[要約] RFC 6613は、RADIUSプロトコルをTCP上で使用するための仕様です。目的は、RADIUSの信頼性とセキュリティを向上させ、UDP上での制約を克服することです。
Internet Engineering Task Force (IETF) A. DeKok Request for Comments: 6613 FreeRADIUS Category: Experimental May 2012 ISSN: 2070-1721
RADIUS over TCP
RADIUS over TCP
Abstract
概要
The Remote Authentication Dial-In User Server (RADIUS) protocol has, until now, required the User Datagram Protocol (UDP) as the underlying transport layer. This document defines RADIUS over the Transmission Control Protocol (RADIUS/TCP), in order to address handling issues related to RADIUS over Transport Layer Security (RADIUS/TLS). It permits TCP to be used as a transport protocol for RADIUS only when a transport layer such as TLS or IPsec provides confidentiality and security.
リモート認証ダイヤルインユーザーサーバー(RADIUS)プロトコルでは、これまで、基になるトランスポート層としてユーザーデータグラムプロトコル(UDP)が必要でした。このドキュメントでは、RADIUS over Transport Layer Security(RADIUS / TLS)に関連する処理の問題に対処するために、Transmission Control Protocol(RADIUS / TCP)上のRADIUSを定義しています。 TLSやIPsecなどのトランスポート層が機密性とセキュリティを提供する場合にのみ、TCPをRADIUSのトランスポートプロトコルとして使用できるようにします。
Status of This Memo
本文書の状態
This document is not an Internet Standards Track specification; it is published for examination, experimental implementation, and evaluation.
このドキュメントはInternet Standards Trackの仕様ではありません。試験、実験、評価のために公開されています。
This document defines an Experimental Protocol for the Internet community. This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community. It has received public review and has been approved for publication by the Internet Engineering Steering Group (IESG). Not all documents approved by the IESG are a candidate for any level of Internet Standard; see Section 2 of RFC 5741.
このドキュメントでは、インターネットコミュニティの実験プロトコルを定義します。このドキュメントは、IETF(Internet Engineering Task Force)の製品です。これは、IETFコミュニティのコンセンサスを表しています。公開レビューを受け、インターネットエンジニアリングステアリンググループ(IESG)による公開が承認されました。 IESGによって承認されたすべてのドキュメントが、あらゆるレベルのインターネット標準の候補になるわけではありません。 RFC 5741のセクション2をご覧ください。
Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at http://www.rfc-editor.org/info/rfc6613.
このドキュメントの現在のステータス、エラータ、およびフィードバックの提供方法に関する情報は、http://www.rfc-editor.org/info/rfc6613で入手できます。
Copyright Notice
著作権表示
Copyright (c) 2012 IETF Trust and the persons identified as the document authors. All rights reserved.
Copyright(c)2012 IETF Trustおよびドキュメントの作成者として特定された人物。全著作権所有。
This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (http://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Simplified BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Simplified BSD License.
この文書は、BCP 78およびこの文書の発行日に有効なIETF文書に関するIETFトラストの法的規定(http://trustee.ietf.org/license-info)の対象となります。これらのドキュメントは、このドキュメントに関するあなたの権利と制限を説明しているため、注意深く確認してください。このドキュメントから抽出されたコードコンポーネントには、Trust Legal Provisionsのセクション4.eに記載されているSimplified BSD Licenseのテキストが含まれている必要があり、Simplified BSD Licenseに記載されているように保証なしで提供されます。
Table of Contents
目次
1. Introduction ....................................................3 1.1. Applicability of Reliable Transport ........................4 1.2. Terminology ................................................6 1.3. Requirements Language ......................................6 2. Changes to RADIUS ...............................................6 2.1. Packet Format ..............................................7 2.2. Assigned Ports for RADIUS/TCP ..............................7 2.3. Management Information Base (MIB) ..........................8 2.4. Detecting Live Servers .....................................8 2.5. Congestion Control Issues ..................................9 2.6. TCP Specific Issues ........................................9 2.6.1. Duplicates and Retransmissions .....................10 2.6.2. Head of Line Blocking ..............................11 2.6.3. Shared Secrets .....................................11 2.6.4. Malformed Packets and Unknown Clients ..............12 2.6.5. Limitations of the ID Field ........................13 2.6.6. EAP Sessions .......................................13 2.6.7. TCP Applications Are Not UDP Applications ..........14 3. Diameter Considerations ........................................14 4. Security Considerations ........................................14 5. References .....................................................15 5.1. Normative References ......................................15 5.2. Informative References ....................................15
The RADIUS protocol is defined in [RFC2865] as using the User Datagram Protocol (UDP) for the underlying transport layer. While there are a number of benefits to using UDP as outlined in [RFC2865], Section 2.4, there are also some limitations:
RADIUSプロトコルは、[RFC2865]で、基になるトランスポート層にユーザーデータグラムプロトコル(UDP)を使用するものとして定義されています。 [RFC2865]のセクション2.4で概説されているように、UDPを使用することには多くの利点がありますが、いくつかの制限もあります。
* Unreliable transport. As a result, systems using RADIUS have to implement application-layer timers and retransmissions, as described in [RFC5080], Section 2.2.1.
* 信頼できない輸送。その結果、[RFC5080]のセクション2.2.1で説明されているように、RADIUSを使用するシステムは、アプリケーションレイヤータイマーと再送信を実装する必要があります。
* Packet fragmentation. [RFC2865], Section 3, permits RADIUS packets up to 4096 octets in length. These packets are larger than the common Internet MTU (576), resulting in fragmentation of the packets at the IP layer when they are proxied over the Internet. Transport of fragmented UDP packets appears to be a poorly tested code path on network devices. Some devices appear to be incapable of transporting fragmented UDP packets, making it difficult to deploy RADIUS in a network where those devices are deployed.
* パケットの断片化。 [RFC2865]、セクション3は、最大4096オクテットまでのRADIUSパケットを許可します。これらのパケットは一般的なインターネットMTU(576)よりも大きいため、インターネット経由でプロキシされると、IPレイヤーでパケットが断片化します。断片化されたUDPパケットのトランスポートは、ネットワークデバイスでのテストが不十分なコードパスのようです。一部のデバイスは、断片化されたUDPパケットを転送できないように見え、それらのデバイスが展開されているネットワークにRADIUSを展開することが困難になっています。
* Connectionless transport. Neither clients nor servers receive positive statements that a "connection" is down. This information has to be deduced instead from the absence of a reply to a request.
* コネクションレス型トランスポート。クライアントもサーバーも、「接続」がダウンしているという肯定的な声明を受け取りません。代わりに、この情報は、要求に対する応答がないことから推定する必要があります。
* Lack of congestion control. Clients can send arbitrary amounts of traffic with little or no feedback. This lack of feedback can result in congestive collapse of the network.
* 輻輳制御の欠如。クライアントは、フィードバックをほとんどまたはまったく行わずに、任意の量のトラフィックを送信できます。このフィードバックの欠如は、ネットワークの混雑した崩壊につながる可能性があります。
RADIUS has been widely deployed for well over a decade and continues to be widely deployed. Experience shows that these issues have been minor in some use cases and problematic in others. For use cases such as inter-server proxying, an alternative transport and security model -- RADIUS/TLS, is defined in [RFC6614]. That document describes the transport implications of running RADIUS/TLS.
RADIUSは10年以上にわたって広く展開されており、引き続き広く展開されています。経験上、これらの問題は一部のユースケースでは軽微であり、他のケースでは問題があることが示されています。サーバー間プロキシなどの使用例では、代替のトランスポートおよびセキュリティモデル-RADIUS / TLSが[RFC6614]で定義されています。このドキュメントでは、RADIUS / TLSの実行によるトランスポートの影響について説明しています。
The choice of TCP as a transport protocol is largely driven by the desire to improve the security of RADIUS by using RADIUS/TLS. For practical reasons, the transport protocol (TCP) is defined separately from the security mechanism (TLS).
トランスポートプロトコルとしてのTCPの選択は、RADIUS / TLSを使用してRADIUSのセキュリティを向上させたいという願望によって大きく推進されています。実用上の理由から、トランスポートプロトコル(TCP)はセキュリティメカニズム(TLS)とは別に定義されています。
Since "bare" TCP does not provide for confidentiality or enable negotiation of credible ciphersuites, its use is not appropriate for inter-server communications where strong security is required. As a result, "bare" TCP transport MUST NOT be used without TLS, IPsec, or another secure upper layer.
「ベア」TCPは機密性を提供せず、信頼できる暗号スイートのネゴシエーションを有効にしないため、強力なセキュリティが必要なサーバー間通信には使用できません。その結果、「ベア」TCPトランスポートは、TLS、IPsec、または別の安全な上位層なしで使用してはなりません(MUST NOT)。
However, "bare" TCP transport MAY be used when another method such as IPsec [RFC4301] is used to provide additional confidentiality and security. Should experience show that such deployments are useful, this specification could be moved to the Standards Track.
ただし、IPsec [RFC4301]などの別の方法を使用して追加の機密性とセキュリティを提供する場合は、「ベア」TCPトランスポートを使用できます。経験上、このような展開が有用であることを示している場合は、この仕様を標準化トラックに移動できます。
The intent of this document is to address transport issues related to RADIUS/TLS [RFC6614] in inter-server communications scenarios, such as inter-domain communication between proxies. These situations benefit from the confidentiality and ciphersuite negotiation that can be provided by TLS. Since TLS is already widely available within the operating systems used by proxies, implementation barriers are low.
このドキュメントの目的は、プロキシ間のドメイン間通信など、サーバー間の通信シナリオでRADIUS / TLS [RFC6614]に関連するトランスポートの問題に対処することです。これらの状況は、TLSによって提供できる機密性と暗号スイートのネゴシエーションから利益を得ます。 TLSはプロキシが使用するオペレーティングシステム内ですでに広く利用可能であるため、実装の障壁は低くなります。
In scenarios where RADIUS proxies exchange a large volume of packets, it is likely that there will be sufficient traffic to enable the congestion window to be widened beyond the minimum value on a long-term basis, enabling ACK piggybacking. Through use of an application-layer watchdog as described in [RFC3539], it is possible to address the objections to reliable transport described in [RFC2865], Section 2.4, without substantial watchdog traffic, since regular traffic is expected in both directions.
RADIUSプロキシが大量のパケットを交換するシナリオでは、十分なトラフィックがあり、輻輳ウィンドウを長期的に最小値を超えて広げることができるため、ACKピギーバックが可能になります。 [RFC3539]で説明されているようにアプリケーション層のウォッチドッグを使用することで、[RFC2865]のセクション2.4で説明されている信頼性の高いトランスポートへの反対に対処できます。
In addition, use of RADIUS/TLS has been found to improve operational performance when used with multi-round-trip authentication mechanisms such as the Extensible Authentication Protocol (EAP) over RADIUS [RFC3579]. In such exchanges, it is typical for EAP fragmentation to increase the number of round trips required. For example, where EAP-TLS authentication [RFC5216] is attempted and both the EAP peer and server utilize certificate chains of 8 KB, as many as 15 round trips can be required if RADIUS packets are restricted to the common Ethernet MTU (1500 octets) for EAP over LAN (EAPoL) use cases. Fragmentation of RADIUS/UDP packets is generally inadvisable due to lack of fragmentation support within intermediate devices such as filtering routers, firewalls, and NATs. However, since RADIUS/UDP implementations typically do not support MTU discovery, fragmentation can occur even when the maximum RADIUS/UDP packet size is restricted to 1500 octets.
さらに、RADIUS / TLSを使用すると、拡張認証プロトコル(EAP)over RADIUS [RFC3579]などのマルチラウンドトリップ認証メカニズムと併用すると、運用パフォーマンスが向上することがわかっています。そのような交換では、EAPフラグメンテーションが必要なラウンドトリップの数を増やすのが一般的です。たとえば、EAP-TLS認証[RFC5216]が試行され、EAPピアとサーバーの両方が8 KBの証明書チェーンを利用する場合、RADIUSパケットが共通のイーサネットMTU(1500オクテット)に制限されている場合、15回ものラウンドトリップが必要になる可能性があります。 EAP over LAN(EAPoL)の使用例。 RADIUS / UDPパケットのフラグメンテーションは、フィルタリングルータ、ファイアウォール、NATなどの中間デバイス内でのフラグメンテーションサポートの欠如のため、一般的にはお勧めできません。ただし、RADIUS / UDP実装は通常MTUディスカバリをサポートしないため、RADIUS / UDPパケットの最大サイズが1500オクテットに制限されている場合でも、フラグメンテーションが発生する可能性があります。
These problems disappear if a 4096-octet application-layer payload can be used alongside RADIUS/TLS. Since most TCP implementations support MTU discovery, the TCP Maximum Segment Size (MSS) is automatically adjusted to account for the MTU, and the larger congestion window supported by TCP may allow multiple TCP segments to be sent within a single window. Even those few TCP stacks that do not perform Path MTU discovery can already support arbitrary payloads.
これらの問題は、4096オクテットのアプリケーション層ペイロードをRADIUS / TLSと併用できる場合に解消されます。ほとんどのTCP実装はMTUディスカバリーをサポートしているため、MTUを考慮してTCP最大セグメントサイズ(MSS)が自動的に調整され、TCPでサポートされるより大きな輻輳ウィンドウにより、単一のウィンドウ内で複数のTCPセグメントを送信できる場合があります。パスMTUディスカバリーを実行しない少数のTCPスタックでさえ、すでに任意のペイロードをサポートできます。
Where the MTU for EAP packets is large, RADIUS/EAP traffic required for an EAP-TLS authentication with 8-KB certificate chains may be reduced to 7 round trips or less, resulting in substantially reduced authentication times.
EAPパケットのMTUが大きい場合、8 KBの証明書チェーンを使用したEAP-TLS認証に必要なRADIUS / EAPトラフィックが7往復以下に削減され、認証時間が大幅に短縮されます。
In addition, experience indicates that EAP sessions transported over RADIUS/TLS are less likely to abort unsuccessfully. Historically, RADIUS-over-UDP (see Section 1.2) implementations have exhibited poor retransmission behavior. Some implementations retransmit packets, others do not, and others send new packets rather than performing retransmission. Some implementations are incapable of detecting EAP retransmissions, and will instead treat the retransmitted packet as an error. As a result, within RADIUS/UDP implementations, retransmissions have a high likelihood of causing an EAP authentication session to fail. For a system with a million logins a day running EAP-TLS mutual authentication with 15 round trips, and having a packet loss probability of P=0.01%, we expect that 0.3% of connections will experience at least one lost packet. That is, 3,000 user sessions each day will experience authentication failure. This is an unacceptable failure rate for a mass-market network service.
さらに、経験上、RADIUS / TLSを介して転送されたEAPセッションは、失敗して異常終了する可能性が低いことが示されています。これまで、RADIUS-over-UDP(セクション1.2を参照)の実装では、再送信動作が不十分でした。実装によっては、パケットを再送信するものもあれば、再送信しないものもあれば、再送信を実行するのではなく新しいパケットを送信するものもあります。一部の実装では、EAP再送信を検出できず、代わりに再送信されたパケットをエラーとして扱います。その結果、RADIUS / UDP実装内では、再送信によりEAP認証セッションが失敗する可能性が高くなります。 1日あたり100万回のログインがあり、15回の往復でEAP-TLS相互認証を実行し、パケット損失確率がP = 0.01%のシステムの場合、0.3%の接続で少なくとも1つのパケット損失が発生すると予想されます。つまり、毎日3,000のユーザーセッションで認証エラーが発生します。これは、大衆市場のネットワークサービスにとって許容できない障害率です。
Using a reliable transport method such as TCP means that RADIUS implementations can remove all application-layer retransmissions, and instead rely on the Operating System (OS) kernel's well-tested TCP transport to ensure Path MTU discovery and reliable delivery. Modern TCP implementations also implement anti-spoofing provisions, which is more difficult to do in a UDP application.
TCPなどの信頼性の高い転送方法を使用すると、RADIUS実装はすべてのアプリケーション層の再送信を削除でき、代わりにオペレーティングシステム(OS)カーネルの十分にテストされたTCP転送に依存して、パスMTUの検出と信頼性の高い配信を保証します。最近のTCP実装では、スプーフィング対策も実装されていますが、これはUDPアプリケーションで行うのがより困難です。
In contrast, use of TCP as a transport between a Network Access Server (NAS) and a RADIUS server is usually a poor fit. As noted in [RFC3539], Section 2.1, for systems originating low numbers of RADIUS request packets, inter-packet spacing is often larger than the packet Round-Trip Time (RTT), meaning that, the congestion window will typically stay below the minimum value on a long-term basis. The result is an increase in packets due to ACKs as compared to UDP, without a corresponding set of benefits. In addition, the lack of substantial traffic implies the need for additional watchdog traffic to confirm reachability.
対照的に、ネットワークアクセスサーバー(NAS)とRADIUSサーバー間のトランスポートとしてTCPを使用することは、通常、あまり適していません。 [RFC3539]のセクション2.1に記載されているように、RADIUSリクエストパケットの数が少ないシステムでは、パケット間の間隔がパケットのラウンドトリップ時間(RTT)よりも大きいことが多く、通常、輻輳ウィンドウは最小値を下回ります。長期的な価値。その結果、UDPと比較してACKによりパケットが増加しますが、対応する利点はありません。さらに、大量のトラフィックがないことは、到達可能性を確認するために追加のウォッチドッグトラフィックが必要であることを意味します。
As a result, the objections to reliable transport indicated in [RFC2865], Section 2.4, continue to apply to NAS-RADIUS server communications, and UDP SHOULD continue to be used as the transport protocol in this scenario. In addition, it is recommended that implementations of RADIUS Dynamic Authorization Extensions [RFC5176] SHOULD continue to utilize UDP transport, since the volume of dynamic authorization traffic is usually expected to be small.
その結果、[RFC2865]のセクション2.4に示されている信頼性の高いトランスポートへの異論は引き続きNAS-RADIUSサーバー通信に当てはまり、このシナリオではUDPをトランスポートプロトコルとして引き続き使用する必要があります。さらに、RADIUS Dynamic Authorization Extensions [RFC5176]の実装では、UDPトランスポートを引き続き使用することをお勧めします。これは、動的認証トラフィックの量が通常は小さいと予想されるためです。
This document uses the following terms:
このドキュメントでは、次の用語を使用します。
RADIUS client A device that provides an access service for a user to a network. Also referred to as a Network Access Server, or NAS.
RADIUSクライアントユーザーにネットワークへのアクセスサービスを提供するデバイス。ネットワークアクセスサーバー(NAS)とも呼ばれます。
RADIUS server A device that provides one or more of authentication, authorization, and/or accounting (AAA) services to a NAS.
RADIUSサーバー1つ以上の認証、承認、アカウンティング(AAA)サービスをNASに提供するデバイス。
RADIUS proxy A RADIUS proxy acts as a RADIUS server to the NAS, and a RADIUS client to the RADIUS server.
RADIUSプロキシRADIUSプロキシは、NASに対するRADIUSサーバー、およびRADIUSサーバーに対するRADIUSクライアントとして機能します。
RADIUS request packet A packet originated by a RADIUS client to a RADIUS server. For example, Access-Request, Accounting-Request, CoA-Request, or Disconnect-Request.
RADIUS要求パケットRADIUSクライアントがRADIUSサーバーに送信したパケット。たとえば、Access-Request、Accounting-Request、CoA-Request、Disconnect-Requestなどです。
RADIUS response packet A packet sent by a RADIUS server to a RADIUS client, in response to a RADIUS request packet. For example, Access-Accept, Access-Reject, Access-Challenge, Accounting-Response, or CoA-ACK.
RADIUS応答パケットRADIUS要求パケットに応答して、RADIUSサーバーからRADIUSクライアントに送信されるパケット。たとえば、Access-Accept、Access-Reject、Access-Challenge、Accounting-Response、CoA-ACKなどです。
RADIUS/UDP RADIUS over UDP, as defined in [RFC2865].
[RFC2865]で定義されているRADIUS / UDP RADIUS over UDP。
RADIUS/TCP RADIUS over TCP, as defined in this document.
RADIUS / TCP RADIUS over TCP。このドキュメントで定義されています。
RADIUS/TLS RADIUS over TLS, as defined in [RFC6614].
[RFC6614]で定義されているRADIUS / TLS RADIUS over TLS。
The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in [RFC2119].
このドキュメントのキーワード「MUST」、「MUST NOT」、「REQUIRED」、「SHALL」、「SHALL NOT」、「SHOULD」、「SHOULD NOT」、「RECOMMENDED」、「MAY」、および「OPTIONAL」は、 [RFC2119]で説明されているように解釈されます。
RADIUS/TCP involves sending RADIUS application messages over a TCP connection. In the sections that follow, we discuss the implications for the RADIUS packet format (Section 2.1), port usage (Section 2.2), RADIUS MIBs (Section 2.3), and RADIUS proxies (Section 2.5). TCP-specific issues are discussed in Section 2.6.
RADIUS / TCPでは、TCP接続を介してRADIUSアプリケーションメッセージを送信します。次のセクションでは、RADIUSパケット形式(セクション2.1)、ポートの使用(セクション2.2)、RADIUS MIB(セクション2.3)、およびRADIUSプロキシ(セクション2.5)の影響について説明します。 TCP固有の問題については、セクション2.6で説明します。
The RADIUS packet format is unchanged from [RFC2865], [RFC2866], and [RFC5176]. Specifically, all of the following portions of RADIUS MUST be unchanged when using RADIUS/TCP:
RADIUSパケットの形式は、[RFC2865]、[RFC2866]、および[RFC5176]から変更されていません。具体的には、RADIUS / TCPを使用する場合、RADIUSの以下のすべての部分を変更する必要があります。
* Packet format * Permitted codes * Request Authenticator calculation * Response Authenticator calculation * Minimum packet length * Maximum packet length * Attribute format * Vendor-Specific Attribute (VSA) format * Permitted data types * Calculations of dynamic attributes such as CHAP-Challenge, or Message-Authenticator. * Calculation of "encrypted" attributes such as Tunnel-Password.
* パケット形式*許可されたコード*要求認証システムの計算*応答認証システムの計算*最小パケット長*最大パケット長*属性形式*ベンダー固有属性(VSA)形式*許可されたデータ型* CHAP-Challengeやメッセージなどの動的属性の計算-オーセンティケーター。 * Tunnel-Passwordなどの「暗号化された」属性の計算。
The use of TLS transport does not change the calculation of security-related fields (such as the Response-Authenticator) in RADIUS [RFC2865] or RADIUS Dynamic Authorization [RFC5176]. Calculation of attributes such as User-Password [RFC2865] or Message-Authenticator [RFC3579] also does not change.
TLSトランスポートを使用しても、RADIUS [RFC2865]またはRADIUS動的認証[RFC5176]のセキュリティ関連フィールド(Response-Authenticatorなど)の計算は変更されません。 User-Password [RFC2865]やMessage-Authenticator [RFC3579]などの属性の計算も変更されません。
Clients and servers MUST be able to store and manage shared secrets based on the key described in Section 2.6, of (IP address, port, transport protocol).
クライアントとサーバーは、(IPアドレス、ポート、トランスポートプロトコル)のセクション2.6で説明されているキーに基づいて共有シークレットを格納および管理できなければなりません(MUST)。
The changes to RADIUS implementations required to implement this specification are largely limited to the portions that send and receive packets on the network.
この仕様を実装するために必要なRADIUS実装への変更は、主にネットワーク上でパケットを送受信する部分に限定されます。
IANA has already assigned TCP ports for RADIUS transport, as outlined below:
IANAは、以下に概説するように、RADIUSトランスポート用のTCPポートをすでに割り当てています。
* radius 1812/tcp * radius-acct 1813/tcp * radius-dynauth 3799/tcp
* radius 1812 / tcp * radius-acct 1813 / tcp * radius-dynauth 3799 / tcp
Since these ports are unused by existing RADIUS implementations, the assigned values MUST be used as the default ports for RADIUS over TCP.
これらのポートは既存のRADIUS実装では使用されていないため、割り当てられた値はRADIUS over TCPのデフォルトポートとして使用する必要があります。
The early deployment of RADIUS was done using UDP port number 1645, which conflicts with the "datametrics" service. Implementations using RADIUS/TCP MUST NOT use TCP ports 1645 or 1646 as the default ports for this specification.
RADIUSの初期の展開は、UDPポート番号1645を使用して行われました。これは、「datametrics」サービスと競合します。 RADIUS / TCPを使用する実装では、この仕様のデフォルトポートとしてTCPポート1645または1646を使用してはなりません(MUST NOT)。
The "radsec" port (2083/tcp) SHOULD be used as the default port for RADIUS/TLS. The "radius" port (1812/tcp) SHOULD NOT be used for RADIUS/TLS.
「radsec」ポート(2083 / tcp)は、RADIUS / TLSのデフォルトポートとして使用する必要があります(SHOULD)。 「半径」ポート(1812 / tcp)は、RADIUS / TLSには使用しないでください。
The MIB Module definitions in [RFC4668], [RFC4669], [RFC4670], [RFC4671], [RFC4672], and [RFC4673] are intended to be used for RADIUS over UDP. As such, they do not support RADIUS/TCP, and will need to be updated in the future. Implementations of RADIUS/TCP SHOULD NOT reuse these MIB Modules to perform statistics counting for RADIUS/TCP connections.
[RFC4668]、[RFC4669]、[RFC4670]、[RFC4671]、[RFC4672]、および[RFC4673]のMIBモジュール定義は、RADIUS over UDPで使用することを目的としています。そのため、これらはRADIUS / TCPをサポートしていないため、将来更新する必要があります。 RADIUS / TCPの実装では、これらのMIBモジュールを再利用して、RADIUS / TCP接続の統計カウントを実行しないでください。
As RADIUS is a "hop-by-hop" protocol, a RADIUS proxy shields the client from any information about downstream servers. While the client may be able to deduce the operational state of the local server (i.e., proxy), it cannot make any determination about the operational state of the downstream servers.
RADIUSは「ホップバイホップ」プロトコルであるため、RADIUSプロキシはダウンストリームサーバーに関する情報からクライアントを保護します。クライアントはローカルサーバー(プロキシなど)の動作状態を推測できる場合がありますが、ダウンストリームサーバーの動作状態については判断できません。
Within RADIUS, as defined in [RFC2865], proxies typically only forward traffic between the NAS and RADIUS server, and they do not generate their own responses. As a result, when a NAS does not receive a response to a request, this could be the result of packet loss between the NAS and proxy, a problem on the proxy, loss between the RADIUS proxy and server, or a problem with the server.
[RFC2865]で定義されているように、RADIUS内では、プロキシは通常、NASとRADIUSサーバーの間のトラフィックのみを転送し、独自の応答を生成しません。その結果、NASが要求への応答を受信しない場合、これはNASとプロキシ間のパケット損失、プロキシの問題、RADIUSプロキシとサーバー間の損失、またはサーバーの問題の結果である可能性があります。
When UDP is used as a transport protocol, the absence of a reply can cause a client to deduce (incorrectly) that the proxy is unavailable. The client could then fail over to another server or conclude that no "live" servers are available (OKAY state in [RFC3539], Appendix A). This situation is made even worse when requests are sent through a proxy to multiple destinations. Failures in one destination may result in service outages for other destinations, if the client erroneously believes that the proxy is unresponsive.
UDPがトランスポートプロトコルとして使用されている場合、応答がないと、クライアントがプロキシを使用できないと(誤って)推測する可能性があります。その後、クライアントは別のサーバーにフェイルオーバーするか、「ライブ」サーバーが利用できないと結論付けることができます([RFC3539]の付録AのOKAY状態)。リクエストがプロキシを介して複数の宛先に送信されると、この状況はさらに悪化します。 1つの宛先で障害が発生すると、クライアントがプロキシが応答していないと誤って判断した場合、他の宛先のサービスが停止する可能性があります。
For RADIUS/TLS, it is RECOMMENDED that implementations utilize the existence of a TCP connection along with the application-layer watchdog defined in [RFC3539], Section 3.4, to determine that the server is "live".
RADIUS / TLSの場合、実装では、[RFC3539]のセクション3.4で定義されているアプリケーションレイヤーウォッチドッグとともにTCP接続の存在を利用して、サーバーが「ライブ」であると判断することをお勧めします。
RADIUS clients using RADIUS/TCP MUST mark a connection DOWN if the network stack indicates that the connection is no longer active. If the network stack indicates that the connection is still active, clients MUST NOT decide that it is down until the application-layer watchdog algorithm has marked it DOWN ([RFC3539], Appendix A). RADIUS clients using RADIUS/TCP MUST NOT decide that a RADIUS server is unresponsive until all TCP connections to it have been marked DOWN.
ネットワークスタックが接続がアクティブでないことを示している場合、RADIUS / TCPを使用するRADIUSクライアントは接続にDOWNのマークを付ける必要があります。ネットワークスタックが接続がまだアクティブであることを示している場合、クライアントは、アプリケーション層のウォッチドッグアルゴリズムがそれをDOWNとマークするまで([RFC3539]、付録A)、接続がダウンしていると判断してはなりません。 RADIUS / TCPを使用するRADIUSクライアントは、RADIUSサーバーへのすべてのTCP接続がDOWNとマークされるまで、RADIUSサーバーが応答しないと判断してはなりません。
The above requirements do not forbid the practice of a client proactively closing connections or marking a server as DOWN due to an administrative decision.
上記の要件は、管理上の決定により、クライアントがプロアクティブに接続を閉じること、またはサーバーをDOWNとマークすることを禁じていません。
Additional issues with RADIUS proxies involve transport protocol changes where the proxy receives packets on one transport protocol and forwards them on a different transport protocol. There are several situations in which the law of "conservation of packets" could be violated on an end-to-end basis (e.g., where more packets could enter the system than could leave it on a short-term basis):
RADIUSプロキシに関するその他の問題には、プロキシが1つのトランスポートプロトコルでパケットを受信し、それらを別のトランスポートプロトコルで転送するトランスポートプロトコルの変更が含まれます。 「パケットの保存」の法則がエンドツーエンドで違反される可能性のある状況がいくつかあります(たとえば、短期間に多くのパケットがシステムを離れるよりもシステムに入る可能性がある場合)。
* Where TCP is used between proxies, it is possible that the bandwidth consumed by incoming UDP packets destined to a given upstream server could exceed the sending rate of a single TCP connection to that server, based on the window size/RTT estimate.
* プロキシ間でTCPが使用される場合、特定の上流サーバー宛ての着信UDPパケットによって消費される帯域幅が、ウィンドウサイズ/ RTT推定に基づいて、そのサーバーへの単一のTCP接続の送信レートを超える可能性があります。
* It is possible for the incoming rate of TCP packets destined to a given realm to exceed the UDP throughput achievable using the transport guidelines established in [RFC5080]. This could happen, for example, where the TCP window between proxies has opened, but packet loss is being experienced on the UDP leg, so that the effective congestion window on the UDP side is 1.
* [RFC5080]で確立されたトランスポートガイドラインを使用して、特定のレルム宛てのTCPパケットの着信レートが、UDPスループットを超える可能性があります。これは、たとえば、プロキシ間のTCPウィンドウが開いているが、UDPレッグでパケット損失が発生しているため、UDP側の有効な輻輳ウィンドウが1である場合に発生する可能性があります。
Intrinsically, proxy systems operate with multiple control loops instead of one end-to-end loop, and so they are less stable. This is true even for TCP-TCP proxies. As discussed in [RFC3539], the only way to achieve stability equivalent to a single TCP connection is to mimic the end-to-end behavior of a single TCP connection. This typically is not achievable with an application-layer RADIUS implementation, regardless of transport.
本質的に、プロキシシステムは1つのエンドツーエンドループではなく複数の制御ループで動作するため、安定性が低くなります。これは、TCP-TCPプロキシにも当てはまります。 [RFC3539]で説明されているように、単一のTCP接続と同等の安定性を実現する唯一の方法は、単一のTCP接続のエンドツーエンドの動作を模倣することです。これは通常、トランスポートに関係なく、アプリケーション層のRADIUS実装では実現できません。
The guidelines defined in [RFC3539] for implementing a AAA protocol over reliable transport are applicable to RADIUS/TLS.
[RFC3539]で定義されている、信頼できるトランスポートを介してAAAプロトコルを実装するためのガイドラインは、RADIUS / TLSに適用できます。
The application-layer watchdog defined in [RFC3539], Section 3.4, MUST be used. The Status-Server packet [RFC5997] MUST be used as the application-layer watchdog message. Implementations MUST reserve one RADIUS ID per connection for the application-layer watchdog message. This restriction is described further in Section 2.6.4.
[RFC3539]のセクション3.4で定義されているアプリケーション層のウォッチドッグを使用する必要があります。 Status-Serverパケット[RFC5997]は、アプリケーション層のウォッチドッグメッセージとして使用する必要があります。実装では、アプリケーション層のウォッチドッグメッセージ用に、接続ごとに1つのRADIUS IDを予約する必要があります。この制限については、セクション2.6.4で詳しく説明します。
RADIUS/TLS implementations MUST support receiving RADIUS packets over both UDP and TCP transports originating from the same endpoint. RADIUS packets received over UDP MUST be replied to over UDP; RADIUS packets received over TCP MUST be replied to over TCP. That is, RADIUS clients and servers MUST be treated as unique based on a key of the three-tuple (IP address, port, transport protocol). Implementations MUST permit different shared secrets to be used for UDP and TCP connections to the same destination IP address and numerical port.
RADIUS / TLS実装は、同じエンドポイントから発信されたUDPトランスポートとTCPトランスポートの両方を介したRADIUSパケットの受信をサポートする必要があります。 UDP経由で受信したRADIUSパケットはUDP経由で応答する必要があります。 TCP経由で受信したRADIUSパケットは、TCP経由で応答する必要があります。つまり、RADIUSクライアントとサーバーは、3つのタプル(IPアドレス、ポート、トランスポートプロトコル)のキーに基づいて一意として扱われる必要があります。実装では、同じ宛先IPアドレスと数値ポートへのUDP接続とTCP接続に異なる共有シークレットを使用できるようにする必要があります。
This requirement does not forbid the traditional practice of using primary and secondary servers in a failover relationship. Instead, it requires that two services sharing an IP address and numerical port, but differing in transport protocol, MUST be treated as independent services for the purpose of failover, load-balancing, etc.
この要件は、フェイルオーバー関係でプライマリサーバーとセカンダリサーバーを使用する従来の方法を禁じていません。代わりに、IPアドレスと数値ポートを共有するが、トランスポートプロトコルが異なる2つのサービスは、フェイルオーバー、ロードバランシングなどの目的で独立したサービスとして扱う必要があります。
Whenever the underlying network stack permits the use of TCP keepalive socket options, their use is RECOMMENDED.
基盤となるネットワークスタックがTCPキープアライブソケットオプションの使用を許可する場合は常に、それらの使用が推奨されます。
As TCP is a reliable transport, implementations MUST NOT retransmit RADIUS request packets over a given TCP connection. Similarly, if there is no response to a RADIUS packet over one TCP connection, implementations MUST NOT retransmit that packet over a different TCP connection to the same destination IP address and port, while the first connection is in the OKAY state ([RFC3539], Appendix A).
TCPは信頼できるトランスポートであるため、実装では、特定のTCP接続を介してRADIUS要求パケットを再送信してはなりません(MUST NOT)。同様に、1つのTCP接続でRADIUSパケットへの応答がない場合、実装は、最初の接続がOKAY状態にある間、同じ宛先IPアドレスとポートに別のTCP接続を介してそのパケットを再送信してはなりません([RFC3539]、付録A)。
However, if the TCP connection is broken or closed, retransmissions over new connections are permissible. RADIUS request packets that have not yet received a response MAY be transmitted by a RADIUS client over a new TCP connection. As this procedure involves using a new source port, the ID of the packet MAY change. If the ID changes, any security attributes such as Message-Authenticator MUST be recalculated.
ただし、TCP接続が切断またはクローズされている場合、新しい接続を介した再送信は許可されます。応答をまだ受け取っていないRADIUS要求パケットは、新しいTCP接続を介してRADIUSクライアントによって送信される場合があります。この手順では新しい送信元ポートを使用するため、パケットのIDが変更される場合があります。 IDが変更された場合は、Message-Authenticatorなどのセキュリティ属性を再計算する必要があります。
If a TCP connection is broken or closed, any cached RADIUS response packets ([RFC5080], Section 2.2.2) associated with that connection MUST be discarded. A RADIUS server SHOULD stop the processing of any requests associated with that TCP connection. No response to these requests can be sent over the TCP connection, so any further processing is pointless. This requirement applies not only to RADIUS servers, but also to proxies. When a client's connection to a proxy server is closed, there may be responses from a home server that were supposed to be sent by the proxy back over that connection to the client. Since the client connection is closed, those responses from the home server to the proxy server SHOULD be silently discarded by the proxy.
TCP接続が切断または閉じている場合、その接続に関連付けられているキャッシュされたRADIUS応答パケット([RFC5080]、セクション2.2.2)は破棄する必要があります。 RADIUSサーバーは、そのTCP接続に関連付けられている要求の処理を停止する必要があります(SHOULD)。これらの要求に対する応答はTCP接続を介して送信できないため、それ以降の処理は無意味です。この要件は、RADIUSサーバーだけでなく、プロキシにも適用されます。クライアントのプロキシサーバーへの接続が閉じられると、プロキシからクライアントへの接続を介して送信されるはずのホームサーバーからの応答が返される場合があります。クライアント接続が閉じているので、ホームサーバーからプロキシサーバーへの応答は、プロキシによって暗黙的に破棄されるべきです(SHOULD)。
Despite the above discussion, RADIUS servers SHOULD still perform duplicate detection on received packets, as described in [RFC5080], Section 2.2.2. This detection can prevent duplicate processing of packets from non-conformant clients.
上記の説明にもかかわらず、RADIUSサーバーは、[RFC5080]のセクション2.2.2で説明されているように、受信したパケットに対して重複検出を実行する必要があります(SHOULD)。この検出により、非準拠クライアントからのパケットの重複処理を防ぐことができます。
RADIUS packets SHOULD NOT be retransmitted to the same destination IP and numerical port, but over a different transport protocol. There is no guarantee in RADIUS that the two ports are in any way related. This requirement does not, however, forbid the practice of putting multiple servers into a failover or load-balancing pool. In that situation, RADIUS request MAY be retransmitted to another server that is known to be part of the same pool.
RADIUSパケットは、同じ宛先IPと数値ポートに再送信するべきではありませんが、異なるトランスポートプロトコルを介して再送信してください。 RADIUSでは、2つのポートが何らかの形で関連しているという保証はありません。ただし、この要件は、複数のサーバーをフェイルオーバーまたは負荷分散プールに配置することを禁じていません。その状況では、RADIUS要求は、同じプールの一部であることがわかっている別のサーバーに再送信される場合があります。
When using UDP as a transport for RADIUS, there is no ordering of packets. If a packet sent by a client is lost, that loss has no effect on subsequent packets sent by that client.
UDPをRADIUSのトランスポートとして使用する場合、パケットの順序はありません。クライアントが送信したパケットが失われた場合、その損失は、そのクライアントが送信した後続のパケットには影響しません。
Unlike UDP, TCP is subject to issues related to Head of Line (HoL) blocking. This occurs when a TCP segment is lost and a subsequent TCP segment arrives out of order. While the RADIUS server can process RADIUS packets out of order, the semantics of TCP makes this impossible. This limitation can lower the maximum packet processing rate of RADIUS/TCP.
UDPとは異なり、TCPはヘッドオブライン(HoL)ブロッキングに関連する問題の影響を受けます。これは、TCPセグメントが失われ、後続のTCPセグメントが順不同で到着した場合に発生します。 RADIUSサーバーはRADIUSパケットを順不同で処理できますが、TCPのセマンティクスによりこれは不可能です。この制限により、RADIUS / TCPの最大パケット処理速度が低下する可能性があります。
The use of TLS transport does not change the calculation of security-related fields (such as the Response-Authenticator) in RADIUS [RFC2865] or RADIUS Dynamic Authorization [RFC5176]. Calculation of attributes such as User-Password [RFC2865] or Message-Authenticator [RFC3579] also does not change.
TLSトランスポートを使用しても、RADIUS [RFC2865]またはRADIUS動的認証[RFC5176]のセキュリティ関連フィールド(Response-Authenticatorなど)の計算は変更されません。 User-Password [RFC2865]やMessage-Authenticator [RFC3579]などの属性の計算も変更されません。
Clients and servers MUST be able to store and manage shared secrets based on the key described above, at the start of this section (i.e., IP address, port, transport protocol).
クライアントとサーバーは、このセクションの最初に、上記のキー(つまり、IPアドレス、ポート、トランスポートプロトコル)に基づいて共有シークレットを格納および管理できなければなりません(MUST)。
The RADIUS specifications ([RFC2865], and many others) say that an implementation should "silently discard" a packet in a number of circumstances. This action has no further consequences for UDP transport, as the "next" packet is completely independent of the previous one.
RADIUS仕様([RFC2865]、およびその他の多く)は、実装ではさまざまな状況でパケットを「サイレントに破棄」する必要があると述べています。 「次の」パケットは前のパケットから完全に独立しているため、このアクションはUDPトランスポートにそれ以上の影響を与えません。
When TCP is used as a transport, decoding the "next" packet on a connection depends on the proper decoding of the previous packet. As a result, the behavior with respect to discarded packets has to change.
TCPがトランスポートとして使用される場合、接続の「次の」パケットのデコードは、前のパケットの適切なデコードに依存します。その結果、破棄されたパケットに関する動作を変更する必要があります。
Implementations of this specification SHOULD treat the "silently discard" texts referenced above as "silently discard and close the connection". That is, the TCP connection MUST be closed if any of the following circumstances are seen:
この仕様の実装は、上記の「サイレントに破棄」テキストを「サイレントに破棄して接続を閉じる」ものとして扱う必要があります。つまり、次のいずれかの状況が発生した場合、TCP接続を閉じる必要があります。
* Connection from an unknown client * Packet where the RADIUS "Length" field is less than the minimum RADIUS packet length * Packet where the RADIUS "Length" field is more than the maximum RADIUS packet length * Packet that has an Attribute "Length" field has value of zero or one (0 or 1) * Packet where the attributes do not exactly fill the packet * Packet where the Request Authenticator fails validation (where validation is required) * Packet where the Response Authenticator fails validation (where validation is required) * Packet where the Message-Authenticator attribute fails validation (when it occurs in a packet)
* 不明なクライアントからの接続* RADIUS "長さ"フィールドが最小RADIUSパケット長より短いパケット* RADIUS "長さ"フィールドが最大RADIUSパケット長より長いパケット*属性 "長さ"フィールドを持つパケットにはゼロまたは1(0または1)の値*属性がパケットを正確に満たさないパケット*要求認証が検証に失敗したパケット(検証が必要な場合)*応答認証が検証に失敗したパケット(検証が必要な場合)* Message-Authenticator属性が検証に失敗したパケット(パケットで発生した場合)
After applying the above rules, there are still two situations where the previous specifications allow a packet to be "silently discarded" upon receipt:
上記のルールを適用した後でも、以前の仕様では、パケットを受信時に「サイレントに破棄」できるようにする状況が2つあります。
* Packets with an invalid code field * Response packets that do not match any outstanding request
* 無効なコードフィールドのあるパケット*未処理の要求と一致しない応答パケット
In these situations, the TCP connections MAY remain open, or they MAY be closed, as an implementation choice. However, the invalid packet MUST be silently discarded.
これらの状況では、実装の選択として、TCP接続は開いたままにすることも、閉じることもできます(MAY)。ただし、無効なパケットは通知なく破棄される必要があります。
These requirements reduce the possibility for a misbehaving client or server to wreak havoc on the network.
これらの要件により、動作に問題のあるクライアントまたはサーバーがネットワークに大混乱をもたらす可能性が低くなります。
The RADIUS ID field is one octet in size. As a result, any one TCP connection can have only 256 "in flight" RADIUS packets at a time. If more than 256 simultaneous "in flight" packets are required, additional TCP connections will need to be opened. This limitation is also noted in [RFC3539], Section 2.4.
RADIUS IDフィールドのサイズは1オクテットです。その結果、1つのTCP接続で一度に256個の「処理中」のRADIUSパケットしか持てません。 256を超える同時「処理中」パケットが必要な場合は、追加のTCP接続を開く必要があります。この制限は、[RFC3539]のセクション2.4にも記載されています。
An additional limit is the requirement to send a Status-Server packet over the same TCP connection as is used for normal requests. As noted in [RFC5997], the response to a Status-Server packet is either an Access-Accept or an Accounting-Response. If all IDs were allocated to normal requests, then there would be no free ID to use for the Status-Server packet, and it could not be sent over the connection.
追加の制限は、通常の要求に使用されるのと同じTCP接続を介してStatus-Serverパケットを送信するための要件です。 [RFC5997]で述べられているように、Status-Serverパケットへの応答は、Access-AcceptまたはAccounting-Responseのいずれかです。すべてのIDが通常のリクエストに割り当てられている場合、Status-Serverパケットに使用できる無料のIDはなく、接続経由で送信できませんでした。
Implementations SHOULD reserve ID zero (0) on each TCP connection for Status-Server packets. This value was picked arbitrarily, as there is no reason to choose any one value over another for this use.
実装では、Status-Serverパケットの各TCP接続でIDゼロ(0)を予約する必要があります。この用途では、ある値を別の値よりも選択する理由がないため、この値は任意に選択されました。
Implementors may be tempted to extend RADIUS to permit more than 256 outstanding packets on one connection. However, doing so is a violation of a fundamental part of the protocol and MUST NOT be done. Making that extension here is outside of the scope of this specification.
実装者は、RADIUSを拡張して、1つの接続で256を超える未処理のパケットを許可しようとする場合があります。しかしながら、そうすることはプロトコルの基本的な部分の違反であり、行われてはならない(MUST NOT)。ここでその拡張を行うことは、この仕様の範囲外です。
When RADIUS clients send EAP requests using RADIUS/TCP, they SHOULD choose the same TCP connection for all packets related to one EAP session. This practice ensures that EAP packets are transmitted in order, and that problems with any one TCP connection affect the minimum number of EAP sessions.
RADIUSクライアントがRADIUS / TCPを使用してEAP要求を送信する場合、1つのEAPセッションに関連するすべてのパケットに対して同じTCP接続を選択する必要があります(SHOULD)。これにより、EAPパケットが順番に送信され、1つのTCP接続に関する問題がEAPセッションの最小数に影響することが保証されます。
A simple method that may work in many situations is to hash the contents of the Calling-Station-Id attribute, which normally contains the Media Access Control (MAC) address. The output of that hash can be used to select a particular TCP connection.
多くの状況で機能する単純な方法は、Calling-Station-Id属性の内容をハッシュすることです。これには、通常、メディアアクセス制御(MAC)アドレスが含まれています。そのハッシュの出力を使用して、特定のTCP接続を選択できます。
However, EAP packets for one EAP session can still be transported from client to server over multiple paths. Therefore, when a server receives a RADIUS request containing an EAP request, it MUST be processed without considering the transport protocol. For TCP transport, it MUST be processed without considering the source port. The algorithm suggested in [RFC5080], Section 2.1.1 SHOULD be used to track EAP sessions, as it is independent of the source port and transport protocol.
ただし、1つのEAPセッションのEAPパケットは、引き続き複数のパスを介してクライアントからサーバーに転送できます。したがって、サーバーがEAP要求を含むRADIUS要求を受信すると、トランスポートプロトコルを考慮せずに処理する必要があります。 TCPトランスポートの場合、送信元ポートを考慮せずに処理する必要があります。 [RFC5080]のセクション2.1.1で提案されているアルゴリズムは、送信元ポートやトランスポートプロトコルとは独立しているため、EAPセッションの追跡に使用する必要があります(SHOULD)。
The retransmission requirements of Section 2.6.1, above, MUST be applied to RADIUS-encapsulated EAP packets. That is, EAP retransmissions MUST NOT result in retransmissions of RADIUS packets over a particular TCP connection. EAP retransmissions MAY result in retransmission of RADIUS packets over a different TCP connection, but only when the previous TCP connection is marked DOWN.
上記のセクション2.6.1の再送信要件は、RADIUSカプセル化EAPパケットに適用する必要があります。つまり、EAP再送信により、特定のTCP接続を介したRADIUSパケットの再送信が発生してはなりません(MUST NOT)。 EAP再送信は、別のTCP接続を介してRADIUSパケットを再送信する可能性がありますが、前のTCP接続がDOWNとマークされている場合のみです。
Implementors should be aware that programming a robust TCP application can be very different from programming a robust UDP application. It is RECOMMENDED that implementors of this specification familiarize themselves with TCP application programming concepts.
実装者は、堅牢なTCPアプリケーションのプログラミングは、堅牢なUDPアプリケーションのプログラミングとは大きく異なる可能性があることに注意する必要があります。この仕様の実装者は、TCPアプリケーションプログラミングの概念に慣れることをお勧めします。
Clients and servers SHOULD implement configurable connection limits. Clients and servers SHOULD implement configurable limits on connection lifetime and idle timeouts. Clients and servers SHOULD implement configurable rate limiting on new connections. Allowing an unbounded number or rate of TCP connections may result in resource exhaustion.
クライアントとサーバーは、構成可能な接続制限を実装する必要があります(SHOULD)。クライアントとサーバーは、接続の有効期間とアイドルタイムアウトに構成可能な制限を実装する必要があります(SHOULD)。クライアントとサーバーは、新しい接続に構成可能なレート制限を実装する必要があります(SHOULD)。制限のない数または速度のTCP接続を許可すると、リソースが使い果たされる可能性があります。
Further discussion of implementation issues is outside of the scope of this document.
実装の問題に関するこれ以上の説明は、このドキュメントの範囲外です。
This document defines TCP as a transport layer for RADIUS. It defines no new RADIUS attributes or codes. The only interaction with Diameter is in a RADIUS-to-Diameter, or in a Diameter-to-RADIUS gateway. The RADIUS side of such a gateway MAY implement RADIUS/TCP, but this change has no effect on Diameter.
このドキュメントでは、TCPをRADIUSのトランスポート層として定義しています。新しいRADIUS属性やコードは定義されていません。 Diameterとの対話は、RADIUS-to-Diameter、またはDiameter-to-RADIUSゲートウェイでのみ行われます。そのようなゲートウェイのRADIUS側はRADIUS / TCPを実装することができますが、この変更はDiameterに影響を与えません。
As the RADIUS packet format, signing, and client verification are unchanged from prior specifications, all of the security issues outlined in previous specifications for RADIUS/UDP are also applicable here.
RADIUSパケット形式、署名、およびクライアント検証は以前の仕様から変更されていないため、RADIUS / UDPの以前の仕様で概説されているすべてのセキュリティ問題もここで当てはまります。
As noted above, clients and servers SHOULD support configurable connection limits. Allowing an unlimited number of connections may result in resource exhaustion.
上記のように、クライアントとサーバーは構成可能な接続制限をサポートする必要があります(SHOULD)。接続を無制限に許可すると、リソースが使い果たされる可能性があります。
Implementors should consult [RFC6614] for issues related to the security of RADIUS/TLS, and [RFC5246] for issues related to the security of the TLS protocol.
実装者は、RADIUS / TLSのセキュリティに関連する問題については[RFC6614]に、TLSプロトコルのセキュリティに関連する問題については[RFC5246]に相談する必要があります。
Since "bare" TCP does not provide for confidentiality or enable negotiation of credible ciphersuites, its use is not appropriate for inter-server communications where strong security is required. As a result, "bare" TCP transport MUST NOT be used without TLS, IPsec, or another secure upper layer.
「ベア」TCPは機密性を提供せず、信頼できる暗号スイートのネゴシエーションを有効にしないため、強力なセキュリティが必要なサーバー間通信には使用できません。その結果、「ベア」TCPトランスポートは、TLS、IPsec、または別の安全な上位層なしで使用してはなりません(MUST NOT)。
There are no (at this time) other known security issues for RADIUS-over-TCP transport.
RADIUS-over-TCPトランスポートに関する他の既知のセキュリティ問題は(現時点では)ありません。
[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.
[RFC2119] Bradner、S。、「要件レベルを示すためにRFCで使用するキーワード」、BCP 14、RFC 2119、1997年3月。
[RFC2865] Rigney, C., Willens, S., Rubens, A., and W. Simpson, "Remote Authentication Dial In User Service (RADIUS)", RFC 2865, June 2000.
[RFC2865] Rigney、C.、Willens、S.、Rubens、A。、およびW. Simpson、「Remote Authentication Dial In User Service(RADIUS)」、RFC 2865、2000年6月。
[RFC3539] Aboba, B. and J. Wood, "Authentication, Authorization and Accounting (AAA) Transport Profile", RFC 3539, June 2003.
[RFC3539] Aboba、B。およびJ. Wood、「Authentication、Authorization and Accounting(AAA)Transport Profile」、RFC 3539、2003年6月。
[RFC5997] DeKok, A., "Use of Status-Server Packets in the Remote Authentication Dial In User Service (RADIUS) Protocol", RFC 5997, August 2010.
[RFC5997] DeKok、A。、「リモート認証ダイヤルインユーザーサービス(RADIUS)プロトコルでのステータスサーバーパケットの使用」、RFC 5997、2010年8月。
[RFC6614] Winter, S., McCauley, M., Venaas, S., and K. Wierenga, "Transport Layer Security (TLS) Encryption for RADIUS", RFC 6614, May 2012.
[RFC6614] Winter、S.、McCauley、M.、Venaas、S.、and K. Wierenga、 "Transport Layer Security(TLS)Encryption for RADIUS"、RFC 6614、May 2012。
[RFC2866] Rigney, C., "RADIUS Accounting", RFC 2866, June 2000.
[RFC2866]リグニー、C。、「RADIUSアカウンティング」、RFC 2866、2000年6月。
[RFC3579] Aboba, B. and P. Calhoun, "RADIUS (Remote Authentication Dial In User Service) Support For Extensible Authentication Protocol (EAP)", RFC 3579, September 2003.
[RFC3579] Aboba、B。およびP. Calhoun、「RADIUS(Remote Authentication Dial In User Service)Support For Extensible Authentication Protocol(EAP)」、RFC 3579、2003年9月。
[RFC4301] Kent, S. and K. Seo, "Security Architecture for the Internet Protocol", RFC 4301, December 2005.
[RFC4301] Kent、S。およびK. Seo、「インターネットプロトコルのセキュリティアーキテクチャ」、RFC 4301、2005年12月。
[RFC4668] Nelson, D., "RADIUS Authentication Client MIB for IPv6", RFC 4668, August 2006.
[RFC4668]ネルソン、D。、「IPv6のRADIUS認証クライアントMIB」、RFC 4668、2006年8月。
[RFC4669] Nelson, D., "RADIUS Authentication Server MIB for IPv6", RFC 4669, August 2006.
[RFC4669]ネルソン、D。、「IPv6のRADIUS認証サーバーMIB」、RFC 4669、2006年8月。
[RFC4670] Nelson, D., "RADIUS Accounting Client MIB for IPv6", RFC 4670, August 2006.
[RFC4670]ネルソン、D。、「IPv6のRADIUSアカウンティングクライアントMIB」、RFC 4670、2006年8月。
[RFC4671] Nelson, D., "RADIUS Accounting Server MIB for IPv6", RFC 4671, August 2006.
[RFC4671] Nelson、D。、「RADIUS Accounting Server MIB for IPv6」、RFC 4671、2006年8月。
[RFC4672] De Cnodder, S., Jonnala, N., and M. Chiba, "RADIUS Dynamic Authorization Client MIB", RFC 4672, September 2006.
[RFC4672] De Cnodder、S.、Jonnala、N。、およびM. Chiba、「RADIUS Dynamic Authorization Client MIB」、RFC 4672、2006年9月。
[RFC4673] De Cnodder, S., Jonnala, N., and M. Chiba, "RADIUS Dynamic Authorization Server MIB", RFC 4673, September 2006.
[RFC4673] De Cnodder、S.、Jonnala、N。、およびM. Chiba、「RADIUS Dynamic Authorization Server MIB」、RFC 4673、2006年9月。
[RFC5080] Nelson, D. and A. DeKok, "Common Remote Authentication Dial In User Service (RADIUS) Implementation Issues and Suggested Fixes", RFC 5080, December 2007.
[RFC5080] Nelson、D。およびA. DeKok、「Common Remote Authentication Dial In User Service(RADIUS)Implementation Issues and Suggested Fixes」、RFC 5080、2007年12月。
[RFC5176] Chiba, M., Dommety, G., Eklund, M., Mitton, D., and B. Aboba, "Dynamic Authorization Extensions to Remote Authentication Dial In User Service (RADIUS)", RFC 5176, January 2008.
[RFC5176] Chiba、M.、Dommety、G.、Eklund、M.、Mitton、D.、and B. Aboba、 "Dynamic Authorization Extensions to Remote Authentication Dial In User Service(RADIUS)"、RFC 5176、January 2008。
[RFC5216] Simon, D., Aboba, B., and R. Hurst, "The EAP-TLS Authentication Protocol", RFC 5216, March 2008.
[RFC5216]サイモン、D。、アボバ、B。、およびR.ハースト、「EAP-TLS認証プロトコル」、RFC 5216、2008年3月。
[RFC5246] Dierks, T. and E. Rescorla, "The Transport Layer Security (TLS) Protocol Version 1.2", RFC 5246, August 2008.
[RFC5246] Dierks、T。およびE. Rescorla、「The Transport Layer Security(TLS)Protocol Version 1.2」、RFC 5246、2008年8月。
Author's Address
著者のアドレス
Alan DeKok The FreeRADIUS Server Project http://freeradius.org/
Alan DeKok FreeRADIUSサーバープロジェクトhttp://freeradius.org/
EMail: aland@freeradius.org