service that should be used to connect the user to the login host. This AVP SHOULD only be present in authorization responses.
Login-Service AVP(AVPコード15)は列挙されており、ユーザーをログインホストに接続するために使用する必要があるサービスが含まれています。このAVPは、承認応答にのみ存在する必要があります。
The supported values are listed in [RADIUSTypes]. The following list is informational:
サポートされている値は[Radiustypes]にリストされています。次のリストには情報があります。
0 Telnet 1 Rlogin 2 TCP Clear 3 PortMaster (proprietary) 4 LAT 5 X25-PAD 6 X25-T3POS 8 TCP Clear Quiet (suppresses any NAS-generated connect string)
0 Telnet 1 rlogin 2 tcp Clear 3 Portmaster(Proprietary)4 LAT 5 X25-PAD 6 X25-T3POS 8 TCP CLEAR静か
The AVPs described in this section MAY be present if the Login-Service AVP is set to Telnet, Rlogin, TCP Clear, or TCP Clear Quiet.
このセクションで説明したAVPは、ログインサービスAVPがTelnet、Rlogin、TCP Clear、またはTCP Clear Quietに設定されている場合に存在する場合があります。
The Login-TCP-Port AVP (AVP Code 16) is of type Unsigned32 and contains the TCP port with which the user is to be connected when the Login-Service AVP is also present. This AVP SHOULD only be present in authorization responses. The value MUST NOT be greater than 65,535.
Login-TCP-Port AVP(AVPコード16)は型Unsigned32であり、Login-Service AVPも存在するときにユーザーが接続するTCPポートが含まれています。このAVPは、承認応答にのみ存在する必要があります。値は65,535を超えてはなりません。
The AVPs described in this section MAY be present if the Login-Service AVP is set to LAT [LAT].
このセクションで説明するAVPは、ログインサービスAVPがLAT [LAT]に設定されている場合に存在する場合があります。
The Login-LAT-Service AVP (AVP Code 34) is of type OctetString and contains the system with which the user is to be connected by LAT. It MAY be used in an authorization request as a hint to the server that a specific service is desired, but the server is not required to honor the hint in the corresponding response. This AVP MUST only be present in the response if the Login-Service AVP states that LAT is desired.
Login-Lat-Service AVP(AVPコード34)はタイプのオクテットストリングで、ユーザーがLATによって接続されるシステムが含まれています。承認要求では、特定のサービスが必要であることをサーバーにヒントとして使用できますが、サーバーは、対応する応答のヒントを尊重する必要はありません。このAVPは、ログインサービスAVPがLATが望ましいと述べている場合にのみ、応答に存在する必要があります。
Administrators use this service attribute when dealing with clustered systems, such as a VAX or Alpha cluster. In these environments, several different time-sharing hosts share the same resources (disks, printers, etc.), and administrators often configure each host to offer access (service) to each of the shared resources. In this case, each host in the cluster advertises its services through LAT broadcasts.
管理者は、VAXやAlphaクラスターなどのクラスター化されたシステムを扱うときに、このサービス属性を使用します。これらの環境では、いくつかの異なるタイムシェアリングホストが同じリソース(ディスク、プリンターなど)を共有し、管理者は各ホストを各ホストを共有リソースに提供するように構成します。この場合、クラスター内の各ホストは、LAT放送を通じてサービスを宣伝しています。
Sophisticated users often know which service providers (machines) are faster and tend to use a node name when initiating a LAT connection. Some administrators want particular users to use certain machines as a primitive form of load balancing (although LAT knows how to do load balancing itself).
洗練されたユーザーは、どのサービスプロバイダー(マシン)がより高速であるかを知っていることが多く、LAT接続を開始するときにノード名を使用する傾向があります。一部の管理者は、特定のユーザーが特定のマシンをプリミティブな形式の負荷分散として使用することを望んでいます(ただし、LATはロードバランス自体を実行する方法を知っています)。
The String field contains the identity of the LAT service to use. The LAT Architecture allows this string to contain $ (dollar), - (hyphen), . (period), _ (underscore), numerics, upper- and lowercase alphabetics, and the ISO Latin-1 character set extension [ISOLatin]. All LAT string comparisons are case insensitive.
文字列フィールドには、使用するLATサービスのIDが含まれています。LATアーキテクチャにより、この文字列には$(ドル)、 - (ハイフン)、。(期間)、_(アンダースコア)、数字、上位および小文字のアルファベット科学、およびISO LATIN-1文字セット拡張[Isolatin]。すべてのLAT文字列の比較は、症例の鈍感です。
The Login-LAT-Node AVP (AVP Code 35) is of type OctetString and contains the Node with which the user is to be automatically connected by LAT. It MAY be used in an authorization request as a hint to the server that a specific LAT node is desired, but the server is not required to honor the hint in the corresponding response. This AVP MUST only be present in a response if the Login-Service-Type AVP is set to LAT.
Login-Lat-Node AVP(AVPコード35)はタイプのオクテットストリングで、ユーザーがLATによって自動的に接続されるノードが含まれています。承認要求では、特定のLATノードが必要であることをサーバーにヒントとして使用できますが、サーバーは、対応する応答のヒントを尊重する必要はありません。このAVPは、ログインサービスタイプのAVPがLATに設定されている場合にのみ、応答に存在する必要があります。
The String field contains the identity of the LAT service to use. The LAT Architecture allows this string to contain $ (dollar), - (hyphen), . (period), _ (underscore), numerics, upper- and lowercase alphabetics, and the ISO Latin-1 character set extension [ISOLatin]. All LAT string comparisons are case insensitive.
文字列フィールドには、使用するLATサービスのIDが含まれています。LATアーキテクチャにより、この文字列には$(ドル)、 - (ハイフン)、。(期間)、_(アンダースコア)、数字、上位および小文字のアルファベット科学、およびISO LATIN-1文字セット拡張[Isolatin]。すべてのLAT文字列の比較は、症例の鈍感です。
The Login-LAT-Group AVP (AVP Code 36) is of type OctetString and contains a string identifying the LAT group codes this user is authorized to use. It MAY be used in an authorization request as a hint to the server that a specific group is desired, but the server is not required to honor the hint in the corresponding response. This AVP MUST only be present in a response if the Login-Service-Type AVP is set to LAT.
Login-Lat-Group AVP(AVPコード36)はタイプのオクテットストリングであり、このユーザーが使用することが許可されているLATグループコードを識別する文字列が含まれています。承認要求では、特定のグループが望まれることをサーバーにヒントとして使用できますが、サーバーは、対応する応答のヒントを尊重する必要はありません。このAVPは、ログインサービスタイプのAVPがLATに設定されている場合にのみ、応答に存在する必要があります。
LAT supports 256 different group codes, which LAT uses as a form of access rights. LAT encodes the group codes as a 256-bit bitmap.
LATは256の異なるグループコードをサポートしており、LATはアクセス権の形式として使用しています。LATは、グループコードを256ビットビットマップとしてエンコードします。
Administrators can assign one or more of the group code bits at the LAT service provider; it will only accept LAT connections that have these group codes set in the bitmap. The administrators assign a bitmap of authorized group codes to each user. LAT gets these from the operating system and uses them in its requests to the service providers.
管理者は、LATサービスプロバイダーに1つ以上のグループコードビットを割り当てることができます。これらのグループコードがビットマップに設定されているLAT接続のみを受け入れます。管理者は、承認されたグループコードのビットマップを各ユーザーに割り当てます。LATはオペレーティングシステムからこれらを取得し、サービスプロバイダーへの要求でそれらを使用します。
The codification of the range of allowed usage of this field is outside the scope of this specification.
このフィールドの許可された使用の範囲の成文化は、この仕様の範囲外です。
The Login-LAT-Port AVP (AVP Code 63) is of type OctetString and contains the Port with which the user is to be connected by LAT. It MAY be used in an authorization request as a hint to the server that a specific port is desired, but the server is not required to honor the hint in the corresponding response. This AVP MUST only be present in a response if the Login-Service-Type AVP is set to LAT.
Login-Lat-Port AVP(AVPコード63)はタイプのオクテットストリングで、ユーザーがLATで接続するポートが含まれています。承認要求では、特定のポートが望ましいことをサーバーにヒントとして使用することができますが、サーバーは、対応する応答のヒントを尊重する必要はありません。このAVPは、ログインサービスタイプのAVPがLATに設定されている場合にのみ、応答に存在する必要があります。
The String field contains the identity of the LAT service to use. The LAT Architecture allows this string to contain $ (dollar), - (hyphen), . (period), _ (underscore), numerics, upper- and lower-case alphabetics, and the ISO Latin-1 character set extension [ISOLatin]. All LAT string comparisons are case insensitive.
文字列フィールドには、使用するLATサービスのIDが含まれています。LATアーキテクチャにより、この文字列には$(ドル)、 - (ハイフン)、。(期間)、_(アンダースコア)、数字、上限および低ケースのアルファベット科学、およびISO LATIN-1文字セット拡張[Isolatin]。すべてのLAT文字列の比較は、症例の鈍感です。
Some NASes support compulsory tunnel services in which the incoming connection data is conveyed by an encapsulation method to a gateway elsewhere in the network. This is typically transparent to the service user, and the tunnel characteristics may be described by the remote AAA server, based on the user's authorization information. Several tunnel characteristics may be returned, and the NAS implementation may choose one [RADTunnels], [RADTunlAcct].
一部のNaseは、着信接続データがカプセル化方法によってネットワークの他の場所のゲートウェイに伝えられる強制トンネルサービスをサポートしています。これは通常、サービスユーザーに対して透明であり、トンネルの特性は、ユーザーの承認情報に基づいて、リモートAAAサーバーによって説明される場合があります。いくつかのトンネル特性が返される場合があり、NASの実装は1つの[radtunnels]、[radtunlacct]を選択する場合があります。
+---------------------+
| AVP Flag rules |
|----+-----+----+-----|----+
AVP Section | | |SHLD| MUST| |
Attribute Name Code Defined Value Type |MUST| MAY | NOT| NOT |Encr|
-----------------------------------------|----+-----+----+-----|----|
Tunneling 401 7.1 Grouped | M | P | | V | N |
Tunnel-Type 64 7.2 Enumerated | M | P | | V | Y |
Tunnel-Medium- 65 7.3 Enumerated | M | P | | V | Y |
Type | | | | | |
Tunnel-Client- 66 7.4 UTF8String | M | P | | V | Y |
Endpoint | | | | | |
Tunnel-Server- 67 7.5 UTF8String | M | P | | V | Y |
Endpoint | | | | | |
Tunnel-Password 69 7.6 OctetString| M | P | | V | Y |
Tunnel-Private- 81 7.7 OctetString| M | P | | V | Y |
Group-Id | | | | | |
Tunnel- 82 7.8 OctetString| M | P | | V | Y |
Assignment-Id | | | | | |
Tunnel-Preference 83 7.9 Unsigned32 | M | P | | V | Y |
Tunnel-Client- 90 7.10 UTF8String | M | P | | V | Y |
Auth-Id | | | | | |
Tunnel-Server- 91 7.11 UTF8String | M | P | | V | Y |
Auth-Id | | | | | |
-----------------------------------------|----+-----+----+-----|----|
The Tunneling AVP (AVP Code 401) is of type Grouped and contains the following AVPs, used to describe a compulsory tunnel service: [RADTunnels], [RADTunlAcct]. Its data field has the following ABNF grammar:
トンネルAVP(AVPコード401)はグループ化されたタイプで、強制トンネルサービスを記述するために使用される次のAVPが含まれています:[radtunnels]、[radtunlacct]。そのデータフィールドには、次のABNF文法があります。
Tunneling ::= < AVP Header: 401 >
{ Tunnel-Type }
{ Tunnel-Medium-Type }
{ Tunnel-Client-Endpoint }
{ Tunnel-Server-Endpoint }
[ Tunnel-Preference ]
[ Tunnel-Client-Auth-Id ]
[ Tunnel-Server-Auth-Id ]
[ Tunnel-Assignment-Id ]
[ Tunnel-Password ]
[ Tunnel-Private-Group-Id ]
The Tunnel-Type AVP (AVP Code 64) is of type Enumerated and contains the tunneling protocol(s) to be used (in the case of a tunnel initiator) or in use (in the case of a tunnel terminator). It MAY be used in an authorization request as a hint to the server that a specific tunnel type is desired, but the server is not required to honor the hint in the corresponding response.
トンネル型AVP(AVPコード64)は列挙されており、使用するトンネルプロトコル(トンネルイニシエーターの場合)または使用中(トンネルターミネーターの場合)が含まれています。特定のトンネルタイプが必要であることをサーバーにヒントとして承認リクエストで使用することもできますが、サーバーは、対応する応答のヒントを尊重する必要はありません。
The Tunnel-Type AVP SHOULD also be included in Accounting-Request messages.
トンネルタイプのAVPも、会計レクエストメッセージに含める必要があります。
A tunnel initiator is not required to implement any of these tunnel types. If a tunnel initiator receives a response that contains only unknown or unsupported Tunnel-Types, the tunnel initiator MUST behave as though a response were received with the Result-Code indicating a failure.
トンネルイニシエーターは、これらのトンネルタイプのいずれかを実装する必要はありません。トンネルイニシエーターが不明またはサポートされていないトンネルタイプのみを含む応答を受信した場合、トンネルイニシエーターは、障害を示す結果コードで応答が受信されたかのように動作する必要があります。
The supported values are listed in [RADIUSTypes]. The following list is informational:
サポートされている値は[Radiustypes]にリストされています。次のリストには情報があります。
1 Point-to-Point Tunneling Protocol (PPTP) 2 Layer Two Forwarding (L2F) 3 Layer Two Tunneling Protocol (L2TP) 4 Ascend Tunnel Management Protocol (ATMP) 5 Virtual Tunneling Protocol (VTP) 6 IP Authentication Header in the Tunnel-mode (AH) 7 IP-in-IP Encapsulation (IP-IP) 8 Minimal IP-in-IP Encapsulation (MIN-IP-IP) 9 IP Encapsulating Security Payload in the Tunnel-mode (ESP) 10 Generic Route Encapsulation (GRE) 11 Bay Dial Virtual Services (DVS) 12 IP-in-IP Tunneling 13 Virtual LANs (VLAN)
1ポイントツーポイントトンネルプロトコル(PPTP)2レイヤー2転送(L2F)3レイヤー2トンネル化プロトコル(L2TP)4アセンドトンネル管理プロトコル(ATMP)5仮想トンネリングプロトコル(VTP)6 IP認証ヘッダートンネルモードのIP認証ヘッダー(AH)7 IP-in-IPカプセル化(IP-IP)8最小IP-IP-IPカプセル化(MIN-IP-IP)9 IP IPカプセル化セキュリティペイロード(Tunnel-Mode(ESP)10ジェネリックルートカプセル化(GRE)11ベイダイヤル仮想サービス(DVS)12 IP-in-IPトンネリング13仮想LAN(VLAN)
The Tunnel-Medium-Type AVP (AVP Code 65) is of type Enumerated and contains the transport medium to use when creating a tunnel for protocols (such as L2TP) that can operate over multiple transports. It MAY be used in an authorization request as a hint to the server that a specific medium is desired, but the server is not required to honor the hint in the corresponding response.
トンネルメディウム型AVP(AVPコード65)は列挙されており、複数の輸送で動作できるプロトコル(L2TPなど)用のトンネル(L2TPなど)を作成するときに使用する輸送媒体が含まれています。承認要求では、特定のメディアが望まれることをサーバーにヒントとして使用することができますが、サーバーは、対応する応答のヒントを尊重する必要はありません。
The supported values are listed in [RADIUSTypes]. The following list is informational:
サポートされている値は[Radiustypes]にリストされています。次のリストには情報があります。
1 IPv4 (IP version 4) 2 IPv6 (IP version 6) 3 NSAP 4 HDLC (8-bit multidrop) 5 BBN 1822 6 802 (includes all 802 media plus Ethernet "canonical format") 7 E.163 (POTS) 8 E.164 (SMDS, Frame Relay, ATM) 9 F.69 (Telex) 10 X.121 (X.25, Frame Relay) 11 IPX 12 Appletalk 13 Decnet IV 14 Banyan Vines 15 E.164 with NSAP format subaddress
1 IPv4(IPバージョン4)2 IPv6(IPバージョン6)3 NSAP 4 HDLC(8ビットマルチドロップ)5 BBN 1822 6 802(すべての802メディアとイーサネット「標準形式」を含む)7 E.163(POTS)8 E.164(SMDS、フレームリレー、ATM)9 F.69(テレックス)10 X.121(X.25、フレームリレー)11 IPX 12 Appletalk 13 Decnet IV 14 Banyan Vines 15 E.164
The Tunnel-Client-Endpoint AVP (AVP Code 66) is of type UTF8String and contains the address of the initiator end of the tunnel. It MAY be used in an authorization request as a hint to the server that a specific endpoint is desired, but the server is not required to honor the hint in the corresponding response.
トンネルクライアントエンドポイントAVP(AVPコード66)は型UTF8STRINGであり、トンネルのイニシエーターエンドのアドレスが含まれています。特定のエンドポイントが必要であることをサーバーにヒントとして承認要求で使用することができますが、サーバーは、対応する応答のヒントを尊重する必要はありません。
This AVP SHOULD be included in the corresponding Accounting-Request messages, in which case it indicates the address from which the tunnel was initiated. This AVP, along with the Tunnel-Server-Endpoint and Session-Id AVP [BASE], MAY be used to provide a globally unique means to identify a tunnel for accounting and auditing purposes.
このAVPは、対応する会計要求メッセージに含める必要があります。この場合、トンネルが開始されたアドレスを示します。このAVPは、トンネルサーバーエンドポイントおよびセッションID AVP [ベース]とともに、会計および監査目的でトンネルを特定するためのグローバルにユニークな手段を提供するために使用できます。
If Tunnel-Medium-Type is IPv4 (1), then this string is either the fully qualified domain name (FQDN) of the tunnel client machine, or a
トンネルメディウムタイプがIPv4(1)の場合、この文字列はトンネルクライアントマシンの完全に適格なドメイン名(FQDN)または
"dotted-decimal" IP address. Implementations MUST support the dotted-decimal format and SHOULD support the FQDN format for IP addresses.
「点線 - cimal」IPアドレス。実装は、点線の形式をサポートする必要があり、IPアドレスのFQDN形式をサポートする必要があります。
If Tunnel-Medium-Type is IPv6 (2), then this string is either the FQDN of the tunnel client machine, or a text representation of the address in either the preferred or alternate form [IPv6Addr]. Conforming implementations MUST support the preferred form and SHOULD support both the alternate text form and the FQDN format for IPv6 addresses.
トンネルメディウムタイプの場合、この文字列は、トンネルクライアントマシンのFQDN、または優先フォームまたは代替フォーム[IPv6ADDR]のアドレスのテキスト表現のいずれかです。適合実装は、優先フォームをサポートする必要があり、IPv6アドレスの代替テキストフォームとFQDN形式の両方をサポートする必要があります。
If Tunnel-Medium-Type is neither IPv4 nor IPv6, then this string is a tag referring to configuration data local to the Diameter client that describes the interface or medium-specific client address to use.
Tunnel-Medium-TypeがIPv4でもIPv6でもない場合、この文字列は、使用するインターフェイスまたは中程度固有のクライアントアドレスを説明するDiameterクライアントにローカルにローカルする構成データを指すタグです。
The Tunnel-Server-Endpoint AVP (AVP Code 67) is of type UTF8String and contains the address of the server end of the tunnel. It MAY be used in an authorization request as a hint to the server that a specific endpoint is desired, but the server is not required to honor the hint in the corresponding response.
トンネルサーバーエンドポイントAVP(AVPコード67)は型UTF8STRINGであり、トンネルのサーバー端のアドレスが含まれています。特定のエンドポイントが必要であることをサーバーにヒントとして承認要求で使用することができますが、サーバーは、対応する応答のヒントを尊重する必要はありません。
This AVP SHOULD be included in the corresponding Accounting-Request messages, in which case it indicates the address from which the tunnel was initiated. This AVP, along with the Tunnel-Client-Endpoint and Session-Id AVP [BASE], MAY be used to provide a globally unique means to identify a tunnel for accounting and auditing purposes.
このAVPは、対応する会計要求メッセージに含める必要があります。この場合、トンネルが開始されたアドレスを示します。このAVPは、トンネルクライアントエンドポイントおよびセッションID AVP [ベース]とともに、会計および監査目的でトンネルを特定するためのグローバルにユニークな手段を提供するために使用できます。
If Tunnel-Medium-Type is IPv4 (1), then this string is either the fully qualified domain name (FQDN) of the tunnel server machine, or a "dotted-decimal" IP address. Implementations MUST support the dotted-decimal format and SHOULD support the FQDN format for IP addresses.
トンネルメディウムタイプがIPv4(1)の場合、この文字列は、トンネルサーバーマシンの完全に適格なドメイン名(FQDN)または「点線デシマル」IPアドレスのいずれかです。実装は、点線の形式をサポートする必要があり、IPアドレスのFQDN形式をサポートする必要があります。
If Tunnel-Medium-Type is IPv6 (2), then this string is either the FQDN of the tunnel server machine, or a text representation of the address in either the preferred or alternate form [IPv6Addr]. Implementations MUST support the preferred form and SHOULD support both the alternate text form and the FQDN format for IPv6 addresses.
トンネルメディウムタイプの場合、この文字列は、トンネルサーバーマシンのfqdn、または優先フォームまたは代替フォーム[IPv6addr]のアドレスのテキスト表現のいずれかです。実装は、優先フォームをサポートする必要があり、IPv6アドレスの代替テキストフォームとFQDN形式の両方をサポートする必要があります。
If Tunnel-Medium-Type is not IPv4 or IPv6, this string is a tag referring to configuration data local to the Diameter client that describes the interface or medium-specific server address to use.
Tunnel-Medium-TypeがIPv4またはIPv6ではない場合、この文字列は、使用するインターフェイスまたは中程度固有のサーバーアドレスを説明するDiameterクライアントにローカルにローカルする構成データを指すタグです。
The Tunnel-Password AVP (AVP Code 69) is of type OctetString and may contain a password to be used to authenticate to a remote server. The Tunnel-Password AVP contains sensitive information. This value is not protected in the same manner as RADIUS [RADTunnels].
Tunnel-Password AVP(AVPコード69)はタイプのオクテットストリングであり、リモートサーバーに認証するために使用するパスワードを含めることができます。トンネルパスワードAVPには、機密情報が含まれています。この値は、半径[radtunnels]と同じ方法で保護されていません。
As required in [BASE], Diameter messages are encrypted by using IPsec or TLS. The Tunnel-Password AVP SHOULD NOT be used in untrusted proxy environments without encrypting it by using end-to-end security techniques, such as CMS Security [DiamCMS].
[ベース]で必要に応じて、直径メッセージはIPSECまたはTLSを使用して暗号化されます。Tunnel-Password AVPは、CMSセキュリティ[DIAMCM]などのエンドツーエンドのセキュリティ手法を使用して、暗号化することなく、信頼されていないプロキシ環境では使用しないでください。
The Tunnel-Private-Group-Id AVP (AVP Code 81) is of type OctetString and contains the group Id for a particular tunneled session. The Tunnel-Private-Group-Id AVP MAY be included in an authorization request if the tunnel initiator can predetermine the group resulting from a particular connection. It SHOULD be included in the authorization response if this tunnel session is to be treated as belonging to a particular private group. Private groups may be used to associate a tunneled session with a particular group of users. For example, it MAY be used to facilitate routing of unregistered IP addresses through a particular interface. This AVP SHOULD be included in the Accounting-Request messages that pertain to the tunneled session.
Tunnel-Private-Group-ID AVP(AVPコード81)はタイプのオクテットストリングであり、特定のトンネルセッションのグループIDが含まれています。トンネルプライベート-Group-ID AVPは、トンネルイニシエーターが特定の接続に起因するグループを事前に決定できる場合、承認要求に含まれる場合があります。このトンネルセッションが特定のプライベートグループに属するものとして扱われる場合は、承認対応に含める必要があります。プライベートグループを使用して、トンネルセッションを特定のユーザーグループと関連付けることができます。たとえば、特定のインターフェイスを介して未登録のIPアドレスのルーティングを容易にするために使用できます。このAVPは、トンネル付きセッションに関連する会計要求メッセージに含める必要があります。
The Tunnel-Assignment-Id AVP (AVP Code 82) is of type OctetString and is used to indicate to the tunnel initiator the particular tunnel to which a session is to be assigned. Some tunneling protocols, such as [PPTP] and [L2TP], allow for sessions between the same two tunnel endpoints to be multiplexed over the same tunnel and also for a given session to use its own dedicated tunnel. This attribute provides a mechanism for Diameter to inform the tunnel initiator (e.g., PAC, LAC) whether to assign the session to a multiplexed tunnel or to a separate tunnel. Furthermore, it allows for sessions sharing multiplexed tunnels to be assigned to different multiplexed tunnels.
Tunnel-Assignment-ID AVP(AVPコード82)はタイプのオクテットストリングであり、セッションを割り当てる特定のトンネルをトンネルイニシエーターに示すために使用されます。[PPTP]や[L2TP]などの一部のトンネルプロトコルは、同じ2つのトンネルエンドポイント間のセッションを同じトンネル上で多重化し、また独自の専用トンネルを使用するための特定のセッションを使用できます。この属性は、セッションを多重化されたトンネルに割り当てるのか別のトンネルに割り当てるかどうか、トンネルイニシエーター(例:PAC、LAC)に通知する直径のメカニズムを提供します。さらに、多重化されたトンネルを共有するセッションを異なる多重化されたトンネルに割り当てることができます。
A particular tunneling implementation may assign differing characteristics to particular tunnels. For example, different tunnels may be assigned different QoS parameters. Such tunnels may be used to carry either individual or multiple sessions. The Tunnel-Assignment-Id attribute thus allows the Diameter server to indicate that a particular session is to be assigned to a tunnel providing an appropriate level of service. It is expected that any QoS-related Diameter tunneling attributes defined in the future accompanying this one will be associated by the tunnel initiator with the Id given by this attribute. In the meantime, any semantic given to a particular Id string is a matter left to local configuration in the tunnel initiator.
特定のトンネルの実装は、特定のトンネルに異なる特性を割り当てる場合があります。たとえば、異なるトンネルに異なるQoSパラメーターを割り当てることができます。このようなトンネルは、個人または複数のセッションのいずれかを運ぶために使用できます。したがって、Tunnel-Assignment-ID属性により、直径サーバーは、特定のセッションが適切なレベルのサービスを提供するトンネルに割り当てられることを示すことができます。これに伴う将来に定義されたQoS関連の直径トンネリング属性は、トンネルイニシエーターによってこの属性によって与えられたIDに関連付けられることが予想されます。それまでの間、特定のID文字列に与えられたセマンティックは、トンネルイニシエーターにローカル構成に残された問題です。
The Tunnel-Assignment-Id AVP is of significance only to Diameter and the tunnel initiator. The Id it specifies is only intended to be of local use to Diameter and the tunnel initiator. The Id assigned by the tunnel initiator is not conveyed to the tunnel peer.
トンネルアシグメントID AVPは、直径とトンネルイニシエーターのみに重要です。それが指定するIDは、直径とトンネルイニシエーターに局所的に使用することのみを目的としています。トンネルイニシエーターによって割り当てられたIDは、トンネルピアに伝えられません。
This attribute MAY be included in authorization responses. The tunnel initiator receiving this attribute MAY choose to ignore it and to assign the session to an arbitrary multiplexed or non-multiplexed tunnel between the desired endpoints. This AVP SHOULD also be included in the Accounting-Request messages pertaining to the tunneled session.
この属性は、承認応答に含まれる場合があります。この属性を受け取るトンネルイニシエーターは、それを無視し、目的のエンドポイント間の任意の多重化または非総移動トンネルにセッションを割り当てることを選択する場合があります。このAVPは、トンネル付きセッションに関連する会計要求メッセージにも含める必要があります。
If a tunnel initiator supports the Tunnel-Assignment-Id AVP, then it should assign a session to a tunnel in the following manner:
トンネルイニシエーターがトンネルアシグメントID AVPをサポートしている場合、次の方法でトンネルにセッションを割り当てる必要があります。
- If this AVP is present and a tunnel exists between the specified endpoints with the specified Id, then the session should be assigned to that tunnel.
- このAVPが存在し、指定されたIDを使用して指定されたエンドポイントの間にトンネルが存在する場合、セッションはそのトンネルに割り当てる必要があります。
- If this AVP is present and no tunnel exists between the specified endpoints with the specified Id, then a new tunnel should be established for the session and the specified Id should be associated with the new tunnel.
- このAVPが存在し、指定されたIDを使用して指定されたエンドポイント間にトンネルが存在しない場合、セッション用に新しいトンネルを確立する必要があり、指定されたIDは新しいトンネルに関連付けられている必要があります。
- If this AVP is not present, then the session is assigned to an unnamed tunnel. If an unnamed tunnel does not yet exist between the specified endpoints, then it is established and used for this session and for subsequent ones established without the Tunnel-Assignment-Id attribute. A tunnel initiator MUST NOT assign a session for which a Tunnel-Assignment-Id AVP was not specified to a named tunnel (i.e., one that was initiated by a session specifying this AVP).
- このAVPが存在しない場合、セッションは無名のトンネルに割り当てられます。指定されたエンドポイントの間にまだ名前のないトンネルが存在しない場合、このセッションには確立されて使用され、その後のセッションにはトンネル割り当て-ID属性なしで確立されます。トンネルイニシエーターは、トンネル割り当てID AVPが名前付きトンネルに指定されていないセッション(つまり、このAVPを指定するセッションで開始されたセッション)を割り当ててはなりません。
Note that the same Id may be used to name different tunnels if these tunnels are between different endpoints.
これらのトンネルが異なるエンドポイントの間にある場合、同じIDを異なるトンネルの名前にするために使用できることに注意してください。
The Tunnel-Preference AVP (AVP Code 83) is of type Unsigned32 and is used to identify the relative preference assigned to each tunnel when more than one set of tunneling AVPs is returned within separate Grouped-AVP AVPs. It MAY be used in an authorization request as a hint to the server that a specific preference is desired, but the server is not required to honor the hint in the corresponding response.
トンネルプレーファレンスAVP(AVPコード83)はタイプunsigned32であり、複数のトンネルAVPが個別のグループ化されたAVP AVP内で返された場合、各トンネルに割り当てられた相対選好を識別するために使用されます。承認リクエストでは、特定の優先順位が必要であることをサーバーにヒントとして使用できますが、サーバーは、対応する応答のヒントを尊重する必要はありません。
For example, suppose that AVPs describing two tunnels are returned by the server, one with a Tunnel-Type of PPTP and the other with a Tunnel-Type of L2TP. If the tunnel initiator supports only one of the Tunnel-Types returned, it will initiate a tunnel of that type. If, however, it supports both tunnel protocols, it SHOULD use the value of the Tunnel-Preference AVP to decide which tunnel should be started. The tunnel with the lowest numerical value in the Value field of this AVP SHOULD be given the highest preference. The values assigned to two or more instances of the Tunnel-Preference AVP within a given authorization response MAY be identical. In this case, the tunnel initiator SHOULD use locally configured metrics to decide which set of AVPs to use.
たとえば、2つのトンネルを記述するAVPがサーバーによって返され、1つはトンネルタイプのPPTPを使用し、もう1つはトンネルタイプのL2TPを使用していると仮定します。トンネルイニシエーターが返されたトンネルタイプの1つのみをサポートする場合、そのタイプのトンネルを開始します。ただし、両方のトンネルプロトコルをサポートしている場合、トンネルプレファレンスAVPの値を使用して、どのトンネルを起動するかを決定する必要があります。このAVPの値フィールドで最も低い数値値を持つトンネルには、最高の優先権が与えられる必要があります。特定の承認応答内のトンネルプレファレンスAVPの2つ以上のインスタンスに割り当てられた値は同一である場合があります。この場合、トンネルイニシエーターはローカルで構成されたメトリックを使用して、使用するAVPのセットを決定する必要があります。
The Tunnel-Client-Auth-Id AVP (AVP Code 90) is of type UTF8String and specifies the name used by the tunnel initiator during the authentication phase of tunnel establishment. It MAY be used in an authorization request as a hint to the server that a specific preference is desired, but the server is not required to honor the hint in the corresponding response. This AVP MUST be present in the authorization response if an authentication name other than the default is desired. This AVP SHOULD be included in the Accounting-Request messages pertaining to the tunneled session.
Tunnel-Client-Auth-ID AVP(AVPコード90)は型UTF8STRINGであり、トンネル設立の認証フェーズ中にトンネルイニシエーターが使用する名前を指定します。承認リクエストでは、特定の優先順位が必要であることをサーバーにヒントとして使用できますが、サーバーは、対応する応答のヒントを尊重する必要はありません。このAVPは、デフォルト以外の認証名が必要な場合、承認応答に存在する必要があります。このAVPは、トンネル付きセッションに関連する会計要求メッセージに含める必要があります。
The Tunnel-Server-Auth-Id AVP (AVP Code 91) is of type UTF8String and specifies the name used by the tunnel terminator during the authentication phase of tunnel establishment. It MAY be used in an authorization request as a hint to the server that a specific preference is desired, but the server is not required to honor the hint in the corresponding response. This AVP MUST be present in the authorization response if an authentication name other than the default is desired. This AVP SHOULD be included in the Accounting-Request messages pertaining to the tunneled session.
Tunnel-Server-Auth-ID AVP(AVPコード91)は型UTF8STRINGであり、トンネル設立の認証フェーズ中にトンネルターミネーターが使用する名前を指定します。承認リクエストでは、特定の優先順位が必要であることをサーバーにヒントとして使用できますが、サーバーは、対応する応答のヒントを尊重する必要はありません。このAVPは、デフォルト以外の認証名が必要な場合、承認応答に存在する必要があります。このAVPは、トンネル付きセッションに関連する会計要求メッセージに含める必要があります。
Applications implementing this specification use Diameter Accounting, as defined in [BASE], and the AVPs in the following section. Service-specific AVP usage is defined in the tables in section 10.
この仕様を実装するアプリケーション[ベース]で定義されているように、直径のアカウンティングを使用し、次のセクションでAVPを使用します。サービス固有のAVP使用法は、セクション10の表で定義されています。
If accounting is active, Accounting Request (ACR) messages SHOULD be sent after the completion of any Authentication or Authorization transaction and at the end of a Session. The Accounting-Record-Type value indicates the type of event. All other AVPs identify the session and provide additional information relevant to the event.
会計がアクティブな場合は、認証または承認取引の完了後およびセッションの終了時に会計要求(ACR)メッセージを送信する必要があります。Accounting-Record-Type値は、イベントのタイプを示します。他のすべてのAVPはセッションを特定し、イベントに関連する追加情報を提供します。
The successful completion of the first Authentication or Authorization transaction SHOULD cause a START_RECORD to be sent. If additional Authentications or Authorizations occur in later transactions, the first exchange should generate a START_RECORD, and the later an INTERIM_RECORD. For a given session, there MUST only be one set of matching START and STOP records, with any number of INTERIM_RECORDS in between, or one EVENT_RECORD indicating the reason a session wasn't started.
最初の認証または承認トランザクションが正常に完了すると、start_recordが送信されるはずです。後のトランザクションで追加の認証または承認が発生する場合、最初の交換はstart_recordを生成し、後でinterim_recordを生成する必要があります。特定のセッションでは、一致する開始レコードと停止レコードのセットが1つだけで、その間に任意の数のinterim_recordがあるか、1つのevent_recordがセッションが開始されなかった理由を示している必要があります。
The following table describes the AVPs; their AVP Code values, types, and possible flag values; and whether the AVP MAY be encrypted.
次の表には、AVPを説明しています。AVPコード値、タイプ、および可能なフラグ値。AVPが暗号化されるかどうか。
+---------------------+
| AVP Flag rules |
|----+-----+----+-----|----+
AVP Section | | |SHLD| MUST| |
Attribute Name Code Defined Value Type |MUST| MAY | NOT| NOT|Encr|
-----------------------------------------|----+-----+----+-----|----|
Accounting- 363 8.1 Unsigned64 | M | P | | V | Y |
Input-Octets | | | | | |
Accounting- 364 8.2 Unsigned64 | M | P | | V | Y |
Output-Octets | | | | | |
Accounting- 365 8.3 Unsigned64 | M | P | | V | Y |
Input-Packets | | | | | |
Accounting- 366 8.4 Unsigned64 | M | P | | V | Y |
Output-Packets | | | | | |
Acct-Session-Time 46 8.5 Unsigned32 | M | P | | V | Y |
Acct-Authentic 45 8.6 Enumerated | M | P | | V | Y |
Acounting-Auth- 406 8.7 Enumerated | M | P | | V | Y |
Method | | | | | |
Acct-Delay-Time 41 8.8 Unsigned32 | M | P | | V | Y |
Acct-Link-Count 51 8.9 Unsigned32 | M | P | | V | Y |
Acct-Tunnel- 68 8.10 OctetString| M | P | | V | Y |
Connection | | | | | |
Acct-Tunnel- 86 8.11 Unsigned32 | M | P | | V | Y |
Packets-Lost | | | | | |
-----------------------------------------|----+-----+----+-----|----|
The Accounting-Input-Octets AVP (AVP Code 363) is of type Unsigned64 and contains the number of octets received from the user.
ACOUNTING-INPUT-OCTETS AVP(AVPコード363)は、符号なし64であり、ユーザーから受け取ったオクテットの数が含まれています。
For NAS usage, this AVP indicates how many octets have been received from the port in the course of this session. It can only be present in ACR messages with an Accounting-Record-Type of INTERIM_RECORD or STOP_RECORD.
NASの使用については、このAVPは、このセッションの過程でポートから受信したオクテットの数を示しています。Interim_Recordまたはstop_recordのアカウンティングレコードタイプのACRメッセージにのみ存在することができます。
The Accounting-Output-Octets AVP (AVP Code 364) is of type Unsigned64 and contains the number of octets sent to the user.
ACOUNTING-OUTPUT-OCTETS AVP(AVPコード364)は、signed64のタイプで、ユーザーに送信されるオクテットの数が含まれています。
For NAS usage, this AVP indicates how many octets have been sent to the port in the course of this session. It can only be present in ACR messages with an Accounting-Record-Type of INTERIM_RECORD or STOP_RECORD.
NASの使用については、このAVPは、このセッションの過程でポートに送信されたオクテットの数を示します。Interim_Recordまたはstop_recordのアカウンティングレコードタイプのACRメッセージにのみ存在することができます。
The Accounting-Input-Packets (AVP Code 365) is of type Unsigned64 and contains the number of packets received from the user.
Accounting-Input-Packets(AVP Code 365)はタイプunsigned64で、ユーザーから受信したパケットの数が含まれています。
For NAS usage, this AVP indicates how many packets have been received from the port over the course of a session being provided to a Framed User. It can only be present in ACR messages with an Accounting-Record-Type of INTERIM_RECORD or STOP_RECORD.
NASの使用については、このAVPは、フレーム付きユーザーに提供されるセッションの過程でポートから受信されたパケットの数を示します。Interim_Recordまたはstop_recordのアカウンティングレコードタイプのACRメッセージにのみ存在することができます。
The Accounting-Output-Packets (AVP Code 366) is of type Unsigned64 and contains the number of IP packets sent to the user.
会計出力パケット(AVPコード366)はタイプunsigned64で、ユーザーに送信されるIPパケットの数が含まれています。
For NAS usage, this AVP indicates how many packets have been sent to the port over the course of a session being provided to a Framed User. It can only be present in ACR messages with an Accounting-Record-Type of INTERIM_RECORD or STOP_RECORD.
NASの使用については、このAVPは、フレーム付きユーザーに提供されるセッションの過程でポートに送信されたパケットの数を示します。Interim_Recordまたはstop_recordのアカウンティングレコードタイプのACRメッセージにのみ存在することができます。
The Acct-Session-Time AVP (AVP Code 46) is of type Unsigned32 and indicates the length of the current session in seconds. It can only be present in ACR messages with an Accounting-Record-Type of INTERIM_RECORD or STOP_RECORD.
ACCTセッションタイムAVP(AVPコード46)はタイプunsigned32で、現在のセッションの長さを秒単位で示します。Interim_Recordまたはstop_recordのアカウンティングレコードタイプのACRメッセージにのみ存在することができます。
The Acct-Authentic AVP (AVP Code 45) is of type Enumerated and specifies how the user was authenticated. The supported values are listed in [RADIUSTypes]. The following list is informational:
ACCT-Authentic AVP(AVPコード45)は列挙されており、ユーザーの認証方法を指定します。サポートされている値は[Radiustypes]にリストされています。次のリストには情報があります。
1 RADIUS 2 Local 3 Remote 4 Diameter
1半径2ローカル3リモート4直径
The Accounting-Auth-Method AVP (AVP Code 406) is of type Enumerated. A NAS MAY include this AVP in an Accounting-Request message to indicate the method used to authenticate the user. (Note that this is equivalent to the RADIUS MS-Acct-Auth-Type VSA attribute).
ACOUNTING-AUTH-METHOD AVP(AVPコード406)は列挙されています。NASには、ユーザーの認証に使用される方法を示すために、このAVPをアカウンティングレクエストメッセージに含めることができます。(これは、半径MS-ACCT-AUTHタイプVSA属性に相当することに注意してください)。
The following values are defined:
次の値が定義されています。
1 PAP 2 CHAP 3 MS-CHAP-1 4 MS-CHAP-2 5 EAP 7 None
1 PAP 2 CHAP 3 MS-CHAP-1 4 MS-CHAP-2 5 EAP 7なし
The Acct-Delay-Time AVP (AVP Code 41) is of type Unsigned32 and indicates the number of seconds the Diameter client has been trying to send the Accounting-Request (ACR). The accounting server may subtract this value from the time when the ACR arrives at the server to calculate the approximate time of the event that caused the ACR to be generated.
ACCT-Delay-Time AVP(AVPコード41)はsoting32のタイプであり、Accounting-Request(ACR)を直径クライアントが送信しようとしている秒数を示します。アカウンティングサーバーは、ACRがサーバーに到着したときからこの値を減算して、ACRを生成したイベントのおおよその時間を計算できます。
This AVP is not used for retransmissions at the transport level (TCP or SCTP). Rather, it may be used when an ACR command cannot be transmitted because there is no appropriate peer to transmit it to or was rejected because it could not be delivered. In these cases, the command MAY be buffered and transmitted later, when an appropriate peer-connection is available or after sufficient time has passed that the destination-host may be reachable and operational. If the ACR is resent in this way, the Acct-Delay-Time AVP SHOULD be included. The value of this AVP indicates the number of seconds that elapsed between the time of the first attempt at transmission and the current attempt.
このAVPは、輸送レベル(TCPまたはSCTP)での再送信には使用されません。むしろ、ACRコマンドを送信できないため、ACRコマンドを送信できない場合に使用できます。これらの場合、適切なピア接続が利用可能になった場合、または宛先ホストが到達可能かつ運用可能な場合に十分な時間が経過した後、コマンドはバッファリングおよび送信される場合があります。ACRがこの方法でresしている場合、ACCT-Delay-Time AVPを含める必要があります。このAVPの値は、伝送の最初の試行の時間と現在の試みの間に経過した秒数を示します。
The Acct-Link-Count AVP (AVP Code 51) is of type Unsigned32 and indicates the total number of links that have been active (current or closed) in a given multilink session at the time the accounting record is generated. This AVP MAY be included in Accounting-Requests for any session that may be part of a multilink service.
ACCT-Link-Count AVP(AVPコード51)は型Unsigned32であり、会計記録が生成された時点で、特定のマルチリンクセッションでアクティブ(現在または閉じた)の総数を示します。このAVPは、マルチリンクサービスの一部である可能性のあるセッションの会計要求に含まれる場合があります。
The Acct-Link-Count AVP may be used to make it easier for an accounting server to know when it has all the records for a given multilink service. When the number of Accounting-Requests received with Accounting-Record-Type = STOP_RECORD and with the same Acct-Multi-Session-Id and unique Session-Ids equals the largest value of Acct-Link-Count seen in those Accounting-Requests, all STOP_RECORD Accounting-Requests for that multilink service have been received.
ACCT-Link-Count AVPを使用して、アカウンティングサーバーが特定のマルチリンクサービスのすべてのレコードをいつ持っているかを把握しやすくすることができます。Accounting-Record-Type = STOP_RECORDで受け取った会計要請の数が同じACCT-Multi-Session-IDとユニークなセッションIDで、それらの会計要求で見られるACCT-Link-Countの最大値に等しい場合、すべてそのマルチリンクサービスのStop_Record Accounting-Requestsが受信されました。
The following example, showing eight Accounting-Requests, illustrates how the Acct-Link-Count AVP is used. In the table below, only the relevant AVPs are shown, although additional AVPs containing accounting information will be present in the Accounting-Requests.
次の例は、8つの会計要求を示しており、ACCT-Link-Count AVPがどのように使用されるかを示しています。以下の表には、関連するAVPのみが示されていますが、会計情報を含む追加のAVPは会計要求に存在します。
Acct-Multi- Accounting- Acct-
Session-Id Session-Id Record-Type Link-Count
--------------------------------------------------------
"...10" "...10" START_RECORD 1
"...10" "...11" START_RECORD 2
"...10" "...11" STOP_RECORD 2
"...10" "...12" START_RECORD 3
"...10" "...13" START_RECORD 4
"...10" "...12" STOP_RECORD 4
"...10" "...13" STOP_RECORD 4
"...10" "...10" STOP_RECORD 4
The Acct-Tunnel-Connection AVP (AVP Code 68) is of type OctetString and contains the identifier assigned to the tunnel session. This AVP, along with the Tunnel-Client-Endpoint and Tunnel-Server-Endpoint AVPs, may be used to provide a means to uniquely identify a tunnel session for auditing purposes.
ACCT-Tunnel-Connection AVP(AVPコード68)はタイプのオクテットストリングで、トンネルセッションに割り当てられた識別子が含まれています。このAVPは、トンネルクライアントエンドポイントおよびトンネルサーバーエンドポイントAVPとともに、監査目的でトンネルセッションを一意に識別する手段を提供するために使用できます。
The format of the identifier in this AVP depends upon the value of the Tunnel-Type AVP. For example, to identify an L2TP tunnel connection fully, the L2TP Tunnel Id and Call Id might be encoded in this field. The exact encoding of this field is implementation dependent.
このAVPの識別子の形式は、トンネル型AVPの値に依存します。たとえば、L2TPトンネル接続を完全に識別するために、L2TPトンネルIDとコールIDがこのフィールドでエンコードされる場合があります。このフィールドの正確なエンコードは、実装依存です。
The Acct-Tunnel-Packets-Lost AVP (AVP Code 86) is of type Unsigned32 and contains the number of packets lost on a given link.
ACCT-Tunnel-Packets-LOST AVP(AVPコード86)は、符号なし32であり、特定のリンクで失われたパケットの数が含まれています。
This section describes some basic guidelines that servers acting as AAA Translation Agents may use. A complete description of all the differences between RADIUS and Diameter is beyond the scope of this section and document. Note that this document does not restrict implementations from creating additional translation methods, as long as the translation function doesn't violate the RADIUS or the Diameter protocols.
このセクションでは、AAA翻訳エージェントとして機能するサーバーが使用できる基本的なガイドラインについて説明します。半径と直径のすべての違いの完全な説明は、このセクションとドキュメントの範囲を超えています。このドキュメントは、翻訳関数が半径または直径プロトコルに違反しない限り、実装を追加の翻訳方法の作成を制限しないことに注意してください。
Although the Diameter protocol is in many ways a superset of RADIUS functions, a number of RADIUS representations are not allowed, so that new capabilities can be used without the old problems.
直径のプロトコルは多くの点で半径関数のスーパーセットですが、多くの半径表現は許可されていないため、古い問題なしに新しい機能を使用できます。
There are primarily two different situations that must be handled: one in which a RADIUS request is received that must be forwarded as a Diameter request, and another in which the inverse is true. RADIUS does not support a peer-to-peer architecture, and server-initiated operations are generally not supported. See [RADDynAuth] for an alternative.
主に2つの異なる状況を処理する必要があります。1つは、直径要求として転送する必要がある半径要求を受信し、もう1つは逆が真であることです。RADIUSはピアツーピアアーキテクチャをサポートしておらず、通常、サーバーが開始した操作はサポートされていません。別の方法については、[Raddynauth]を参照してください。
Some RADIUS attributes are encrypted. RADIUS security and encryption techniques are applied on a hop-per-hop basis. A Diameter agent will have to decrypt RADIUS attribute data entering the Diameter system, and if that information is forwarded, the agent MUST secure it by using Diameter specific techniques.
一部の半径属性は暗号化されています。RADIUSセキュリティと暗号化手法は、ホップごとに適用されます。直径エージェントは、直径システムを入力するRADIUS属性データを復号化する必要があり、その情報が転送された場合、エージェントは直径固有の手法を使用してそれを確保する必要があります。
Note that this section uses the two terms, "AVP" and "attribute", in a concise and specific manner. The former is used to signify a Diameter AVP, and the latter to signify a RADIUS attribute.
このセクションでは、簡潔かつ具体的な方法で「AVP」と「属性」という2つの用語を使用することに注意してください。前者は、直径AVPを意味するために使用され、後者は半径属性を意味します。
This section describes the actions that should be taken when a Translation Agent receives a RADIUS message to be translated to a Diameter message.
このセクションでは、翻訳エージェントが直径メッセージに翻訳される半径メッセージを受信したときに実行されるべきアクションについて説明します。
Note that RADIUS servers are assumed to be stateless. It is also quite possible for the RADIUS messages that comprise the session (i.e., authentication and accounting messages) to be handled by different Translation Agents in the proxy network. Therefore, a RADIUS/Diameter Translation Agent SHOULD NOT be assumed to have an accurate track on session-state information.
RADIUSサーバーはステートレスであると想定されていることに注意してください。また、セッションを構成するRADIUSメッセージ(つまり、認証と会計メッセージ)がプロキシネットワークのさまざまな翻訳エージェントによって処理される可能性があります。したがって、半径/直径翻訳エージェントは、セッション状態情報に正確なトラックがあると想定してはなりません。
When a Translation Agent receives a RADIUS message, the following steps should be taken:
翻訳エージェントが半径メッセージを受信する場合、次の手順を実行する必要があります。
- If a Message-Authenticator attribute is present, the value MUST be checked but not included in the Diameter message. If it is incorrect, the RADIUS message should be silently discarded. The gateway system SHOULD generate and include a Message-Authenticator in returned RADIUS responses.
- メッセージauthenticator属性が存在する場合、値をチェックする必要がありますが、直径メッセージに含まれていません。正しくない場合は、半径メッセージを静かに破棄する必要があります。ゲートウェイシステムは、返された半径応答でメッセージauthenticatorを生成し、含める必要があります。
- The transport address of the sender MUST be checked against the NAS identifying attributes. See the description of NAS-Identifier and NAS-IP-Address below.
- 送信者の輸送アドレスは、NAS識別属性に対して確認する必要があります。以下のNas-IdentifierとNas-IP-Addressの説明を参照してください。
- The Translation Agent must maintain transaction state information relevant to the RADIUS request, such as the Identifier field in the RADIUS header, any existing RADIUS Proxy-State attribute, and the source IP address and port number of the UDP packet. These may be maintained locally in a state table or saved in a Proxy-Info AVP group. A Diameter Session-Id AVP value must be created using a session state mapping mechanism.
- 翻訳エージェントは、RADIUSヘッダーの識別子フィールド、既存のRADIUSプロキシ状態属性、およびUDPパケットのソースIPアドレスとポート番号など、RADIUS要求に関連するトランザクション状態情報を維持する必要があります。これらは、状態のテーブルでローカルに維持されるか、プロキシINFO AVPグループに保存される場合があります。直径セッションID AVP値は、セッション状態マッピングメカニズムを使用して作成する必要があります。
- If the RADIUS request contained a State attribute and the prefix of the data is "Diameter/", the data following the prefix contains the Diameter Origin-Host/Origin-Realm/Session-Id. If no such attributes are present and the RADIUS command is an Access-Request, a new Session-Id is created. The Session-Id is included in the Session-Id AVP.
- RADIUS要求に状態属性が含まれており、データのプレフィックスが「直径/」である場合、プレフィックスに続くデータには、直径の起源と起源-REALM/SESSION-IDが含まれます。そのような属性が存在せず、RADIUSコマンドがアクセスリケストである場合、新しいセッションIDが作成されます。セッションIDは、セッションID AVPに含まれています。
- The Diameter Origin-Host and Origin-Realm AVPs MUST be created and added by using the information from an FQDN corresponding to the NAS-IP-Address attribute (preferred if available), and/or to the NAS-Identifier attribute. (Note that the RADIUS NAS-Identifier is not required to be an FQDN.)
- 直径の起源ホストとOrigin-RealM AVPSは、NAS-IPアドレス属性(利用可能な場合は優先)および/またはNAS-IDIDEIR属性に対応するFQDNからの情報を使用して作成および追加する必要があります。(Radius Nas IdentifierはFQDNである必要はないことに注意してください。)
- The response MUST have an Origin-AAA-Protocol AVP added, indicating the protocol of origin of the message.
- 応答には、メッセージの起源のプロトコルを示すOrigin-AAA-Protocol AVPが追加されている必要があります。
- The Proxy-Info group SHOULD be added, with the local server's identity specified in the Proxy-Host AVP. This should ensure that the response is returned to this system.
- プロキシ-INFOグループを追加する必要があります。ローカルサーバーのIDは、プロキシホストAVPで指定されています。これにより、応答がこのシステムに返されるようになります。
- The Destination-Realm AVP is created from the information found in the RADIUS User-Name attribute.
- Destination-RealM AVPは、RADIUSユーザー名属性にある情報から作成されます。
- If the RADIUS User-Password attribute is present, the password must be unencrypted by using the link's RADIUS shared secret. The unencrypted value must be forwarded in a User-Password AVP using Diameter security.
- RADIUSユーザーパスワード属性が存在する場合、リンクのRADIUS共有秘密を使用してパスワードを暗号化しない必要があります。暗号化されていない値は、直径セキュリティを使用してユーザーパスワードAVPに転送する必要があります。
- If the RADIUS CHAP-Password attribute is present, the Ident and Data portion of the attribute are used to create the CHAP-Auth grouped AVP.
- Radius chap-password属性が存在する場合、属性の識別部分とデータ部分を使用して、chap-authグループ化されたAVPを作成します。
- If the RADIUS message contains an address attribute, it MUST be converted to the appropriate Diameter AVP and type.
- RADIUSメッセージにアドレス属性が含まれている場合、適切な直径AVPとタイプに変換する必要があります。
- If the RADIUS message contains Tunnel information [RADTunnels], the attributes or tagged groups should each be converted to a Diameter Tunneling Grouped AVP set. If the tunnel information contains a Tunnel-Password attribute, the RADIUS encryption must be resolved, and the password forwarded, by using Diameter security methods.
- RADIUSメッセージにトンネル情報[radTunnels]が含まれている場合、属性またはタグ付きグループは、それぞれAVPセットのグループ化された直径トンネリングに変換される必要があります。トンネル情報にトンネルパスワード属性が含まれている場合、直径セキュリティメソッドを使用して、半径の暗号化を解決し、パスワードを転送する必要があります。
- If the RADIUS message received is an Accounting-Request, the Acct-Status-Type attribute value must be converted to a Accounting-Record-Type AVP value. If the Acct-Status-Type attribute value is STOP, the local server MUST issue a Session-Termination-Request message once the Diameter Accounting-Answer message has been received.
- 受信したRADIUSメッセージが会計要因である場合、ACCT-STATUSタイプの属性値は、会計記録タイプのAVP値に変換する必要があります。ACCT-Status-Type属性の値が停止している場合、直径の会計応答メッセージが受信されたら、ローカルサーバーはセッション終了リケストメッセージを発行する必要があります。
- If the Accounting message contains an Acct-Termination-Cause attribute, it should be translated to the equivalent Termination-Cause AVP value. (see below)
- アカウンティングメッセージにACCTターミネーション原因属性が含まれている場合、同等の終了原因AVP値に変換する必要があります。(以下を参照してください)
- If the RADIUS message contains the Accounting-Input-Octets, Accounting-Input-Packets, Accounting-Output-Octets, or Accounting-Output-Packets, these attributes must be converted to the Diameter equivalents. Further, if the Acct-Input-Gigawords or Acct-Output-Gigawords attributes are present, these must be used to properly compute the Diameter accounting AVPs.
- RADIUSメッセージにアカウンティング入力オクテット、アカウンティング入力パケット、会計出力オクテット、または会計出力パケットが含まれている場合、これらの属性は直径の等価物に変換する必要があります。さらに、ACCT入力ギガオードまたはACCT-Output-Gigawordsの属性が存在する場合、これらを使用して直径のアカウンティングAVPを適切に計算する必要があります。
The corresponding Diameter response is always guaranteed to be received by the same Translation Agent that translated the original request, due to the contents of the Proxy-Info AVP group in the Diameter request. The following steps are applied to the response message during the Diameter-to-RADIUS translation:
対応する直径応答は、直径リクエストのプロキシINFO AVPグループの内容により、元のリクエストを翻訳したのと同じ翻訳エージェントによって常に受信されることが保証されます。次の手順は、直径間翻訳中に応答メッセージに適用されます。
- If the Diameter Command-Code is set to AA-Answer and the Result-Code AVP is set to DIAMETER_MULTI_ROUND_AUTH, the gateway must send a RADIUS Access-Challenge. This must have the Origin-Host, Origin-Realm, and Diameter Session-Id AVPs encapsulated in the RADIUS State attribute, with the prefix "Diameter/", concatenated in the above order separated with "/" characters, in UTF-8 [UTF-8]. This is necessary to ensure that the Translation Agent receiving the subsequent RADIUS Access-Request will have access to the Session Identifier and be able to set the Destination-Host to the correct value. If the Multi-Round-Time-Out AVP is present, the value of the AVP MUST be inserted in the RADIUS Session-Timeout AVP.
- 直径コマンドコードがAA-Answerに設定され、結果コードAVPがDiameter_Multi_Round_Authに設定されている場合、ゲートウェイはRADIUS Access-Challengeを送信する必要があります。これには、Radius状態属性にカプセル化されたOrigin-Host、Origin-RealM、および直径セッションID AVPが、上記の順序で "/"文字でutf-8で連結されている[直径/]に連結している必要があります。UTF-8]。これは、後続のRADIUS Access-Requestを受信する翻訳エージェントがセッション識別子にアクセスし、宛先ホストを正しい値に設定できるようにするために必要です。マルチラウンドタイムアウトAVPが存在する場合、AVPの値をRADIUSセッションタイムアウトAVPに挿入する必要があります。
- If the Command-Code is set to AA-Answer, the Diameter Session-Id AVP is saved in a new RADIUS Class attribute whose format consists of the string "Diameter/" followed by the Diameter Session Identifier. This will ensure that the subsequent Accounting messages, which could be received by any Translation Agent, would have access to the original Diameter Session Identifier. - If a Proxy-State attribute was present in the RADIUS request, the same attribute is added in the response. This information may be found in the Proxy-Info AVP group, or in a local state table.
- コマンドコードがAA-Answerに設定されている場合、直径セッション-ID AVPは、形式「直径/」で構成される新しいRADIUSクラス属性に保存され、その後の直径セッション識別子が続きます。これにより、翻訳エージェントが受信できる後続の会計メッセージが、元の直径セッション識別子にアクセスできるようになります。 - RADIUS要求にプロキシ状態の属性が存在する場合、応答に同じ属性が追加されます。この情報は、Proxy-INFO AVPグループ、またはローカル州のテーブルで見つけることができます。
- If state information regarding the RADIUS request was saved in a Proxy-Info AVP or local state table, the RADIUS Identifier and UDP IP Address and port number are extracted and used in issuing the RADIUS reply.
- RADIUS要求に関する状態情報がプロキシINFO AVPまたはローカルステートテーブルに保存された場合、RADIUS識別子とUDP IPアドレスとポート番号が抽出され、RADIUS応答の発行に使用されます。
When translating a Diameter AA-Answer (with successful result code) to RADIUS Access-Accept that contains a Session-Timeout or Authorization-Lifetime AVP, take the following steps:
直径AA-Answer(成功した結果コードを使用)を、セッション時間アウトまたは承認式AVPを含むRADIUS Access-Acceptに翻訳する場合、次の手順を実行します。
- If the Diameter message contains a Session-Timeout AVP but no Authorization-Lifetime AVP, translate it to a Session-Timeout attribute (not a Termination-Action).
- 直径メッセージにセッションタイムアウトAVPが含まれているが、承認式のAVPが含まれていない場合は、セッションタイムアウト属性(終端アクションではなく)に変換します。
- If the Diameter message contains an Authorization-Lifetime AVP but no Session-Timeout AVP, translate it to a Session-Timeout attribute and a Termination-Action set to AA-REQUEST. (Remove Authorization-Lifetime and Re-Auth-Request-Type.)
- 直径メッセージに承認式AVPが含まれているが、セッションタイムアウトAVPが含まれていない場合は、セッションタイムアウト属性と終了アクションにAA-Requestに設定します。(承認式と再承認式タイプを削除します。)
- If the Diameter message has both, the Session-Timeout must be greater than or equal to the Authorization-Lifetime (required by [BASE]). Translate it to a Session-Timeout value (with value from Authorization-Lifetime AVP, the smaller one) and with the Termination-Action set to AA-REQUEST. (Remove the Authorization-Lifetime and Re-Auth-Request-Type.)
- 直径メッセージの両方がある場合、セッション時間アウトは承認式([base]で要求される)以上でなければなりません。セッションタイムアウト値(承認式AVPからの値、小さいものから)に翻訳し、終了アクションがAA-Requestに設定されています。(Authorization-LifetimeとReauth-Request-Typeを削除します。)
A Diameter/RADIUS gateway may communicate with a server that implements RADIUS Dynamic Authorization [RADDynAuth]. If the server supports these functions, it MUST be listening on the assigned port and would receive RADIUS CoA-Request and Disconnect-Request messages. These can be mapped into the Diameter Re-Auth-Request (RAR) and Abort-Session-Request (ASR) message exchanges, respectively [BASE].
直径/半径のゲートウェイは、半径の動的な承認[Raddynauth]を実装するサーバーと通信する場合があります。サーバーがこれらの機能をサポートしている場合、割り当てられたポートでリスニングしている必要があり、RADIUS COA-Requestおよび切断リケストメッセージを受信します。これらは、それぞれ[ベース]を直径[ベース]に直径再発行(RAR)および中止セッションレクエスト(ASR)メッセージ交換にマッピングできます。
If the [RADDynAuth] is not supported, the port would not be active and the RADIUS server would receive an ICMP Port Unreachable indication. Alternatively, if the messages are received but with an inappropriate Service-Type, the gateway can respond with the appropriate NAK message and an Error-Cause attribute with the value of 405, "Unsupported Service".
[raddynauth]がサポートされていない場合、ポートはアクティブにならず、RADIUSサーバーはICMPポートの到達不可能な表示を受け取ります。あるいは、メッセージが受信されていないが不適切なサービスタイプを使用した場合、ゲートウェイは適切なNAKメッセージと405の値「サポートされていないサービス」の値を持つエラー原因属性で応答できます。
The RADIUS CoA-Request and Disconnect-Request messages will not contain a Diameter Session-Id. Diameter requires that this value match an active session context. The gateway MUST have a session Id cache (or other means) to identify the sessions these functions pertain to. If unable to identify the session, the gateway (or NAS) should return an Error-Cause value 503, "Session Context Not Found".
RADIUS COA-REQUESTおよび切断リケストメッセージには、直径セッションIDは含まれません。直径は、この値がアクティブなセッションコンテキストと一致する必要があります。ゲートウェイには、これらの機能が関連するセッションを識別するために、セッションIDキャッシュ(またはその他の手段)が必要です。セッションを識別できない場合、ゲートウェイ(またはNAS)は、エラー原因値503「セッションコンテキストが見つかりません」を返す必要があります。
The RADIUS CoA-Request message only supports a change of authorization attributes, and the received CoA-Request SHOULD include a Service-Type of "Authorize-Only". This indicates an extended exchange request by the rules given in [RADDynAuth] section 3.2, note 6. This is the only type of exchange supported by Diameter [BASE].
RADIUS COA-Requestメッセージは、承認属性の変更のみをサポートしており、受信したCOA-Requestには「Authorizeのみ」のサービスタイプを含める必要があります。これは、[Raddynauth]セクション3.2、注6に記載されているルールによる拡張交換要求を示しています。これは、直径[ベース]でサポートされている唯一のタイプの交換です。
For the CoA-Request, the translated RAR message will have a Re-Auth-Type of AUTHORIZE_ONLY. The returned RAA will be translated into a CoA-NAK with Error-Cause "Request Initiated". The gateway's Diameter client SHOULD also start a reauthorization sequence by sending an AAR message, which will be translated into an Access-Request message. The RADIUS server will use the Access-Accept (or Access-Reject) message to convey the new authorization attributes, which the gateway will pass back in an AAA message.
COA-Requestの場合、翻訳されたRARメッセージには、authorize_onlyの再オーースタイプがあります。返されたRAAは、エラー原因「リクエストが開始された」とともにCOA-NAKに翻訳されます。GatewayのDiameterクライアントは、AARメッセージを送信して再承認シーケンスを開始する必要があります。RADIUSサーバーは、Access-Accept(またはAccess-Reject)メッセージを使用して、GatewayがAAAメッセージに戻す新しい承認属性を伝えます。
Any attributes included in the COA-Request or Access-Accept message are to be considered mandatory in Diameter. If they cannot be supported, they MUST result in an error message return to the RADIUS server, with an Error-Cause of "Unsupported Attribute". The Diameter NAS will attempt to apply all the attributes supplied in the AA message to the session.
COA-RequestまたはAccess-Acceptメッセージに含まれる属性は、直径が必須であると見なされます。サポートできない場合は、「サポートされていない属性」のエラー原因となって、RADIUSサーバーにエラーメッセージを返す必要があります。直径NASは、AAメッセージに提供されたすべての属性をセッションに適用しようとします。
A RADIUS Disconnect-Request message received by the gateway would be translated to a Diameter Abort-Session-Request (ASR) message [BASE]. The results will be returned by the Diameter client in an Abort- Session-Answer (ASA) message. A success indication would translate to a RADIUS Disconnect-ACK, and a failure would generate a Disconnect-NAK.
ゲートウェイによって受信された半径の切断リケストメッセージは、直径中止セッションレクエスト(ASR)メッセージ[ベース]に翻訳されます。結果は、Abort-Session-Answer(ASA)メッセージでDiameterクライアントによって返されます。成功の兆候は、半径の切断済みに変換され、障害は切断されたものを生成します。
When a server receives a Diameter request to be forwarded to a RADIUS entity, the following are examples of the steps that may be taken:
サーバーがRADIUSエンティティに転送される直径リクエストを受信した場合、以下は取られる手順の例です。
- The Origin-Host AVP's value is inserted into the NAS-Identifier attribute.
- Origin-Host AVPの値は、NAS IDENTIFIER属性に挿入されます。
- The following information MUST be present in the corresponding Diameter response and therefore MUST be saved, either in a local state table or encoded in a RADIUS Proxy-State attribute:
- 以下の情報は、対応する直径応答に存在する必要があるため、ローカルステートテーブルに保存するか、半径プロキシ状態属性でエンコードする必要があります。
1. Origin-Host AVP 2. Session-Id AVP 3. Proxy-Info AVP 4. Any other AVP that MUST be present in the response and has no corresponding RADIUS attribute.
1. Origin-Host AVP 2. Session-ID AVP 3. Proxy-INFO AVP 4.応答に存在する必要があり、対応する半径属性がない他のAVP。
- If the CHAP-Auth AVP is present, the grouped AVPs are used to create the RADIUS CHAP-Password attribute data.
- Chap-Auth AVPが存在する場合、グループ化されたAVPを使用して、RADIUS Chap-Password属性データを作成します。
- If the User-Password AVP is present, the data should be encrypted and forwarded by using RADIUS rules. The same is true for any other RADIUS-encrypted attribute values.
- User-PassWord AVPが存在する場合、RADIUSルールを使用してデータを暗号化および転送する必要があります。同じことが、他の半径暗号化された属性値にも当てはまります。
- AVPs of the type Address must be translated to the corresponding RADIUS attribute.
- タイプアドレスのAVPは、対応する半径属性に翻訳する必要があります。
- If the Accounting-Input-Octets, Accounting-Input-Packets, Accounting-Output-Octets, or Accounting-Output-Packets AVPs are present, they must be translated to the corresponding RADIUS attributes. If the value of the Diameter AVPs do not fit within a 32-bit RADIUS attribute, the RADIUS Acct-Input-Gigawords and Acct-Output-Gigawords must be used.
- 会計入力オクテット、会計入力パケット、会計出力オクテット、または会計出力パケットAVPが存在する場合、対応する半径属性に翻訳する必要があります。直径AVPの値が32ビット半径属性内に収まらない場合、半径ACCT入力ギゴードとACCT-Output-Gigawordsを使用する必要があります。
- If the RADIUS link supports the Message-Authenticator attribute [RADIUSExt], it SHOULD be generated and added to the request.
- RADIUSリンクがメッセージAuthenticator属性[Radiusext]をサポートする場合、それを生成してリクエストに追加する必要があります。
When the corresponding response is received by the Translation Agent, which is guaranteed in the RADIUS protocol, the following steps may be taken:
RADIUSプロトコルで保証されている翻訳エージェントによって対応する応答が受信される場合、次の手順を実行できます。
- If the RADIUS code is set to Access-Challenge, a Diameter AA-Answer message is created with the Result-Code set to DIAMETER_MULTI_ROUND_AUTH. If the Session-Timeout AVP is present in the RADIUS message, its value is inserted into the Multi-Round-Time-Out AVP.
- RADIUSコードがアクセスチャレンジに設定されている場合、diameter_multi_round_authに設定された結果コードを使用して、直径AA-annwerメッセージが作成されます。RADIUSメッセージにセッションタイムアウトAVPが存在する場合、その値はマルチラウンドタイムアウトAVPに挿入されます。
- If a Proxy-State attribute is present, extract the encoded information; otherwise, retrieve the original Proxy-Info AVP group information from the local state table.
- プロキシステート属性が存在する場合は、エンコードされた情報を抽出します。それ以外の場合は、地方の州のテーブルから元のプロキシINFO AVPグループ情報を取得します。
- The response's Origin-Host information is created from the FQDN of the RADIUS message's source IP address. The same FQDN is also stored to a Route-Record AVP.
- ResponseのOrigin-Host情報は、RADIUSメッセージのソースIPアドレスのFQDNから作成されます。同じFQDNもルートレコードAVPに保存されます。
- The response's Destination-Host AVP is copied from the saved request's Origin-Host information.
- 応答の宛先ホストAVPは、保存されたリクエストのオリジンホスト情報からコピーされます。
- The Session-Id information can be recovered from local state, or from the constructed State or Proxy-State attribute, as above.
- セッションID情報は、上記のように、地方の状態、または構築された状態またはプロキシ状態の属性から回収できます。
- If a Proxy-Info AVP was present in the request, the same AVP MUST be added to the response.
- リクエストにプロキシINFO AVPが存在した場合、同じAVPを応答に追加する必要があります。
- If the RADIUS State attributes are present, they must be present in the Diameter response, minus those added by the gateway.
- 半径状態の属性が存在する場合、ゲートウェイによって追加されたものを差し引いた属性に存在する必要があります。
- Any other AVPs that were saved at request time, and that MUST be present in the response, are added to the message.
- リクエスト時に保存され、応答に存在する必要がある他のAVPは、メッセージに追加されます。
When translating a RADIUS Access-Accept to Diameter AA-Answer that contains a Session-Timeout attribute, do the following:
Radius Access-Acceptをセッション時間の属性を含む直径AA-Answerに翻訳する場合、以下を実行します。
- If the RADIUS message contains a Session-Timeout attribute and a Termination-Action attribute set to DEFAULT (or no Termination-Action attribute at all), translate it to AA-Answer with a Session-Timeout AVP and remove the Termination-Action attribute.
- RADIUSメッセージにセッション時間アウト属性とデフォルトに設定された終端 - アクション属性が含まれている場合(または終了属性属性がまったくない)、セッションタイムアウトAVPを使用してAA-Answerに変換し、終端 - アクション属性を削除します。
- If the RADIUS message contains a Session-Timeout attribute and a Termination-Action attribute set to AA-REQUEST, translate it to AA-Answer with Authorization-Lifetime AVP and with Re-Auth-Request-Type set to AUTHORIZE_AUTHENTICATE and remove the Session-Timeout attribute.
- RADIUSメッセージにAA-Requestに設定されたセッションタイムアウト属性と終端アクション属性が含まれている場合、AA-Answerに翻訳して、承認式AVPを使用して、authElize_authenticateを承認してセッションを削除するために設定されています。タイムアウト属性。
A RADIUS/Diameter gateway communicating with a RADIUS client that implements RADIUS Dynamic Authorization [RADDynAuth] may translate Diameter Re-Auth-Request (RAR) messages and Abort-Session-Request (ASR) messages [BASE] into RADIUS CoA-Request and Disconnect-Request messages respectively.
半径の動的認証を実装する半径/直径のゲートウェイは、直径の動的認証を実装することができます。 - それぞれ再リケストメッセージ。
If the RADIUS client does not support the capability, the gateway will receive an ICMP Port Unreachable indication when it transmits the RADIUS message. Even if the NAS supports [RADDynAuth], it may not support the Service-Type in the request message. In this case it will respond with a NAK message and (optionally) an Error-Cause attribute with value 405, "Unsupported Service". If the gateway encounters these error conditions, or if it does not support [RADDynAuth], it sends a Diameter Answer message with an Result-Code AVP of "DIAMETER_COMMAND_UNSUPPORTED" to the AAA server.
RADIUSクライアントが機能をサポートしていない場合、GatewayはRADIUSメッセージを送信するときにICMPポートの到達不可能な表示を受け取ります。NASが[Raddynauth]をサポートしていても、リクエストメッセージでサービスタイプをサポートしない場合があります。この場合、NAKメッセージと(オプションでは)値405「サポートされていないサービス」を持つエラー原因属性で応答します。Gatewayがこれらのエラー条件に遭遇した場合、または[Raddynauth]をサポートしていない場合、AAAサーバーに「Diameter_Command_unsupported」の結果コードAVPを使用して直径回答メッセージを送信します。
When encoding the RADIUS messages, the gateway MUST include the Diameter Session-ID in the RADIUS State attribute value, as mentioned above. The RADIUS client should return it in the response.
RADIUSメッセージをエンコードする場合、ゲートウェイには、上記のように、RADIUS状態属性値に直径セッションIDを含める必要があります。RADIUSクライアントは、応答でそれを返す必要があります。
A Diameter Re-Auth-Request (RAR) message [BASE] received by the gateway will be translated into a RADIUS CoA-Request and sent to the RADIUS client. The RADIUS client should respond with a CoA-ACK or CoA-NAK message, which the gateway should translate into a Re-Auth-Answer (RAA) message.
ゲートウェイによって受信された直径の再オーースレクエスト(RAR)メッセージ[ベース]は、RADIUS COA-Requestに翻訳され、RADIUSクライアントに送信されます。RADIUSクライアントは、COA-CACKまたはCOA-NAKメッセージで応答する必要があります。これは、ゲートウェイが再オーストアンスワー(RAA)メッセージに変換する必要があります。
If the gateway receives a RADIUS CoA-NAK response containing a Service-Type Attribute with value "Authorize Only" and an Error-Cause Attribute with value "Request Initiated", this indicates an extended exchange request per [RADDynAuth] section 3.2, note 6.
ゲートウェイが、値「Authorizeのみ」を備えたサービスタイプの属性を含むRADIUS COA-NAK応答と、[Raddynauth]セクション3.2ごとに延長された交換要求を示す値「authorizeのみ」と値「リクエスト」を持つエラー原因属性を受信した場合、注6。
The response is translated to a Diameter Re-Auth-Answer (RAA) with a Result-Code AVP of "DIAMETER_LIMITED_SUCCESS" sent to the AAA server.
応答は、AAAサーバーに送信された「diamet_limited_success」の結果コードAVPを使用して、直径の再オーストアンスワー(RAA)に変換されます。
Subsequently, the gateway should receive a RADIUS Access-Request from the NAS, with a Service-Type of "Authorize Only". This is translated into a Diameter AA-Request with an Auth-Request-Type AVP of AUTHORIZE_ONLY and sent to the AAA server. The AAA server will then reply with a Diameter AA-Answer, which is translated into a RADIUS Access-Accept or Access-Reject, depending on the value of the Result-Code AVP.
その後、Gatewayは、「Authorizeのみ」のサービスタイプを使用して、NASからRadius Access-Requestを受信する必要があります。これは、authorize_onlyの認証型AVPを備えた直径AA-Requestに翻訳され、AAAサーバーに送信されます。AAAサーバーは、結果コードAVPの値に応じて、直径AA-Answerで応答します。
A Diameter Abort-Session-Request (ASR) message [BASE] received by the gateway will be translated into a RADIUS Disconnect-Request and sent to the RADIUS client. The RADIUS client should respond with a Disconnect-ACK or Disconnect-NAK message, which the gateway should translate into an Abort-Session-Answer (ASA) message.
ゲートウェイによって受信された直径中断セッションレクエスト(ASR)メッセージ[ベース]は、RADIUS切断リケストに翻訳され、RADIUSクライアントに送信されます。RADIUSクライアントは、Gatewayが中止セッションアンスワー(ASA)メッセージに変換する必要がある切断または切断NAKメッセージで応答する必要があります。
If the gateway receives a RADIUS Disconnect-NAK response containing a Service-Type Attribute with value "Authorize Only" and an Error-Cause Attribute with value "Request Initiated", the Disconnect-NAK response is translated into a Diameter Abort-Session-Answer (ASA) with a Result-Code AVP of "DIAMETER_LIMITED_SUCCESS" sent to the AAA server.
ゲートウェイが、値「authorizeのみ」を備えたサービスタイプの属性を含む半径切断NAK応答を受信し、値「リクエストが開始された」とのエラー原因属性を含む場合、切断されたNAK応答は直径中断セッションアンスワーに変換されます(ASA)AAAサーバーに送信された「diame_limited_success」の結果コードAVPを使用します。
Subsequently, the gateway should receive a RADIUS Access-Request from the NAS, with a Service-Type of "Authorize Only". This is translated into a Diameter AA-Request with an Auth-Request-Type AVP of AUTHORIZE_ONLY and sent to the AAA server. The AAA server will then reply with a Diameter AA-Answer, which is translated into a RADIUS Access-Accept or Access-Reject, depending on the value of the Result-Code AVP.
その後、Gatewayは、「Authorizeのみ」のサービスタイプを使用して、NASからRadius Access-Requestを受信する必要があります。これは、authorize_onlyの認証型AVPを備えた直径AA-Requestに翻訳され、AAAサーバーに送信されます。AAAサーバーは、結果コードAVPの値に応じて、直径AA-Answerで応答します。
The AVPs defined in this section SHOULD only be used for backwards compatibility when a Diameter/RADIUS translation function is invoked and are not typically originated by Diameter systems during normal operations.
このセクションで定義されているAVPは、直径/半径の翻訳関数が呼び出され、通常は通常の動作中に直径システムによって発生しない場合にのみ、逆方向の互換性に使用する必要があります。
+---------------------+
| AVP Flag rules |
|----+-----+----+-----|----+
AVP Section | | |SHLD| MUST| |
Attribute Name Code Defined Value Type |MUST| MAY | NOT| NOT|Encr|
-----------------------------------------|----+-----+----+-----|----|
NAS-Identifier 32 9.3.1 UTF8String | M | P | | V | Y |
NAS-IP-Address 4 9.3.2 OctetString| M | P | | V | Y |
NAS-IPv6-Address 95 9.3.3 OctetString| M | P | | V | Y |
State 24 9.3.4 OctetString| M | P | | V | Y |
Termination- 295 9.3.5 Enumerated | M | P | | V | Y |
Cause | | | | | |
Origin-AAA- 408 9.3.6 Enumerated | M | P | | V | Y |
Protocol | | | | | |
-----------------------------------------|----+-----+----+-----|----|
The NAS-Identifier AVP (AVP Code 32) [RADIUS] is of type UTF8String and contains the identity of the NAS providing service to the user. This AVP SHOULD only be added by a RADIUS/Diameter Translation Agent. When this AVP is present, the Origin-Host AVP identifies the NAS providing service to the user.
NAS-IDENTIFIER AVP(AVPコード32)[RADIUS]は型UTF8STRINGであり、ユーザーにサービスを提供するNASのIDが含まれています。このAVPは、半径/直径翻訳剤によってのみ追加する必要があります。このAVPが存在する場合、Origin-Host AVPは、ユーザーにサービスを提供するNASを識別します。
In RADIUS it would be possible for a rogue NAS to forge the NAS-Identifier attribute. Diameter/RADIUS translation agents SHOULD attempt to check a received NAS-Identifier attribute against the source address of the RADIUS packet, by doing an A/AAAA RR query. If the NAS-Identifier attribute contains an FQDN, then such a query would resolve to an IP address matching the source address. However, the NAS-Identifier attribute is not required to contain an FQDN, so such a query could fail. If it fails, an error should be logged, but no action should be taken, other than a reverse lookup on the source address and insert the resulting FQDN into the Route-Record AVP.
半径では、ローグNASがNAS-IDENTIFIER属性を偽造することが可能です。直径/半径翻訳剤は、A/AAAA RRクエリを実行して、RADIUSパケットのソースアドレスに対して受信したNAS-IDENTIFIER属性を確認しようとする必要があります。NAS IDENTIFIER属性にFQDNが含まれている場合、そのようなクエリはソースアドレスに一致するIPアドレスに解決します。ただし、NAS-IDEN-IDENTIFIER属性はFQDNを封じ込める必要はないため、そのようなクエリが失敗する可能性があります。失敗した場合は、エラーを記録する必要がありますが、ソースアドレスの逆検索と結果のFQDNをルートレコードAVPに挿入する以外に、アクションを実行する必要はありません。
Diameter agents and servers SHOULD check whether a NAS-Identifier AVP corresponds to an entry in the Route-Record AVP. If no match is found, then an error is logged, but no other action is taken.
直径エージェントとサーバーは、NAS-IDENTIFIER AVPがルートレコードAVPのエントリに対応するかどうかを確認する必要があります。一致が見つからない場合、エラーが記録されますが、他のアクションは実行されません。
The NAS-IP-Address AVP (AVP Code 4) [RADIUS] is of type OctetString and contains the IP Address of the NAS providing service to the user. This AVP SHOULD only be added by a RADIUS/Diameter Translation Agent. When this AVP is present, the Origin-Host AVP identifies the NAS providing service to the user.
NAS-IP-Address AVP(AVPコード4)[RADIUS]はタイプのオクテットストリングであり、ユーザーにサービスを提供するNASのIPアドレスが含まれています。このAVPは、半径/直径翻訳剤によってのみ追加する必要があります。このAVPが存在する場合、Origin-Host AVPは、ユーザーにサービスを提供するNASを識別します。
In RADIUS it would be possible for a rogue NAS to forge the NAS-IP-Address attribute value. Diameter/RADIUS translation agents MUST check a received NAS-IP-Address or NAS-IPv6-Address attribute against the source address of the RADIUS packet. If they do not match and the Diameter/RADIUS translation agent does not know whether the packet was sent by a RADIUS proxy or NAS (e.g., no Proxy-State attribute), then by default it is assumed that the source address corresponds to a RADIUS proxy, and that the NAS Address is behind that proxy, potentially with some additional RADIUS proxies in between. The Diameter/RADIUS translation agent MUST insert entries in the Route-Record AVP corresponding to the apparent route. This implies doing a reverse lookup on the source address and NAS-IP-Address or NAS-IPv6-Address attributes to determine the corresponding FQDNs.
半径では、ローグNASがNAS-IP-Address属性値を偽造することが可能です。直径/半径翻訳剤は、RADIUSパケットのソースアドレスに対して、受信したNAS-IP-AddressまたはNAS-IPV6-Address属性を確認する必要があります。それらが一致せず、直径/半径翻訳エージェントがラジウスプロキシまたはNASによって送信されたかどうか(たとえば、プロキシステート属性なし)を知らない場合、デフォルトでは、ソースアドレスが半径に対応すると想定されますプロキシ、およびNASアドレスがそのプロキシの背後にあること、潜在的にいくつかの追加の半径プロキシがあります。直径/半径翻訳エージェントは、見かけのルートに対応するルート録音AVPにエントリを挿入する必要があります。これは、対応するFQDNSを決定するために、ソースアドレスとNAS-IP-AddressまたはNAS-IPV6-Address属性を逆検索することを意味します。
If the source address and the NAS-IP-Address or NAS-IPv6-Address do not match, and the Diameter/RADIUS translation agent knows that it is talking directly to the NAS (e.g., there are no RADIUS proxies between it and the NAS), then the error should be logged, and the packet MUST be discarded.
ソースアドレスとNAS-IP-AddressまたはNAS-IPV6-Addressが一致しない場合、直径/半径翻訳剤がNASと直接話していることを知っている場合(たとえば、それとNASの間に半径のプロキシはありません)、エラーを記録する必要があり、パケットを破棄する必要があります。
Diameter agents and servers MUST check whether the NAS-IP-Address AVP corresponds to an entry in the Route-Record AVP. This is done by doing a reverse lookup (PTR RR) for the NAS-IP-Address to retrieve the corresponding FQDN, and by checking for a match with the Route- Record AVP. If no match is found, then an error is logged, but no other action is taken.
直径エージェントとサーバーは、NAS-IP-Address AVPがルート記録AVPのエントリに対応するかどうかを確認する必要があります。これは、NAS-IP-Addressを対応するFQDNを取得するためにリバースルックアップ(PTR RR)を実行し、ルートレコードAVPとの一致を確認することによって行われます。一致が見つからない場合、エラーが記録されますが、他のアクションは実行されません。
The NAS-IPv6-Address AVP (AVP Code 95) [RADIUSIPv6] is of type OctetString and contains the IPv6 Address of the NAS providing service to the user. This AVP SHOULD only be added by a RADIUS/Diameter Translation Agent. When this AVP is present, the Origin-Host AVP identifies the NAS providing service to the user.
NAS-IPv6-Address AVP(AVPコード95)[RADIUSIPV6]は、タイプのオクテットストリングであり、ユーザーにサービスを提供するNASのIPv6アドレスを含んでいます。このAVPは、半径/直径翻訳剤によってのみ追加する必要があります。このAVPが存在する場合、Origin-Host AVPは、ユーザーにサービスを提供するNASを識別します。
In RADIUS it would be possible for a rogue NAS to forge the NAS-IPv6-Address attribute. Diameter/RADIUS translation agents MUST check a received NAS-IPv6-Address attribute against the source address of the RADIUS packet. If they do not match and the Diameter/RADIUS translation agent does not know whether the packet was sent by a RADIUS proxy or NAS (e.g., no Proxy-State attribute), then by default it is assumed that the source address corresponds to a RADIUS proxy, and that the NAS-IPv6-Address is behind that proxy, potentially with some additional RADIUS proxies in between. The Diameter/RADIUS translation agent MUST insert entries in the Route-Record AVP corresponding to the apparent route. This implies doing a reverse lookup on the source address and NAS-IPv6-Address attributes to determine the corresponding FQDNs.
半径では、ローグNASがNAS-IPV6-Address属性を偽造することが可能です。直径/半径翻訳剤は、RADIUSパケットのソースアドレスに対して受信したNAS-IPV6-Address属性を確認する必要があります。それらが一致せず、直径/半径翻訳エージェントがラジウスプロキシまたはNASによって送信されたかどうか(たとえば、プロキシステート属性なし)を知らない場合、デフォルトでは、ソースアドレスが半径に対応すると想定されますプロキシ、およびNAS-IPV6-アドレスがそのプロキシの背後にあり、その間にいくつかの追加の半径プロキシがある可能性があります。直径/半径翻訳エージェントは、見かけのルートに対応するルート録音AVPにエントリを挿入する必要があります。これは、ソースアドレスとNAS-IPv6-Address属性を逆検索して対応するFQDNを決定することを意味します。
If the source address and the NAS-IPv6-Address do not match, and the Diameter/RADIUS translation agent knows that it is talking directly to the NAS (e.g., there are no RADIUS proxies between it and the NAS), then the error should be logged, and the packet MUST be discarded.
ソースアドレスとNAS-IPV6-アドレスが一致しない場合、直径/半径翻訳エージェントがNASと直接話していることを知っている場合(たとえば、それとNASの間に半径のプロキシはありません)、エラーはエラーが必要です記録すると、パケットを破棄する必要があります。
Diameter agents and servers MUST check whether the NAS-IPv6-Address AVP corresponds to an entry in the Route-Record AVP. This is done by doing a reverse lookup (PTR RR) for the NAS-IPv6-Address to retrieve the corresponding FQDN, and by checking for a match with the Record-Route AVP. If no match is found, then an error is logged, but no other action is taken.
直径エージェントとサーバーは、NAS-IPV6-Address AVPがルートレコードAVPのエントリに対応するかどうかを確認する必要があります。これは、NAS-IPV6-Addressの逆ルックアップ(PTR RR)を実行して対応するFQDNを取得すること、およびRecord-Route AVPとの一致を確認することによって行われます。一致が見つからない場合、エラーが記録されますが、他のアクションは実行されません。
The State AVP (AVP Code 24) [RADIUS] is of type OctetString and has two uses in the Diameter NAS application.
状態AVP(AVPコード24)[RADIUS]はタイプオクテットストリングで、直径NASアプリケーションに2つの用途があります。
The State AVP MAY be sent by a Diameter Server to a NAS in an AA-Response command that contains a Result-Code of DIAMETER_MULTI_ROUND_AUTH. If so, the NAS MUST return it unmodified in the subsequent AA-Request command.
状態AVPは、diameter_multi_round_authの結果コードを含むAA-Responseコマンドで、直径サーバーによってNASに送信される場合があります。もしそうなら、NASは、後続のAA-Requestコマンドで変更されていないことを返さなければなりません。
The State AVP MAY also be sent by a Diameter Server to a NAS in an AA-Response command that also includes a Termination-Action AVP with the value of AA-REQUEST. If the NAS performs the Termination-Action by sending a new AA-Request command upon termination of the current service, it MUST return the State AVP unmodified in the new request command.
状態AVPは、AA-Requestの値を持つ終端アクションAVPも含むAA-Responseコマンドで直径サーバーによってNASに送信される場合があります。NASが現在のサービスの終了時に新しいAA-Requestコマンドを送信して終了アクションを実行する場合、新しいリクエストコマンドでAVPを変更していない状態を返す必要があります。
In either usage, the NAS MUST NOT interpret the AVP locally. Usage of the State AVP is implementation dependent.
どちらの使用法でも、NASはAVPをローカルで解釈してはなりません。状態AVPの使用は実装に依存します。
This section defines a mapping between Termination-Cause AVP code values and RADIUS Acct-Terminate-Cause attribute code values from RFC 2866 [RADIUSAcct] and [RADIUSTypes], thereby allowing a RADIUS/Diameter Translation Agent to convert between the attribute and AVP values. This section thus extends the definitions in the "Termination-Cause AVP" section of the Base Diameter specification.
このセクションでは、RFC 2866 [RadiusACCT]および[Radiustypes]からの終端原因AVPコード値とRADIUS ACCTターミネート属性コード値のマッピングを定義します。したがって、このセクションでは、基本直径の仕様の「終端原因AVP」セクションの定義を拡張します。
The table in this section defines the mapping between Termination-Cause AVP and RADIUS Acct-Terminate-Cause causes.
このセクションの表は、AVPと半径のACCT末端原因の間のマッピングを定義します。
+-----------------------+
| Value |
+-----------+-----------+
Cause Value Name | RADIUS | Diameter |
------------------------------|-----------+-----------+
User Request | 1 | 11 |
Lost Carrier | 2 | 12 |
Lost Service | 3 | 13 |
Idle Timeout | 4 | 14 |
Session Timeout | 5 | 15 |
Admin Reset | 6 | 16 |
Admin Reboot | 7 | 17 |
Port Error | 8 | 18 |
NAS Error | 9 | 19 |
NAS Request | 10 | 20 |
NAS Reboot | 11 | 21 |
Port Unneeded | 12 | 22 |
Port Preempted | 13 | 23 |
Port Suspended | 14 | 24 |
Service Unavailable | 15 | 25 |
Callback | 16 | 26 |
User Error | 17 | 27 |
Host Request | 18 | 28 |
Supplicant Restart | 19 | 29 | [RAD802.1X]
Reauthentication Failure | 20 | 30 | [RAD802.1X]
Port Reinit | 21 | 31 | [RAD802.1X]
Port Disabled | 22 | 32 | [RAD802.1X]
------------------------------|-----------+-----------+
From RFC 2866, the termination causes are as follows:
RFC 2866から、終了の原因は次のとおりです。
User Request User requested termination of service, for example with LCP Terminate or by logging out.
ユーザーリクエストユーザーは、LCPが終了したり、ログアウトしたりするなど、サービスの終了を要求しました。
Lost Carrier DCD was dropped on the port.
紛失したキャリアDCDはポートにドロップされました。
Lost Service Service can no longer be provided; for example, user's connection to a host was interrupted.
失われたサービスサービスはもはや提供できません。たとえば、ユーザーのホストへの接続が中断されました。
Idle Timeout Idle timer expired.
アイドルタイムアウトアイドルタイマーの有効期限が切れました。
Session Timeout Maximum session length timer expired.
セッションタイムアウト最大セッション長タイマーの有効期限が切れました。
Admin Reset Administrator reset the port or session.
管理者リセット管理者はポートまたはセッションをリセットします。
Admin Reboot Administrator is ending service on the NAS, for example, prior to rebooting the NAS.
管理者の再起動管理者は、たとえばNASを再起動する前に、NASでサービスを終了しています。
Port Error NAS detected an error on the port that required ending the session.
ポートエラーNASは、セッションを終了する必要があるポートのエラーを検出しました。
NAS Error NAS detected an error (other than on the port) that required ending the session.
NASエラーNASは、セッションを終了する必要があるエラー(ポート以外)を検出しました。
NAS Request NAS ended the session for a non-error reason not otherwise listed here.
NASリクエストNASは、ここに別の方法でリストされていない誤差の理由でセッションを終了しました。
NAS Reboot NAS ended the session to reboot non-administratively ("crash").
NASの再起動NASはセッションを終了して、非投与とともに再起動しました(「クラッシュ」)。
Port Unneeded NAS ended the session because resource usage fell below a low-water mark (for example, if a bandwidth-on-demand algorithm decided that the port was no longer needed).
ポートの不要なNASは、リソースの使用量が低水マークを下回ったためセッションを終了しました(たとえば、帯域幅オンデマンドアルゴリズムがポートが不要であると判断した場合)。
Port Preempted NAS ended the session to allocate the port to a higher priority use.
ポートが先制したNASはセッションを終了し、ポートをより高い優先順位を割り当てました。
Port Suspended NAS ended the session to suspend a virtual session.
ポートサスペンドNASは、仮想セッションを一時停止するためにセッションを終了しました。
Service Unavailable NAS was unable to provide requested service.
サービスの利用できないNASは、要求されたサービスを提供することができませんでした。
Callback NAS is terminating the current session to perform callback for a new session.
コールバックNASは、新しいセッションのコールバックを実行するために現在のセッションを終了しています。
User Error Input from user is in error, causing session termination.
ユーザーからのユーザーエラー入力はエラーであり、セッション終了を引き起こします。
Host Request Login Host terminated session normally.
ホスト要求ログインホスト終了セッションの正常に。
The Origin-AAA-Protocol AVP (AVP Code 408) is of the type Enumerated and should be inserted in a Diameter message translated by a gateway system from another AAA protocol, such as RADIUS. It identifies the source protocol of the message to the Diameter system receiving the message.
Origin-AAA-Protocol AVP(AVPコード408)は列挙されたタイプのものであり、RADIUSなどの別のAAAプロトコルからゲートウェイシステムによって翻訳された直径メッセージに挿入する必要があります。メッセージを受信する直径システムへのメッセージのソースプロトコルを識別します。
The supported values are:
サポートされている値は次のとおりです。
1 RADIUS
半径1
The following RADIUS attributes MUST NOT appear in a Diameter message. Instead, they are translated to other Diameter AVPs or handled in some special manner. The rules for the treatment of the attributes are discussed in sections 9.1, 9.2, and 9.6.
次のRADIUS属性は、直径メッセージに表示されてはなりません。代わりに、それらは他の直径AVPに翻訳されるか、特別な方法で処理されます。属性の処理に関する規則については、セクション9.1、9.2、および9.6で説明します。
Attribute Description Defined Nearest Diameter AVP
-----------------------------------------------------------------
3 CHAP-Password RFC 2865 CHAP-Auth Group
26 Vendor-Specific RFC 2865 Vendor Specific AVP
29 Termination-Action RFC 2865 Authorization-Lifetime
40 Acct-Status-Type RFC 2866 Accounting-Record-Type
42 Acct-Input-Octets RFC 2866 Accounting-Input-Octets
43 Acct-Output-Octets RFC 2866 Accounting-Output-Octets
47 Acct-Input-Packets RFC 2866 Accounting-Input-Packets
48 Acct-Output-Packets RFC 2866 Accounting-Output-Packets
49 Acct-Terminate-Cause RFC 2866 Termination-Cause
52 Acct-Input-Gigawords RFC 2869 Accounting-Input-Octets
53 Acct-Output-Gigawords RFC 2869 Accounting-Output-Octets
80 Message-Authenticator RFC 2869 none - check and discard
In general, Diameter AVPs that are not RADIUS compatible have code values greater than 255. The table in the section above shows the AVPs that can be converted into RADIUS attributes.
一般に、RADIUS互換ではない直径AVPは、255を超えるコード値を持っています。上記のセクションの表は、RADIUS属性に変換できるAVPを示しています。
Another problem may occur with Diameter AVP values that may be more than 253 octets in length. Some RADIUS attributes (including but not limited to (8)Reply-Message, (79)EAP-Message, and (77)Connect-Info) allow concatenation of multiple instances to overcome this limitation. If this is not possible, a Result-Code of DIAMETER_INVALID_AVP_LENGTH should be returned.
直径のAVP値では、長さが253オクテットを超える可能性のある別の問題が発生する可能性があります。一部の半径属性((8)の応答メッセージ、(79)EAPメッセージ、および(77)Connect-INFOを含むがこれらに限定されない)が、この制限を克服するために複数のインスタンスの連結を可能にします。これが不可能な場合は、diameter_invalid_avp_lengthの結果コードを返す必要があります。
RADIUS supports the inclusion of Vendor Specific Attributes (VSAs) through the use of attribute 26. The recommended format [RADIUS] of the attribute data field includes a 4 octet vendor code followed by a one octet vendor type field and a one octet length field. The last two fields MAY be repeated.
RADIUSは、属性26の使用を通じてベンダー固有の属性(VSA)を含めることをサポートします。属性データフィールドの推奨形式[RADIUS]には、1オクテットベンダータイプフィールドと1オクテットの長さフィールドが続きます。最後の2つのフィールドを繰り返すことができます。
A system communicating between Diameter and RADIUS MAY have specific knowledge of vendor formats, and MAY be able to translate between the two formats. However, given the deployment of many RADIUS vendor formats that do not follow the example format in RFC 2865 [RADIUS], (e.g., those that use a longer vendor type code) the translations in the next two sections will not work in general for those VSAs. RFC 2865 states that a robust implementation SHOULD support the field as undistinguished octets.
直径と半径の間で通信するシステムは、ベンダー形式の特定の知識を持ち、2つの形式間で翻訳できる場合があります。ただし、RFC 2865 [RADIUS]の例の形式に従わない多くのRADIUSベンダー形式の展開を考えると(例:ベンダータイプコードを使用するものなど)、次の2つのセクションの翻訳は一般的に機能しません。VSAS。RFC 2865は、堅牢な実装は、フィールドを不具合のないオクテットとしてサポートする必要があると述べています。
Systems that don't have vendor format knowledge MAY discard such attributes without knowing a suitable translation. An alternative format is under consideration [VSA], which proposes encodings that would preserve the native information and not require vendor knowledge in the gateway system.
ベンダー形式の知識を持たないシステムは、適切な翻訳を知らずにそのような属性を破棄する場合があります。代替形式が検討中であり、[VSA]は、ネイティブ情報を保持し、ゲートウェイシステムのベンダーの知識を必要としないエンコーディングを提案しています。
The following sections are an example for translating RADIUS VSAs that use the example RADIUS format, and Diameter VSAs that have type codes less than 255, and value field lengths less than 252.
次のセクションは、半径の例を使用する半径VSAを翻訳し、255未満のタイプコードを持つ直径VSAを翻訳し、252未満の値フィールドの長さを翻訳する例です。
For Type codes less than 255, the value field length MUST be less than 252 or the AVP will be discarded. The RADIUS VSA attribute should consist of the following fields;
255未満のタイプコードの場合、値フィールドの長さは252未満であるか、AVPが破棄される必要があります。RADIUS VSA属性は、次のフィールドで構成する必要があります。
RADIUS Type = 26, Vendor Specific Attribute RADIUS Length = total length of attribute (header + data) RADIUS Vendor code = Diameter Vendor code RADIUS Vendor type code = low order byte of Diameter AVP code RADIUS Vendor data length = length of Diameter data
半径タイプ= 26、ベンダー固有の属性半径=属性の合計長さ(ヘッダーデータ)半径ベンダーコード=直径ベンダーコード半径ベンダータイプコード=直径の低いバイトAVPコード半径ベンダーデータ長さ
If the Diameter AVP code is greater than 255, then the RADIUS speaking code may use a Vendor specific field coding, if it knows one for that vendor. Otherwise, the AVP will be ignored. If it is flagged as Mandatory, a "DIAMETER_AVP_UNSUPPORTED" Result-Code will be returned, and the RADIUS message will not be sent.
直径AVPコードが255を超えている場合、RADIUSスピーキングコードは、そのベンダーを知っている場合、ベンダー固有のフィールドコーディングを使用する場合があります。それ以外の場合、AVPは無視されます。必須であるとフラグが付けられている場合、「diameter_avp_unsupported」結果コードが返され、半径メッセージは送信されません。
The Diameter AVP will consist of the following fields:
直径AVPは、次のフィールドで構成されます。
Diameter Flags: V=1, M=0, P=0
Diameter Vendor code = RADIUS VSA Vendor code
Diameter AVP code = RADIUS VSA Vendor type code
Diameter AVP length = length of AVP (header + data)
Diameter Data = RADIUS VSA vendor data
Note that the VSAs are considered optional by RADIUS rules, and this specification does not set the Mandatory flag. If an implementor desires a VSA be made mandatory because it represents a required service policy, the RADIUS gateway should have a process to set the bit on the Diameter side.
VSAはRADIUSルールによってオプションと見なされており、この仕様は必須フラグを設定していないことに注意してください。実装者が必要なサービスポリシーを表すためにVSAを必須にする必要がある場合、RADIUSゲートウェイには、直径側にビットを設定するプロセスが必要です。
If the RADIUS receiving code knows of vendor specific field interpretations for the specific vendor, it may employ them to parse an extended AVP code or data length. Otherwise the recommended standard fields will be used.
RADIUS受信コードが特定のベンダーのベンダー固有のフィールド解釈を知っている場合、拡張されたAVPコードまたはデータの長さを解析するためにそれらを使用する場合があります。それ以外の場合は、推奨される標準フィールドが使用されます。
Nested Multiple vendor data fields MUST be expanded into multiple Diameter AVPs.
ネストされた複数のベンダーデータフィールドは、複数の直径AVPに拡張する必要があります。
The following tables present the AVPs used by NAS applications in NAS messages and specify in which Diameter messages they MAY or MAY NOT be present. [BASE] messages and AVPs are not described in this document. Note that AVPs that can only be present within a Grouped AVP are not represented in this table.
次のテーブルは、NASアプリケーションで使用されているAVPをNASメッセージで提示し、存在する場合と存在しない直径メッセージを指定します。[ベース]メッセージとAVPは、このドキュメントでは説明されていません。グループ化されたAVP内にのみ存在できるAVPは、この表には表されないことに注意してください。
The table uses the following symbols:
テーブルは次のシンボルを使用しています。
0 The AVP MUST NOT be present in the message. 0+ Zero or more instances of the AVP MAY be present in the message. 0-1 Zero or one instance of the AVP MAY be present in the message. 1 One instance of the AVP MUST be present in the message.
0 AVPがメッセージに存在してはなりません。AVPの0ゼロ以上のインスタンスがメッセージに存在する場合があります。AVPの0-1インスタンスまたは1つのインスタンスがメッセージに存在する場合があります。1 AVPの1つのインスタンスがメッセージに存在する必要があります。
The table in this section is limited to the Command Codes defined in this specification.
このセクションの表は、この仕様で定義されているコマンドコードに限定されています。
+-----------+
| Command |
|-----+-----+
Attribute Name | AAR | AAA |
------------------------------|-----+-----+
Acct-Interim-Interval | 0 | 0-1 |
ARAP-Challenge-Response | 0 | 0-1 |
ARAP-Features | 0 | 0-1 |
ARAP-Password | 0-1 | 0 |
ARAP-Security | 0-1 | 0-1 |
ARAP-Security-Data | 0+ | 0+ |
ARAP-Zone-Access | 0 | 0-1 |
Auth-Application-Id | 1 | 1 |
Auth-Grace-Period | 0-1 | 0-1 |
Auth-Request-Type | 1 | 1 |
Auth-Session-State | 0-1 | 0-1 |
Authorization-Lifetime | 0-1 | 0-1 |
------------------------------|-----+-----+
+-----------+
| Command |
|-----+-----+
Attribute Name | AAR | AAA |
------------------------------|-----+-----+
Callback-Id | 0 | 0-1 |
Callback-Number | 0-1 | 0-1 |
Called-Station-Id | 0-1 | 0 |
Calling-Station-Id | 0-1 | 0 |
CHAP-Auth | 0-1 | 0 |
CHAP-Challenge | 0-1 | 0 |
Class | 0 | 0+ |
Configuration-Token | 0 | 0+ |
Connect-Info | 0+ | 0 |
Destination-Host | 0-1 | 0 |
Destination-Realm | 1 | 0 |
Error-Message | 0 | 0-1 |
Error-Reporting-Host | 0 | 0-1 |
Failed-AVP | 0+ | 0+ |
Filter-Id | 0 | 0+ |
Framed-Appletalk-Link | 0 | 0-1 |
Framed-Appletalk-Network | 0 | 0+ |
Framed-Appletalk-Zone | 0 | 0-1 |
Framed-Compression | 0+ | 0+ |
Framed-Interface-Id | 0-1 | 0-1 |
Framed-IP-Address | 0-1 | 0-1 |
Framed-IP-Netmask | 0-1 | 0-1 |
Framed-IPv6-Prefix | 0+ | 0+ |
Framed-IPv6-Pool | 0 | 0-1 |
Framed-IPv6-Route | 0 | 0+ |
Framed-IPX-Network | 0 | 0-1 |
Framed-MTU | 0-1 | 0-1 |
Framed-Pool | 0 | 0-1 |
Framed-Protocol | 0-1 | 0-1 |
Framed-Route | 0 | 0+ |
Framed-Routing | 0 | 0-1 |
Idle-Timeout | 0 | 0-1 |
Login-IP-Host | 0+ | 0+ |
Login-IPv6-Host | 0+ | 0+ |
Login-LAT-Group | 0-1 | 0-1 |
Login-LAT-Node | 0-1 | 0-1 |
Login-LAT-Port | 0-1 | 0-1 |
Login-LAT-Service | 0-1 | 0-1 |
Login-Service | 0 | 0-1 |
Login-TCP-Port | 0 | 0-1 |
Multi-Round-Time-Out | 0 | 0-1 |
------------------------------|-----+-----+
+-----------+
| Command |
|-----+-----+
Attribute Name | AAR | AAA |
------------------------------|-----+-----+
NAS-Filter-Rule | 0 | 0+ |
NAS-Identifier | 0-1 | 0 |
NAS-IP-Address | 0-1 | 0 |
NAS-IPv6-Address | 0-1 | 0 |
NAS-Port | 0-1 | 0 |
NAS-Port-Id | 0-1 | 0 |
NAS-Port-Type | 0-1 | 0 |
Origin-AAA-Protocol | 0-1 | 0-1 |
Origin-Host | 1 | 1 |
Origin-Realm | 1 | 1 |
Origin-State-Id | 0-1 | 0-1 |
Originating-Line-Info | 0-1 | 0 |
Password-Retry | 0 | 0-1 |
Port-Limit | 0-1 | 0-1 |
Prompt | 0 | 0-1 |
Proxy-Info | 0+ | 0+ |
QoS-Filter-Rule | 0 | 0+ |
Re-Auth-Request-Type | 0 | 0-1 |
Redirect-Host | 0 | 0+ |
Redirect-Host-Usage | 0 | 0-1 |
Redirect-Max-Cache-Time | 0 | 0-1 |
Reply-Message | 0 | 0+ |
Result-Code | 0 | 1 |
Route-Record | 0+ | 0+ |
Service-Type | 0-1 | 0-1 |
Session-Id | 1 | 1 |
Session-Timeout | 0 | 0-1 |
State | 0-1 | 0-1 |
Tunneling | 0+ | 0+ |
User-Name | 0-1 | 0-1 |
User-Password | 0-1 | 0 |
------------------------------|-----+-----+
The tables in this section are used to show which AVPs defined in this document are to be present and used in NAS application Accounting messages. These AVPs are defined in this document, as well as in [BASE] and [RADIUSAcct].
このセクションの表は、このドキュメントで定義されているAVPが存在し、NASアプリケーションアカウンティングメッセージに使用されることを示すために使用されます。これらのAVPは、このドキュメントと[base]および[radiusacct]で定義されています。
The table in this section is used when the Service-Type specifies Framed Access.
このセクションの表は、サービスタイプがフレーム付きアクセスを指定するときに使用されます。
+-----------+
| Command |
|-----+-----+
Attribute Name | ACR | ACA |
---------------------------------------|-----+-----+
Accounting-Auth-Method | 0-1 | 0 |
Accounting-Input-Octets | 1 | 0 |
Accounting-Input-Packets | 1 | 0 |
Accounting-Output-Octets | 1 | 0 |
Accounting-Output-Packets | 1 | 0 |
Accounting-Record-Number | 0-1 | 0-1 |
Accounting-Record-Type | 1 | 1 |
Accounting-Realtime-Required | 0-1 | 0-1 |
Accounting-Sub-Session-Id | 0-1 | 0-1 |
Acct-Application-Id | 0-1 | 0-1 |
Acct-Session-Id | 1 | 0-1 |
Acct-Multi-Session-Id | 0-1 | 0-1 |
Acct-Authentic | 1 | 0 |
Acct-Delay-Time | 0-1 | 0 |
Acct-Interim-Interval | 0-1 | 0-1 |
Acct-Link-Count | 0-1 | 0 |
Acct-Session-Time | 1 | 0 |
Acct-Tunnel-Connection | 0-1 | 0 |
Acct-Tunnel-Packets-Lost | 0-1 | 0 |
Authorization-Lifetime | 0-1 | 0 |
Callback-Id | 0-1 | 0 |
Callback-Number | 0-1 | 0 |
Called-Station-Id | 0-1 | 0 |
Calling-Station-Id | 0-1 | 0 |
Class | 0+ | 0+ |
Connection-Info | 0+ | 0 |
Destination-Host | 0-1 | 0 |
Destination-Realm | 1 | 0 |
Event-Timestamp | 0-1 | 0-1 |
Error-Message | 0 | 0-1 |
Error-Reporting-Host | 0 | 0-1 |
Failed-AVP | 0 | 0+ |
---------------------------------------|-----+-----+
+-----------+
| Command |
|-----+-----+
Attribute Name | ACR | ACA |
---------------------------------------|-----+-----+
Framed-AppleTalk-Link | 0-1 | 0 |
Framed-AppleTalk-Network | 0-1 | 0 |
Framed-AppleTalk-Zone | 0-1 | 0 |
Framed-Compression | 0-1 | 0 |
Framed-IP-Address | 0-1 | 0 |
Framed-IP-Netmask | 0-1 | 0 |
Framed-IPv6-Prefix | 0+ | 0 |
Framed-IPv6-Pool | 0-1 | 0 |
Framed-IPX-Network | 0-1 | 0 |
Framed-MTU | 0-1 | 0 |
Framed-Pool | 0-1 | 0 |
Framed-Protocol | 0-1 | 0 |
Framed-Route | 0-1 | 0 |
Framed-Routing | 0-1 | 0 |
NAS-Filter-Rule | 0+ | 0 |
NAS-Identifier | 0-1 | 0-1 |
NAS-IP-Address | 0-1 | 0-1 |
NAS-IPv6-Address | 0-1 | 0-1 |
NAS-Port | 0-1 | 0-1 |
NAS-Port-Id | 0-1 | 0-1 |
NAS-Port-Type | 0-1 | 0-1 |
Origin-AAA-Protocol | 0-1 | 0-1 |
Origin-Host | 1 | 1 |
Origin-Realm | 1 | 1 |
Origin-State-Id | 0-1 | 0-1 |
Originating-Line-Info | 0-1 | 0 |
Proxy-Info | 0+ | 0+ |
QoS-Filter-Rule | 0+ | 0 |
Route-Record | 0+ | 0+ |
Result-Code | 0 | 1 |
Service-Type | 0-1 | 0-1 |
Session-Id | 1 | 1 |
Termination-Cause | 0-1 | 0-1 |
Tunnel-Assignment-Id | 0-1 | 0 |
Tunnel-Client-Endpoint | 0-1 | 0 |
Tunnel-Medium-Type | 0-1 | 0 |
Tunnel-Private-Group-Id | 0-1 | 0 |
Tunnel-Server-Endpoint | 0-1 | 0 |
Tunnel-Type | 0-1 | 0 |
User-Name | 0-1 | 0-1 |
Vendor-Specific-Application-Id | 0-1 | 0-1 |
---------------------------------------|-----+-----+
The table in this section is used when the Service-Type specifies Non-Framed Access.
このセクションの表は、サービスタイプが非フレームのアクセスを指定するときに使用されます。
+-----------+
| Command |
|-----+-----+
Attribute Name | ACR | ACA |
---------------------------------------|-----+-----+
Accounting-Auth-Method | 0-1 | 0 |
Accounting-Input-Octets | 1 | 0 |
Accounting-Output-Octets | 1 | 0 |
Accounting-Record-Type | 1 | 1 |
Accounting-Record-Number | 0-1 | 0-1 |
Accounting-Realtime-Required | 0-1 | 0-1 |
Accounting-Sub-Session-Id | 0-1 | 0-1 |
Acct-Application-Id | 0-1 | 0-1 |
Acct-Session-Id | 1 | 0-1 |
Acct-Multi-Session-Id | 0-1 | 0-1 |
Acct-Authentic | 1 | 0 |
Acct-Delay-Time | 0-1 | 0 |
Acct-Interim-Interval | 0-1 | 0-1 |
Acct-Link-Count | 0-1 | 0 |
Acct-Session-Time | 1 | 0 |
Authorization-Lifetime | 0-1 | 0 |
Callback-Id | 0-1 | 0 |
Callback-Number | 0-1 | 0 |
Called-Station-Id | 0-1 | 0 |
Calling-Station-Id | 0-1 | 0 |
Class | 0+ | 0+ |
Connection-Info | 0+ | 0 |
Destination-Host | 0-1 | 0 |
Destination-Realm | 1 | 0 |
Event-Timestamp | 0-1 | 0-1 |
Error-Message | 0 | 0-1 |
Error-Reporting-Host | 0 | 0-1 |
Failed-AVP | 0 | 0+ |
Login-IP-Host | 0+ | 0 |
Login-IPv6-Host | 0+ | 0 |
Login-LAT-Service | 0-1 | 0 |
Login-LAT-Node | 0-1 | 0 |
Login-LAT-Group | 0-1 | 0 |
Login-LAT-Port | 0-1 | 0 |
Login-Service | 0-1 | 0 |
Login-TCP-Port | 0-1 | 0 |
---------------------------------------|-----+-----+
+-----------+
| Command |
|-----+-----+
Attribute Name | ACR | ACA |
---------------------------------------|-----+-----+
NAS-Identifier | 0-1 | 0-1 |
NAS-IP-Address | 0-1 | 0-1 |
NAS-IPv6-Address | 0-1 | 0-1 |
NAS-Port | 0-1 | 0-1 |
NAS-Port-Id | 0-1 | 0-1 |
NAS-Port-Type | 0-1 | 0-1 |
Origin-AAA-Protocol | 0-1 | 0-1 |
Origin-Host | 1 | 1 |
Origin-Realm | 1 | 1 |
Origin-State-Id | 0-1 | 0-1 |
Originating-Line-Info | 0-1 | 0 |
Proxy-Info | 0+ | 0+ |
QoS-Filter-Rule | 0+ | 0 |
Route-Record | 0+ | 0+ |
Result-Code | 0 | 1 |
Session-Id | 1 | 1 |
Service-Type | 0-1 | 0-1 |
Termination-Cause | 0-1 | 0-1 |
User-Name | 0-1 | 0-1 |
Vendor-Specific-Application-Id | 0-1 | 0-1 |
---------------------------------------|-----+-----+
This section provides guidance to the Internet Assigned Numbers Authority (IANA) regarding registration of values related to the Diameter protocol, in accordance with BCP 26 [IANAConsid].
このセクションでは、BCP 26 [Ianaconsid]に従って、直径プロトコルに関連する値の登録に関するインターネットに割り当てられた番号局(IANA)にガイダンスを提供します。
This document defines values in the namespaces that have been created and defined in the Diameter Base [BASE]. The IANA Considerations section of that document details the assignment criteria. Values assigned in this document, or by future IANA action, must be coordinated within this shared namespace.
このドキュメントは、直径ベース[ベース]で作成および定義された名前空間の値を定義します。そのドキュメントのIANA考慮事項セクションには、割り当て基準の詳細が記載されています。このドキュメントで割り当てられた値、または将来のIANAアクションによって、この共有名前空間内で調整する必要があります。
This specification assigns the value 265 from the Command Code namespace defined in [BASE]. See sections 3.1 and 3.2 for the assignment of the namespace in this specification.
この仕様は、[ベース]で定義されているコマンドコード名空間から値265を割り当てます。この仕様の名前空間の割り当てについては、セクション3.1および3.2を参照してください。
This specification assigns the values 363 - 366 and 400 - 408 from the AVP Code namespace defined in [BASE]. See sections 4 and 5 for the assignment of the namespace in this specification. Note that the values 363 - 366 are jointly, but consistently, assigned in [DiamMIP]. This document also creates one new namespace to be managed by IANA, as described in section 11.5.
この仕様は、[ベース]で定義されているAVPコード名空間から値363-366および400-408を割り当てます。この仕様の名前空間の割り当てについては、セクション4および5を参照してください。値363-366は共同で、しかし一貫して[diammip]で割り当てられていることに注意してください。また、このドキュメントでは、セクション11.5で説明されているように、IANAが管理する1つの新しい名前空間も作成します。
This specification also specifies the use of AVPs in the 0 - 255 range, which are defined in [RADIUSTypes]. These values are assigned by the policy in RFC 2865 section 6 [RADIUS] and are amended by RFC 3575 [RADIUSIANA].
この仕様は、[放射型]で定義されている0〜255範囲でのAVPの使用も指定します。これらの値は、RFC 2865セクション6 [RADIUS]のポリシーによって割り当てられ、RFC 3575 [Radiusiana]によって修正されます。
This specification uses the value one (1) in the Application Identifier namespace as assigned in [BASE]. See section 1.2 above for more information.
この仕様では、[ベース]で割り当てられているアプリケーション識別子ネームスペースの値1(1)を使用します。詳細については、上記のセクション1.2を参照してください。
As defined in section 5.5, the CHAP-Algorithm AVP (AVP Code 403) uses the values of the "PPP AUTHENTICATION ALGORITHMS" namespace defined in [PPPCHAP].
セクション5.5で定義されているように、Chap-Algorithm AVP(AVPコード403)は、[PPPChap]で定義された「PPP認証アルゴリズム」名の値を使用します。
As defined in section 8.6, the Accounting-Auth-Method AVP (AVP Code 406) defines the values 1 - 5. All remaining values are available for assignment via IETF Consensus [IANA].
セクション8.6で定義されているように、ACOUNTING-AUTH-METHOD AVP(AVPコード406)は、値1-5を定義します。
As defined in section 9.3.6, the Origin-AAA-Protocol AVP (AVP Code 408) defines the value 1. All remaining values are available for assignment with a "Specification Required" policy [IANAConsid].
セクション9.3.6で定義されているように、Origin-AAA-Protocol AVP(AVP Code 408)は、値1を定義します。
This document describes the extension of Diameter for the NAS application. The security considerations of the Diameter protocol itself have been discussed in [BASE]. Use of this application of Diameter MUST take into consideration the security issues and requirements of the Base protocol.
このドキュメントでは、NASアプリケーションの直径の拡張について説明します。直径プロトコル自体のセキュリティに関する考慮事項は、[ベース]で説明されています。この直径のアプリケーションの使用は、ベースプロトコルのセキュリティの問題と要件を考慮する必要があります。
This document does not contain a security protocol but does discuss how PPP authentication protocols can be carried within the Diameter protocol. The PPP authentication protocols described are PAP and CHAP.
このドキュメントにはセキュリティプロトコルは含まれていませんが、PPP認証プロトコルを直径プロトコル内でどのように携帯するかについて説明します。説明されているPPP認証プロトコルは、PAPとCHAPです。
The use of PAP SHOULD be discouraged, as it exposes users' passwords to possibly non-trusted entities. However, PAP is also frequently used for use with One-Time Passwords, which do not expose a security risk.
PAPの使用は、ユーザーのパスワードをおそらく信頼されていないエンティティに公開するため、落胆する必要があります。ただし、PAPは、セキュリティリスクを公開しない1回限りのパスワードで使用するために頻繁に使用されます。
This document also describes how CHAP can be carried within the Diameter protocol, which is required for RADIUS backward compatibility. The CHAP protocol, as used in a RADIUS environment, facilitates authentication replay attacks.
このドキュメントでは、Radiusの後方互換性に必要な直径プロトコル内でCHAPをどのように運ぶことができるかについても説明します。RADIUS環境で使用されるCHAPプロトコルは、認証リプレイ攻撃を容易にします。
The use of the EAP authentication protocols described in [DiamEAP] can offer better security, given a method suitable for the circumstances.
[DiameAp]で説明されているEAP認証プロトコルの使用は、状況に適した方法を考えると、より良いセキュリティを提供できます。
[BASE] Calhoun, P., Loughney, J., Guttman, E., Zorn, G., and J. Arkko, "Diameter Base Protocol", RFC 3588, September 2003.
[ベース] Calhoun、P.、Loughney、J.、Guttman、E.、Zorn、G。、およびJ. Arkko、「直径ベースプロトコル」、RFC 3588、2003年9月。
[DiamTrans] Aboba, B. and J. Wood, "Authentication, Authorization and Accounting (AAA) Transport Profile", RFC 3539, June 2003.
[Diamtrans] Aboba、B。and J. Wood、「認証、承認、会計(AAA)輸送プロファイル」、RFC 3539、2003年6月。
[RADIUS] Rigney, C., Willens, S., Rubens, A., and W. Simpson, "Remote Authentication Dial In User Service (RADIUS)", RFC 2865, June 2000.
[Radius] Rigney、C.、Willens、S.、Rubens、A。、およびW. Simpson、「リモート認証ダイヤルインユーザーサービス(RADIUS)」、RFC 2865、2000年6月。
[RADIUSTypes] IANA, "RADIUS Types", URL:
<http://www.iana.org/assignments/radius-types>
[RADIUSIPv6] Aboba, B., Zorn, G., and D. Mitton, "RADIUS and IPv6", RFC 3162, August 2001.
[Radiusipv6] Aboba、B.、Zorn、G。、およびD. Mitton、「Radius and IPv6」、RFC 3162、2001年8月。
[IPv6Addr] Nerenberg, L., "IMAP4 Binary Content Extension", RFC 3516, April 2003.
[IPv6Addr] Nerenberg、L。、「IMAP4バイナリコンテンツ拡張」、RFC 3516、2003年4月。
[PPPCHAP] Simpson, W., "PPP Challenge Handshake Authentication Protocol (CHAP)", RFC 1994, August 1996.
[PPPChap] Simpson、W。、「PPP Challenge Handshake Authentication Protocol(Chap)」、RFC 1994、1996年8月。
[IANAConsid] Narten, T. and H. Alvestrand, "Guidelines for Writing an IANA Considerations Section in RFCs", BCP 26, RFC 2434, October 1998.
[Ianaconsid] Narten、T。およびH. Alvestrand、「RFCSでIANA考慮事項セクションを書くためのガイドライン」、BCP 26、RFC 2434、1998年10月。
[IANA] IANA Assigned Numbers Database, URL:
<http://www.iana.org/numbers.html>
[Keywords] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.
[キーワード] Bradner、S。、「要件レベルを示すためにRFCで使用するためのキーワード」、BCP 14、RFC 2119、1997年3月。
[ANITypes] NANPA Number Resource Info, ANI Assignments, URL: <http://www.nanpa.com/number_resource_info/ ani_ii_assignments.html>
[anitypes] nanpa番号リソース情報、ani assignments、url:<http://www.nanpa.com/number_resource_info/ ani_ii_assignments.html>
[RADIUSAcct] Rigney, C., "RADIUS Accounting", RFC 2866, June 2000.
[Radiusacct] Rigney、C。、「Radius Accounting」、RFC 2866、2000年6月。
[RADIUSExt] Rigney, C., Willats, W., and P. Calhoun, "RADIUS Extensions", RFC 2869, June 2000.
[Radiusext] Rigney、C.、Willats、W。、およびP. Calhoun、「Radius Extensions」、RFC 2869、2000年6月。
[RADTunnels] Zorn, G., Leifer, D., Rubens, A., Shriver, J., Holdrege, M., and I. Goyret, "RADIUS Attributes for Tunnel Protocol Support", RFC 2868, June 2000.
[Radtunnels] Zorn、G.、Leifer、D.、Rubens、A.、Shriver、J.、Holdrege、M。、およびI. Goyret、「トンネルプロトコルサポートの半径属性」、RFC 2868、2000年6月。
[RADTunlAcct] Zorn, G., Aboba, B., and D. Mitton, "RADIUS Accounting Modifications for Tunnel Protocol Support", RFC 2867, June 2000.
[Radtunlacct] Zorn、G.、Aboba、B。、およびD. Mitton、「トンネルプロトコルサポートのための半径の会計変更」、RFC 2867、2000年6月。
[RADDynAuth] Chiba, M., Dommety, G., Eklund, M., Mitton, D., and B. Aboba, "Dynamic Authorization Extensions to Remote Authentication Dial In User Service (RADIUS)", RFC 3576, July 2003.
[Raddynauth] Chiba、M.、Dommety、G.、Eklund、M.、Mitton、D.、およびB. Aboba、「Remote Authentication Dial in User Service(RADIUS)へのダイナミック認証拡張」、2003年7月。
[RADIUSIANA] Aboba, B., "IANA Considerations for RADIUS (Remote Authentication Dial In User Service)", RFC 3575, July 2003.
[Radiusiana] Aboba、B。、「Radiusに関するIANAの考慮事項(ユーザーサービスのリモート認証ダイヤル)」、RFC 3575、2003年7月。
[NASModel] Mitton, D. and M. Beadles, "Network Access Server Requirements Next Generation (NASREQNG) NAS Model", RFC 2881, July 2000.
[Nasmodel] Mitton、D。およびM. Beadles、「ネットワークアクセスサーバー要件次世代(NasReqng)NASモデル」、RFC 2881、2000年7月。
[NASCriteria] Beadles, M. and D. Mitton, "Criteria for Evaluating Network Access Server Protocols", RFC 3169, September 2001.
[NasCriteria] Beadles、M。およびD. Mitton、「ネットワークアクセスサーバープロトコルを評価するための基準」、RFC 3169、2001年9月。
[AAACriteria] Aboba, B., Calhoun, P., Glass, S., Hiller, T., McCann, P., Shiino, H., Zorn, G., Dommety, G., Perkins, C., Patil, B., Mitton, D., Manning, S., Beadles, M., Walsh, P., Chen, X., Sivalingham, S., Hameed, A., Munson, M., Jacobs, S., Lim, B., Hirschman, B., Hsu, R., Xu, Y., Campbell, E., Baba, S., and E. Jaques, "Criteria for Evaluating AAA Protocols for Network Access", RFC 2989, November 2000.
[Aaacriteria] Aboba、B.、Calhoun、P.、Glass、S.、Hiller、T.、McCann、P.、Shiino、H.、Zorn、G.、Dommety、G.、Perkins、C.、Patil、B.、Mitton、D.、Manning、S.、Beadles、M.、Walsh、P.、Chen、X.、Sivalingham、S.、Hameed、A.、Munson、M.、Jacobs、S.、Lim、B.、Hirschman、B.、Hsu、R.、Xu、Y.、Campbell、E.、Baba、S。、およびE. Jaques、「ネットワークアクセスのためのAAAプロトコルを評価するための基準」、RFC 2989、2000年11月。
[DiamEAP] Eronen, P., "Diameter EAP Application", Work in Progress, May 2004.
[Diameap] Eronen、P。、「直径EAPアプリケーション」、2004年5月に進行中の作業。
[DiamCMS] Calhoun, P., Bulley, W., and S. Farrell, "Diameter CMS Security Application", Work in Progress, March 2002.
[Diamcms] Calhoun、P.、Bulley、W.、およびS. Farrell、「直径CMSセキュリティアプリケーション」、2002年3月の作業。
[DiamMIP] Calhoun, P., Johansson, T., Perkins, C., Hiller, T., and P. McCann "Diameter Mobile IPv4 Application", RFC 4004, August 2005.
[Diammip] Calhoun、P.、Johansson、T.、Perkins、C.、Hiller、T。、およびP. McCann「直径モバイルIPv4アプリケーション」、RFC 4004、2005年8月。
[VSA] Mitton, D., "Diameter/RADIUS Vendor Specific AVP Translation", Work in Progress, April 2005.
[VSA] Mitton、D。、「直径/半径ベンダー固有のAVP翻訳」、2005年4月、作業中。
[RAD802.1X] Congdon, P., Aboba, B., Smith, A., Zorn, G., and J. Roese, "IEEE 802.1X Remote Authentication Dial In User Service (RADIUS) Usage Guidelines", RFC 3580, September 2003.
[Rad802.1x] Congdon、P.、Aboba、B.、Smith、A.、Zorn、G。、およびJ. Roese、「IEEE 802.1xリモート認証ダイヤルインユーザーサービス(RADIUS)使用ガイドライン」、RFC 3580、2003年9月。
[CDMA2000] 3GPP2 "P.S0001-B", Wireless IP Network Standard, October 2002. http://www.3gpp2.com/Public_html/specs/P.S0001- B_v1.0.pdf
[CDMA2000] 3GPP2 "P.S0001-B"、ワイヤレスIPネットワーク標準、2002年10月。http://www.3gpp2.com/public_html/specs/p.s0001- b_v1.0.pdf
[AppleTalk] Sidhu, Gursharan; Andrews, Richard F. & Oppenheimer, Alan B. "Inside AppleTalk", Second Edition, Apple Computer., 1990
[Appletalk]シドゥ、グルシャラン;Andrews、Richard F.&Oppenheimer、Alan B.
[ARAP] Apple Remote Access Protocol (ARAP) Version 2.0 External Reference Specification", Apple Computer, September 1994, R0612LL/B
[ARAP] Appleリモートアクセスプロトコル(ARAP)バージョン2.0外部参照仕様」、Apple Computer、1994年9月、R0612LL/B
[IPX] Novell, Inc., "NetWare System Technical Interface Overview", June 1989, # 883-000780-001
[IPX] Novell、Inc。、「ネットウェアシステムの技術インターフェイスの概要」、1989年6月、#883-000780-001
[LAT] Local Area Transport (LAT) Specification V5.0, Digital Equipment Corp., AA-NL26A-TE, June 1989
[lat]ローカルエリア輸送(LAT)仕様v5.0、Digital Equipment Corp.、AA-NL26A-TE、1989年6月
[DIFFSERV] Nichols, K., Blake, S., Baker, F., and D. Black, "Definition of the Differentiated Services Field (DS Field) in the IPv4 and IPv6 Headers", RFC 2474, December 1998.
[Diffserv] Nichols、K.、Blake、S.、Baker、F。、およびD. Black、「IPv4およびIPv6ヘッダーの差別化されたサービスフィールド(DSフィールド)の定義」、RFC 2474、1998年12月。
[DIFFSERVAF] Heinanen, J., Baker, F., Weiss, W., and J. Wroclawski, "Assured Forwarding PHB Group", RFC 2597, June 1999.
[diffservaf] Heinanen、J.、Baker、F.、Weiss、W。、およびJ. Wroclawski、「Assured Forwarding PHB Group」、RFC 2597、1999年6月。
[DIFFSERVEF] Davie, B., Charny, A., Bennet, J.C., Benson, K., Le Boudec, J., Courtney, W., Davari, S., Firoiu, V., and D. Stiliadis, "An Expedited Forwarding PHB (Per-Hop Behavior)", RFC 3246, March 2002.
[Diffservef] Davie、B.、Charny、A.、Bennet、J.C.、Benson、K.、Le Boudec、J.、Courtney、W.、Davari、S.、Firoiu、V。、およびD. Stiliadis」迅速な転送PHB(ホップごとの動作)」、RFC 3246、2002年3月。
[UTF-8] Yergeau, F., "UTF-8, a transformation format of ISO 10646", STD 63, RFC 3629, November 2003.
[UTF-8] Yergeau、F。、「UTF-8、ISO 10646の変換形式」、STD 63、RFC 3629、2003年11月。
[ISOLatin] ISO 8859. International Standard -- Information
Processing -- 8-bit Single-Byte Coded Graphic
Character Sets -- Part 1: Latin Alphabet No. 1, ISO
8859-1:1987. URL:
<http://www.iso.ch/cate/d16338.html>
[PPP] Simpson, W., "The Point-to-Point Protocol (PPP)", STD 51, RFC 1661, July 1994.
[PPP]シンプソン、W。、「ポイントツーポイントプロトコル(PPP)」、STD 51、RFC 1661、1994年7月。
[PAP] Lloyd, B. and W. Simpson, "PPP Authentication Protocols", RFC 1334, October 1992.
[PAP] Lloyd、B。およびW. Simpson、「PPP認証プロトコル」、RFC 1334、1992年10月。
[L2TP] Townsley, W., Valencia, A., Rubens, A., Pall, G., Zorn, G., and B. Palter, "Layer Two Tunneling Protocol "L2TP"", RFC 2661, August 1999.
[L2TP] Townsley、W.、Valencia、A.、Rubens、A.、Pall、G.、Zorn、G。、およびB. Palter、「レイヤー2トンネリングプロトコル "L2TP" "、RFC 2661、1999年8月。
[PPPMP] Sklower, K., Lloyd, B., McGregor, G., Carr, D., and T. Coradetti, "The PPP Multilink Protocol (MP)", RFC 1990, August 1996.
[PPPMP] Sklower、K.、Lloyd、B.、McGregor、G.、Carr、D。、およびT. Coradetti、「The PPP Multilink Protocol(MP)」、RFC 1990、1996年8月。
[PPTP] Hamzeh, K., Pall, G., Verthein, W., Taarud, J., Little, W., and G. Zorn, "Point-to-Point Tunneling Protocol", RFC 2637, July 1999.
[PPTP] Hamzeh、K.、Pall、G.、Verthein、W.、Taarud、J.、Little、W。、およびG. Zorn、「ポイントツーポイントトンネルプロトコル」、RFC 2637、1999年7月。
[IEEE 802.11F] IEEE, "Trial-Use Recommended Practice for Multi-Vendor Access Point Interoperability via an Inter-Access Point Protocol Across Distribution Systems Supporting IEEE 802.11 Operation", IEEE 802.11F-2003, June 2003.
[IEEE 802.11f] IEEE、「IEEE 802.11操作をサポートする流通システム全体のアクセス間ポイントプロトコルを介したマルチベンダーアクセスポイントの相互運用性の試行用の推奨プラクティス」、IEEE 802.11f-2003、2003年6月。
The authors would like to thank Carl Rigney, Allan C. Rubens, William Allen Simpson, and Steve Willens for their work on the original RADIUS [RADIUS], from which many of the concepts in this specification were derived. Thanks, also, to Carl Rigney for [RADIUSAcct] and [RADIUSExt]; Ward Willats for [RADIUSExt]; Glen Zorn, Bernard Aboba, and Dave Mitton for [RADTunlAcct] and [RADIUSIPv6]; and Dory Leifer, John Shriver, Matt Holdrege, and Ignacio Goyret for their work on [RADTunnels]. This document stole text and concepts from both [RADTunnels] and [RADIUSExt]. Thanks go to Carl Williams for providing IPv6-specific text.
著者は、カール・リグニー、アラン・C・ルーベンス、ウィリアム・アレン・シンプソン、スティーブ・ウィレンズに感謝したいと思います。また、[Radiusacct]と[Radiusext]のCarl Rigneyにも感謝します。[Radiusext]のワードウィラット。[radtunlacct]および[radiusipv6]のグレン・ゾーン、バーナード・アボバ、デイブ・ミトン。Dory Leifer、John Shriver、MattRege、およびIgnacio Goyretは、[Radtunnels]での作業について。この文書は、[radtunnels]と[radiusext]の両方からテキストと概念を盗みました。IPv6固有のテキストを提供してくれたCarl Williamsに感謝します。
The authors would also like to acknowledge the following people for their contributions in the development of the Diameter protocol: Bernard Aboba, Jari Arkko, William Bulley, Kuntal Chowdhury, Daniel C. Fox, Lol Grant, Nancy Greene, Jeff Hagg, Peter Heitman, Paul Krumviede, Fergal Ladley, Ryan Moats, Victor Muslin, Kenneth Peirce, Sumit Vakil, John R. Vollbrecht, and Jeff Weisberg.
著者はまた、直径プロトコルの開発における貢献について次の人々を認めたいと考えています:バーナード・アボバ、ジャリ・アークコ、ウィリアム・ブルレー、クンタル・チョウドリー、ダニエル・C・フォックス、笑グラント、ナンシー・グリーン、ジェフ・ハグ、ピーター・ハイトマン、Paul Krumviede、Fergal Ladley、Ryan Moats、Victor Muslin、Kenneth Peirce、Sumit Vakil、John R. Vollbrecht、Jeff Weisberg。
Finally, Pat Calhoun would like to thank Sun Microsystems, as most of the effort put into this document was done while he was in their employ.
最後に、パット・カルホーンは、この文書に入れられた努力のほとんどが雇用中に行われたため、Sun Microsystemsに感謝したいと思います。
Authors' Addresses
著者のアドレス
Pat Calhoun Cisco Systems, Inc. 170 West Tasman Drive San Jose, CA 95134 USA
PAT Calhoun Cisco Systems、Inc。170 West Tasman Drive San Jose、CA 95134 USA
Phone: +1 408-853-5269
EMail: pcalhoun@cisco.com
Glen Zorn Cisco Systems, Inc. 500 108th Avenue N.E., Suite 500 Bellevue, WA 98004 USA
Glen Zorn Cisco Systems、Inc。500 108th Avenue N.E.、Suite 500 Bellevue、WA 98004 USA
Phone: 1 425-471-4861 EMail: gwz@cisco.com
電話:1 425-471-4861メール:gwz@cisco.com
David Spence 3259 Bluett Rd. Ann Arbor, MI 48105 USA
David Spence 3259 Bluett Rd。Ann Arbor、MI 48105 USA
Phone: +1 734 834 6481
EMail: dspence@computer.org
David Mitton Circular Networks 733 Turnpike St #154 North Andover, MA 01845
David Mitton Circular Networks 733 Turnpike St#154 North Andover、MA 01845
EMail: dmitton@circularnetworks.com
Full Copyright Statement
完全な著作権声明
Copyright (C) The Internet Society (2005).
Copyright(c)The Internet Society(2005)。
This document is subject to the rights, licenses and restrictions contained in BCP 78, and except as set forth therein, the authors retain all their rights.
この文書は、BCP 78に含まれる権利、ライセンス、および制限の対象となり、そこに記載されている場合を除き、著者はすべての権利を保持しています。
This document and the information contained herein are provided on an "AS IS" basis and THE CONTRIBUTOR, THE ORGANIZATION HE/SHE REPRESENTS OR IS SPONSORED BY (IF ANY), THE INTERNET SOCIETY AND THE INTERNET ENGINEERING TASK FORCE DISCLAIM ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
このドキュメントとここに含まれる情報は、「現状のまま」に基づいて提供されています。また、貢献者、彼/彼女が代表する組織(もしあれば)が後援する組織、インターネット協会とインターネット工学タスクフォースは、すべての保証、明示的または明示的、またはすべての保証を否認します。本書の情報の使用が、商品性または特定の目的に対する適合性の権利または黙示的な保証を侵害しないという保証を含むがこれらに限定されないことを含む。
Intellectual Property
知的財産
The IETF takes no position regarding the validity or scope of any Intellectual Property Rights or other rights that might be claimed to pertain to the implementation or use of the technology described in this document or the extent to which any license under such rights might or might not be available; nor does it represent that it has made any independent effort to identify any such rights. Information on the procedures with respect to rights in RFC documents can be found in BCP 78 and BCP 79.
IETFは、知的財産権またはその他の権利の有効性または範囲に関して、この文書に記載されている技術の実装または使用、またはそのような権利に基づくライセンスがどの程度であるかについての使用に関連すると主張する可能性があるという立場はありません。利用可能になります。また、そのような権利を特定するために独立した努力をしたことも表明していません。RFCドキュメントの権利に関する手順に関する情報は、BCP 78およびBCP 79に記載されています。
Copies of IPR disclosures made to the IETF Secretariat and any assurances of licenses to be made available, or the result of an attempt made to obtain a general license or permission for the use of such proprietary rights by implementers or users of this specification can be obtained from the IETF on-line IPR repository at http://www.ietf.org/ipr.
IETF事務局に行われたIPR開示のコピーと、利用可能にするライセンスの保証、またはこの仕様の実装者またはユーザーによるそのような独自の権利の使用のための一般的なライセンスまたは許可を取得しようとする試みの結果を取得できます。http://www.ietf.org/iprのIETFオンラインIPRリポジトリから。
The IETF invites any interested party to bring to its attention any copyrights, patents or patent applications, or other proprietary rights that may cover technology that may be required to implement this standard. Please address the information to the IETF at ietf-ipr@ietf.org.
IETFは、関心のある当事者に、著作権、特許、または特許出願、またはこの基準を実装するために必要な技術をカバーする可能性のあるその他の独自の権利を注意深く招待するよう招待しています。ietf-ipr@ietf.orgのIETFへの情報をお問い合わせください。
Acknowledgement
謝辞
Funding for the RFC Editor function is currently provided by the Internet Society.
RFCエディター機能の資金は現在、インターネット協会によって提供されています。