[要約] RFC 7037は、DHCPv6リレーエージェントのためのRADIUSオプションに関する仕様です。このRFCの目的は、DHCPv6リレーエージェントがRADIUSサーバと通信するためのオプションを定義することです。
Internet Engineering Task Force (IETF) L. Yeh
Request for Comments: 7037 Freelancer Technologies
Category: Standards Track M. Boucadair
ISSN: 2070-1721 France Telecom
October 2013
RADIUS Option for the DHCPv6 Relay Agent
DHCPv6リレーエージェントのRADIUSオプション
Abstract
概要
The DHCPv6 RADIUS option provides a mechanism to exchange authorization and identification information between the DHCPv6 relay agent and DHCPv6 server. This architecture assumes that the Network Access Server (NAS) acts as both a DHCPv6 relay agent and RADIUS client. When receiving messages from the DHCPv6 clients, the NAS consults the RADIUS server and adds the RADIUS response when forwarding the DHCPv6 client's messages to the DHCPv6 server. The DHCPv6 server then uses that additional information to generate an appropriate response to the DHCPv6 client's requests.
DHCPv6 RADIUSオプションは、DHCPv6リレーエージェントとDHCPv6サーバー間で認証および識別情報を交換するメカニズムを提供します。このアーキテクチャでは、ネットワークアクセスサーバー(NAS)がDHCPv6リレーエージェントとRADIUSクライアントの両方として機能することを想定しています。 DHCPv6クライアントからメッセージを受信すると、NASはRADIUSサーバーに問い合わせ、DHCPv6クライアントのメッセージをDHCPv6サーバーに転送するときにRADIUS応答を追加します。 DHCPv6サーバーは、その追加情報を使用して、DHCPv6クライアントの要求に対する適切な応答を生成します。
Status of This Memo
本文書の状態
This is an Internet Standards Track document.
これはInternet Standards Trackドキュメントです。
This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community. It has received public review and has been approved for publication by the Internet Engineering Steering Group (IESG). Further information on Internet Standards is available in Section 2 of RFC 5741.
このドキュメントは、IETF(Internet Engineering Task Force)の製品です。これは、IETFコミュニティのコンセンサスを表しています。公開レビューを受け、インターネットエンジニアリングステアリンググループ(IESG)による公開が承認されました。インターネット標準の詳細については、RFC 5741のセクション2をご覧ください。
Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at http://www.rfc-editor.org/info/rfc7037.
このドキュメントの現在のステータス、エラータ、およびフィードバックの提供方法に関する情報は、http://www.rfc-editor.org/info/rfc7037で入手できます。
Copyright Notice
著作権表示
Copyright (c) 2013 IETF Trust and the persons identified as the document authors. All rights reserved.
Copyright(c)2013 IETF Trustおよびドキュメントの作成者として識別された人物。全著作権所有。
This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (http://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Simplified BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Simplified BSD License.
この文書は、BCP 78およびこの文書の発行日に有効なIETF文書に関するIETFトラストの法的規定(http://trustee.ietf.org/license-info)の対象となります。これらのドキュメントは、このドキュメントに関するあなたの権利と制限を説明しているため、注意深く確認してください。このドキュメントから抽出されたコードコンポーネントには、Trust Legal Provisionsのセクション4.eに記載されているSimplified BSD Licenseのテキストが含まれている必要があり、Simplified BSD Licenseに記載されているように保証なしで提供されます。
Table of Contents
目次
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . 2
2. Terminology and Language . . . . . . . . . . . . . . . . . . 3
3. Network Scenarios . . . . . . . . . . . . . . . . . . . . . . 3
4. DHCPv6 RADIUS Option . . . . . . . . . . . . . . . . . . . . 6
4.1. RADIUS Attributes Permitted in DHCPv6 RADIUS Option . . . 7
5. DHCPv6 Relay Agent Behavior . . . . . . . . . . . . . . . . . 7
6. DHCPv6 Server Behavior . . . . . . . . . . . . . . . . . . . 7
7. DHCPv6 Client Behavior . . . . . . . . . . . . . . . . . . . 7
8. Security Considerations . . . . . . . . . . . . . . . . . . . 8
9. IANA Considerations . . . . . . . . . . . . . . . . . . . . . 8
10. Acknowledgements . . . . . . . . . . . . . . . . . . . . . . 9
11. References . . . . . . . . . . . . . . . . . . . . . . . . . 9
11.1. Normative References . . . . . . . . . . . . . . . . . . 9
11.2. Informative References . . . . . . . . . . . . . . . . . 10
DHCPv6 provides a mechanism that allows the server to assign or delegate both stateful and stateless configuration parameters to clients. The stateful configuration parameters include IPv6 addresses [RFC3315] and IPv6 prefixes [RFC3633]. The stateless configuration parameters [RFC3736] include, for example, DNS [RFC3646], or a Fully Qualified Domain Name (FQDN) of an Address Family Transition Router (AFTR) [RFC6334]. In the scenarios described in this document, the DHCPv6 server is deployed in the central part of an ISP network.
DHCPv6は、サーバーがステートフル構成パラメーターとステートレス構成パラメーターの両方をクライアントに割り当てまたは委任できるメカニズムを提供します。ステートフル構成パラメーターには、IPv6アドレス[RFC3315]およびIPv6プレフィックス[RFC3633]が含まれます。ステートレス構成パラメーター[RFC3736]には、たとえば、DNS [RFC3646]、またはアドレスファミリー移行ルーター(AFTR)の完全修飾ドメイン名(FQDN)[RFC6334]が含まれます。このドキュメントで説明するシナリオでは、DHCPv6サーバーはISPネットワークの中央部分に配置されています。
RADIUS [RFC2865] is widely used as the centralized authentication, authorization, and user management mechanism for service provision in a Broadband access network. [RFC3162], [RFC4818], [RFC6519], and [RFC6911] specify the attributes that support the service provision for IPv6-only and IPv6-transition access. The RADIUS server authorizes the Network Access Server (NAS) to assign an IPv6 address or prefix from the indicated pool, or to assign an IPv6 address or prefix with an explicitly indicated value, and to indicate other configuration parameters as per the RADIUS attributes for the subscribers.
RADIUS [RFC2865]は、ブロードバンドアクセスネットワークでサービスを提供するための集中認証、承認、およびユーザー管理メカニズムとして広く使用されています。 [RFC3162]、[RFC4818]、[RFC6519]、および[RFC6911]は、IPv6-onlyおよびIPv6-transitionアクセスのサービスプロビジョニングをサポートする属性を指定します。 RADIUSサーバーは、ネットワークアクセスサーバー(NAS)に、示されたプールからIPv6アドレスまたはプレフィックスを割り当てること、または明示的に示された値でIPv6アドレスまたはプレフィックスを割り当てること、およびRADIUSのRADIUS属性に従って他の構成パラメーターを示すことを承認します加入者。
When the NAS acts as the distributed DHCPv6 server and RADIUS client simultaneously, it communicates with the RADIUS server after receiving a request from the DHCPv6 client. Upon receiving the Access-Accept message from the RADIUS server, the NAS then responds to the DHCPv6 client's requests per the associated authorization information indicated by the RADIUS attributes in the Access-Accept message. When NAS acts as the DHCPv6 relay agent and RADIUS client simultaneously, and the centralized DHCPv6 server is co-located with the RADIUS server, they may share the same database of users. However, when the centralized DHCPv6 server is not located in the same place as the RADIUS server, a new communication mechanism is needed for the DHCPv6 relay agent to transfer the authorization information indicated by the RADIUS attributes to the DHCPv6 server.
NASが分散DHCPv6サーバーとRADIUSクライアントとして同時に機能する場合、NASはDHCPv6クライアントから要求を受信した後、RADIUSサーバーと通信します。 NASは、RADIUSサーバーからAccess-Acceptメッセージを受信すると、Access-Acceptメッセージ内のRADIUS属性で示される関連する認証情報に従って、DHCPv6クライアントの要求に応答します。 NASがDHCPv6リレーエージェントおよびRADIUSクライアントとして同時に機能し、中央集中型DHCPv6サーバーがRADIUSサーバーと同じ場所に配置されている場合、それらはユーザーの同じデータベースを共有できます。ただし、集中型DHCPv6サーバーがRADIUSサーバーと同じ場所にない場合、DHCPv6リレーエージェントがRADIUS属性で示される承認情報をDHCPv6サーバーに転送するには、新しい通信メカニズムが必要です。
This document specifies a new DHCPv6 option for the DHCPv6 Relay Agent to transfer the authorization information of RADIUS attributes received in the Access-Accept message from the RADIUS server to the centralized DHCPv6 server. Definitions for terms and acronyms not specified in this document are defined in [RFC2865] and [RFC3315].
このドキュメントでは、DHCPv6リレーエージェントがAccess-Acceptメッセージで受信したRADIUS属性の承認情報をRADIUSサーバーから集中型DHCPv6サーバーに転送するための新しいDHCPv6オプションを指定します。このドキュメントで指定されていない用語と頭字語の定義は、[RFC2865]と[RFC3315]で定義されています。
The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in [RFC2119].
このドキュメントのキーワード「MUST」、「MUST NOT」、「REQUIRED」、「SHALL」、「SHALL NOT」、「SHOULD」、「SHOULD NOT」、「RECOMMENDED」、「MAY」、および「OPTIONAL」は、 [RFC2119]で説明されているように解釈されます。
Figures 1 and 2 show the typical network scenarios where the communication mechanism introduced in this document is necessary. In these scenarios, the centralized DHCPv6 server is not co-located with the RADIUS server, but both are in the same administrative domain. The NAS acts as the DHCPv6 relay agent and the RADIUS client simultaneously. Figure 1 shows the sequence of DHCPv6 and RADIUS messages for the IP over Ethernet (IPoE) access model, when the access loop adopts the direct Ethernet encapsulation. Figure 2 shows the sequence of DHCPv6 and RADIUS messages for the PPP over Ethernet (PPPoE) access model.
図1と2は、このドキュメントで紹介されている通信メカニズムが必要となる一般的なネットワークシナリオを示しています。これらのシナリオでは、集中型DHCPv6サーバーはRADIUSサーバーと同じ場所に配置されていませんが、両方が同じ管理ドメインにあります。 NASはDHCPv6リレーエージェントとRADIUSクライアントとして同時に機能します。図1は、アクセスループが直接イーサネットカプセル化を採用している場合の、IP over Ethernet(IPoE)アクセスモデルのDHCPv6およびRADIUSメッセージのシーケンスを示しています。図2は、PPP over Ethernet(PPPoE)アクセスモデルのDHCPv6およびRADIUSメッセージのシーケンスを示しています。
The mechanism introduced in this document is a generic mechanism and might also be employed in other network scenarios where the DHCPv6 relay agent and the RADIUS client are located in the same device.
このドキュメントで紹介されているメカニズムは一般的なメカニズムであり、DHCPv6リレーエージェントとRADIUSクライアントが同じデバイスにある他のネットワークシナリオでも採用される可能性があります。
+-------+ +-------+ +-------+
|DHCPv6 | Access Model: | NAS | |RADIUS |
|Client | IPoE | | |Server |
+-------+ +-------+ +-------+
RADIUS Client/DHCPv6 Relay Agent
| | |
|---Solicit---------------->| |
| |---Access-Request---------->|
| | |
| |<--Access-Accept------------|
| |(e.g. Delegated-IPv6-Prefix)|
| | |
DHCPv6 messages RADIUS messages
DHCPv6メッセージRADIUSメッセージ
+-------+
|DHCPv6 |
|Server |
+-------+
| | |
| |---Relay-forward----------->|
| | (OPTION_RADIUS) |
| | |
| |<--Relay-reply -------------|
|<--Advertise---------------| |
| (e.g., IA_PD) | |
| | |
|---Request---------------->| |
| (e.g., IA_PD) |---Relay-forward----------->|
| | (OPTION_RADIUS) |
| | |
| |<--Relay-reply -------------|
|<--Reply-------------------| |
| (e.g., IA_PD) | |
| | |
DHCPv6 messages DHCPv6 messages
DHCPv6メッセージDHCPv6メッセージ
Figure 1: Network Scenario and Message Sequence When Employing DHCPv6 RADIUS Option in IPoE Access
図1:IPoEアクセスでDHCPv6 RADIUSオプションを使用する場合のネットワークシナリオとメッセージシーケンス
+-------+ +-------+ +-------+
|DHCPv6 | Access Model: | NAS | |RADIUS |
|Client | PPPoE | | |Server |
+-------+ +-------+ +-------+
RADIUS Client/DHCPv6 Relay Agent
| | |
|--PPP LCP Config-Request-->| |
| |---Access-Request---------->|
| | |
| |<--Access-Accept------------|
|<----PPP LCP Config-ACK----|(e.g. Delegated-IPv6-Prefix)|
| | |
PPP messages RADIUS messages
PPPメッセージRADIUSメッセージ
+-------+
|DHCPv6 |
|Server |
+-------+
| | |
|---Solicit---------------->| |
| |---Relay-forward----------->|
| | (OPTION_RADIUS) |
| | |
| |<--Relay-reply -------------|
|<--Advertise---------------| |
| (e.g., IA_PD) | |
| | |
|---Request---------------->| |
| (e.g., IA_PD) |---Relay-forward----------->|
| | (OPTION_RADIUS)
| | |
| |<--Relay-reply -------------|
|<--Reply-------------------| |
| (e.g., IA_PD) | |
| | |
DHCPv6 messages DHCPv6 messages
DHCPv6メッセージDHCPv6メッセージ
Figure 2: Network Scenario and Message Sequence When Employing DHCPv6 RADIUS Option in PPPoE Access
図2:PPPoEアクセスでDHCPv6 RADIUSオプションを使用する場合のネットワークシナリオとメッセージシーケンス
If the authentication or the authorization through RADIUS fails, the associated message sequences will stop. The NAS acting as the DHCPv6 relay agent will not forward the message received from the client to the DHCPv6 server. If the authentication or the authorization through RADIUS passes, the NAS MUST store the information indicated in the RADIUS attributes received in the Access-Accept message from the RADIUS server during the whole session. How the NAS manages this information during the RADIUS session is out of the scope of this document.
RADIUSを介した認証または許可が失敗すると、関連するメッセージシーケンスが停止します。 DHCPv6リレーエージェントとして機能するNASは、クライアントから受信したメッセージをDHCPv6サーバーに転送しません。 RADIUSを介した認証または承認に合格した場合、NASは、セッション全体を通じてRADIUSサーバーからAccess-Acceptメッセージで受信したRADIUS属性に示されている情報を保存する必要があります。 NASがRADIUSセッション中にこの情報を管理する方法は、このドキュメントの範囲外です。
After receiving a RENEW (5) message from the DHCPv6 client, the NAS SHOULD NOT initiate a new Access-Request/Access-Accept message exchange with the RADIUS server. After receiving a REBIND (6) message from the DHCPv6 client, the NAS MUST initiate a new Access-Request/Access-Accept message exchange with the RADIUS server, unless RADIUS capability is disabled on the NAS.
DHCPv6クライアントからRENEW(5)メッセージを受信した後、NASはRADIUSサーバーとの新しいAccess-Request / Access-Acceptメッセージ交換を開始してはなりません(SHOULD NOT)。 DHCPv6クライアントからREBIND(6)メッセージを受信した後、NASでRADIUS機能が無効になっていない限り、NASはRADIUSサーバーとの新しいAccess-Request / Access-Acceptメッセージ交換を開始する必要があります。
The OPTION_RADIUS is a DHCPv6 option used by the DHCPv6 relay agent to carry the authorization information of RADIUS attributes received in the Access-Accept message from the RADIUS server.
OPTION_RADIUSはDHCPv6リレーエージェントによって使用されるDHCPv6オプションで、RADIUSサーバーからAccess-Acceptメッセージで受信したRADIUS属性の認証情報を伝達します。
The format of the OPTION_RADIUS option is defined as follows:
OPTION_RADIUSオプションの形式は、次のように定義されています。
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| OPTION_RADIUS | option-len |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| option-data (List of RADIUS Attributes)
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
option-code 81 option-len Length of the option-data in octets option-data List of one or more RADIUS attributes
option-code 81 option-lenオプションデータの長さ(オクテット)option-data 1つ以上のRADIUS属性のリスト
The option-data of OPTION_RADIUS is a list of one or more RADIUS attributes received in the Access-Accept message from the RADIUS server. The format of RADIUS attributes is defined in Section 5 of [RFC2865] as well as Sections 2.1 and 2.2 of [RFC6929]. If multiple attributes with the same type (including the Long Extended Type defined in Section 2.2 of [RFC6929]) are present, the order of attributes with the same type MUST be the same as that received from the RADIUS server. The OPTION_RADIUS can only contain the RADIUS attributes listed in the "RADIUS Attributes Permitted in DHCPv6 RADIUS Option" registry.
OPTION_RADIUSのoption-dataは、RADIUSサーバーからAccess-Acceptメッセージで受信された1つ以上のRADIUS属性のリストです。 RADIUS属性の形式は、[RFC2865]のセクション5と[RFC6929]のセクション2.1および2.2で定義されています。同じタイプの複数の属性([RFC6929]のセクション2.2で定義されたLong Extended Typeを含む)が存在する場合、同じタイプの属性の順序は、RADIUSサーバーから受信した順序と同じでなければなりません。 OPTION_RADIUSには、「DHCPv6 RADIUSオプションで許可されているRADIUS属性」レジストリにリストされているRADIUS属性のみを含めることができます。
According to the network scenarios described in Section 3, the OPTION_RADIUS should appear in the RELAY-FORW (12) message relaying SOLICIT (1), REQUEST (3), and REBIND (6) from the DHCPv6 client and may appear in the RELAY-FORW (12) relaying any other message from the DHCPv6 client.
セクション3で説明したネットワークシナリオによると、OPTION_RADIUSは、DHCPv6クライアントからSOLICIT(1)、REQUEST(3)、およびREBIND(6)をリレーするRELAY-FORW(12)メッセージに表示され、RELAY- FORW(12)DHCPv6クライアントからの他のメッセージを中継します。
The RADIUS attributes listed in the following table are the initial attributes registered in the "RADIUS Attributes Permitted in DHCPv6 RADIUS Option" registry. New RADIUS attributes can be added to this list after Expert Review [RFC5226].
次の表にリストされているRADIUS属性は、「DHCPv6 RADIUSオプションで許可されているRADIUS属性」レジストリに登録されている初期属性です。新しいRADIUS属性は、Expert Review [RFC5226]の後でこのリストに追加できます。
Type Code Attribute Reference
26 Vendor-Specific [RFC2865]
123 Delegated-IPv6-Prefix [RFC4818]
144 DS-Lite-Tunnel-Name [RFC6519]
168 Framed-IPv6-Address [RFC6911]
169 DNS-Server-IPv6-Address [RFC6911]
171 Delegated-IPv6-Prefix-Pool [RFC6911]
172 Stateful-IPv6-Address-Pool [RFC6911]
Note: The RADIUS attribute's 'Length' defined in Section 5 of [RFC2865] includes the length of 'Type' and 'Length' fields.
注:[RFC2865]のセクション5で定義されているRADIUS属性の「長さ」には、「タイプ」フィールドと「長さ」フィールドの長さが含まれています。
If the Relay Agent is configured to send OPTION_RADIUS, and the Access-Accept message from the RADIUS server contained RADIUS attributes permitted for use in OPTION_RADIUS, the Relay Agent MUST include OPTION_RADIUS in the RELAY-FORW (12) message. The DHCPv6 relay agent adds the permitted RADIUS attributes into OPTION_RADIUS one by one; if multiple attributes with the same type are present, the order of attributes with the same type MUST be the same as that received from the RADIUS server.
リレーエージェントがOPTION_RADIUSを送信するように構成されており、RADIUSサーバーからのAccess-AcceptメッセージにOPTION_RADIUSでの使用が許可されているRADIUS属性が含まれている場合、リレーエージェントはRELAY-FORW(12)メッセージにOPTION_RADIUSを含める必要があります。 DHCPv6リレーエージェントは、許可されたRADIUS属性をOPTION_RADIUSに1つずつ追加します。同じタイプの属性が複数存在する場合、同じタイプの属性の順序は、RADIUSサーバーから受信した順序と同じでなければなりません。
Upon receipt of the RELAY-FORW (12) message with OPTION_RADIUS from a relay agent, the DHCPv6 server that supports OPTION_RADIUS SHOULD extract and interpret the RADIUS attributes in the OPTION_RADIUS and use that information to select configuration parameters for the requesting client. If the DHCPv6 server does not support OPTION_RADIUS, the DHCPv6 server MUST silently discard this option.
リレーエージェントからOPTION_RADIUSを含むRELAY-FORW(12)メッセージを受信すると、OPTION_RADIUSをサポートするDHCPv6サーバーは、OPTION_RADIUS内のRADIUS属性を抽出して解釈し、その情報を使用して要求側クライアントの構成パラメーターを選択します。 DHCPv6サーバーがOPTION_RADIUSをサポートしていない場合、DHCPv6サーバーはこのオプションを通知せずに破棄する必要があります。
OPTION_RADIUS is only exchanged between the relay agents and the servers. DHCPv6 clients are not aware of the usage of OPTION_RADIUS. DHCPv6 clients MUST NOT send OPTION_RADIUS and MUST ignore OPTION_RADIUS if received.
OPTION_RADIUSは、リレーエージェントとサーバーの間でのみ交換されます。 DHCPv6クライアントは、OPTION_RADIUSの使用を認識していません。 DHCPv6クライアントはOPTION_RADIUSを送信してはならず(MUST NOT)、受信された場合はOPTION_RADIUSを無視する必要があります。
Known security vulnerabilities of the DHCPv6 and RADIUS protocols may apply to their options. Security issues related with DHCPv6 are described in Section 23 of [RFC3315]. Security issues related with RADIUS are described in Section 8 of [RFC2865], Section 5 of [RFC3162], and Section 11 of [RFC6929].
DHCPv6およびRADIUSプロトコルの既知のセキュリティ脆弱性がそれらのオプションに適用される場合があります。 DHCPv6に関連するセキュリティの問題は、[RFC3315]のセクション23で説明されています。 RADIUSに関連するセキュリティの問題は、[RFC2865]のセクション8、[RFC3162]のセクション5、および[RFC6929]のセクション11で説明されています。
The mechanism described in this document may introduce a new attack vector against the DHCPv6 server in cases where the DHCPv6 relay agent is compromised. By forging the RADIUS attributes contained in the OPTION_RADIUS of the RELAY-FORW (12) messages, the attacker may influence the parameter assignment on the DHCPv6 server for the DHCPv6 clients. However, as described in the Section 3, NAS always belongs to the same administrative domain of the DHCPv6 server in the real deployment.
このドキュメントで説明されているメカニズムは、DHCPv6リレーエージェントが侵害された場合に、DHCPv6サーバーに対する新しい攻撃ベクトルを導入する可能性があります。 RELAY-FORW(12)メッセージのOPTION_RADIUSに含まれているRADIUS属性を偽造することにより、攻撃者はDHCPv6クライアントのDHCPv6サーバーでのパラメータ割り当てに影響を与える可能性があります。ただし、セクション3で説明したように、NASは実際の展開では常にDHCPv6サーバーの同じ管理ドメインに属しています。
Network administrators should be aware that although RADIUS messages are encrypted, DHCPv6 messages are always unencrypted. It is possible that some RADIUS vendor-specific attributes might contain sensitive or confidential information. Network administrators are strongly advised to prevent such information from being included in DHCPv6 messages.
ネットワーク管理者は、RADIUSメッセージは暗号化されていますが、DHCPv6メッセージは常に暗号化されていないことに注意してください。一部のRADIUSベンダー固有の属性には、機密情報が含まれている可能性があります。ネットワーク管理者は、そのような情報がDHCPv6メッセージに含まれないようにすることを強くお勧めします。
If the use of vendor-specific attributes with confidential content is required, administrators are advised to use IPsec with encryption to protect the confidentiality of the RADIUS attributes. Relay agents and servers implementing this specification MUST support the use of IPsec Encapsulating Security Payload (ESP) with encryption in transport mode, according to Section 3.1.1 of [RFC4303] and Section 21.1 of [RFC3315].
機密コンテンツでベンダー固有の属性を使用する必要がある場合、管理者はIPsecと暗号化を使用してRADIUS属性の機密性を保護することをお勧めします。 [RFC4303]のセクション3.1.1と[RFC3315]のセクション21.1によると、この仕様を実装するリレーエージェントとサーバーは、トランスポートモードでの暗号化によるIPsecカプセル化セキュリティペイロード(ESP)の使用をサポートする必要があります。
IANA has assigned OPTION_RADIUS (81) in the "DHCP Option Codes" registry, as defined in Section 4. In addition, IANA has created a new registry entitled "RADIUS Attributes Permitted in DHCPv6 RADIUS Option" in the "Dynamic Host Configuration Protocol for IPv6 (DHCPv6)" registry, as defined in Section 4.1. The new registry enumerates the RADIUS Attributes Types (http://www.iana.org/assignments/radius-types) that are permitted for
セクション4で定義されているように、IANAは「DHCPオプションコード」レジストリでOPTION_RADIUS(81)を割り当てました。さらに、IANAは「IPv6の動的ホスト構成プロトコル」で「DHCPv6 RADIUSオプションで許可されたRADIUS属性」というタイトルの新しいレジストリを作成しました(DHCPv6)」レジストリ(セクション4.1で定義)。新しいレジストリは、許可されているRADIUS属性タイプ(http://www.iana.org/assignments/radius-types)を列挙します。
inclusion in the DHCPv6 RADIUS option. The allocation policy of this "RADIUS Attributes Permitted in DHCPv6 RADIUS Option" registry is Expert Review per [RFC5226]. Designated experts should carefully consider the security implications of allowing the relay agent to include new RADIUS attributes to this registry.
DHCPv6 RADIUSオプションに含まれています。この「DHCPv6 RADIUSオプションで許可されるRADIUS属性」レジストリの割り当てポリシーは、[RFC5226]によるExpert Reviewです。指定された専門家は、リレーエージェントがこのレジストリに新しいRADIUS属性を含めることを許可することのセキュリティへの影響を慎重に検討する必要があります。
Thanks to Tomek Mrugalski, Bernie Volz, Gaurav Halwasia, and Roberta Maglione for their thorough review comments in the DHC working group mailing list. Thanks also to Ted Lemon for his continuous encouragement and technical guidance.
DHCワーキンググループメーリングリストでの徹底的なレビューコメントを提供してくれたTomek Mrugalski、Bernie Volz、Gaurav Halwasia、Roberta Maglioneに感謝します。また、Ted Lemon氏の絶え間ない励ましと技術指導に感謝します。
[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.
[RFC2119] Bradner、S。、「要件レベルを示すためにRFCで使用するキーワード」、BCP 14、RFC 2119、1997年3月。
[RFC2865] Rigney, C., Willens, S., Rubens, A., and W. Simpson, "Remote Authentication Dial In User Service (RADIUS)", RFC 2865, June 2000.
[RFC2865] Rigney、C.、Willens、S.、Rubens、A。、およびW. Simpson、「Remote Authentication Dial In User Service(RADIUS)」、RFC 2865、2000年6月。
[RFC3315] Droms, R., Bound, J., Volz, B., Lemon, T., Perkins, C., and M. Carney, "Dynamic Host Configuration Protocol for IPv6 (DHCPv6)", RFC 3315, July 2003.
[RFC3315] Droms、R.、Bound、J.、Volz、B.、Lemon、T.、Perkins、C.、and M. Carney、 "Dynamic Host Configuration Protocol for IPv6(DHCPv6)"、RFC 3315、July 2003 。
[RFC4303] Kent, S., "IP Encapsulating Security Payload (ESP)", RFC 4303, December 2005.
[RFC4303]ケント、S。、「IPカプセル化セキュリティペイロード(ESP)」、RFC 4303、2005年12月。
[RFC4818] Salowey, J. and R. Droms, "RADIUS Delegated-IPv6-Prefix Attribute", RFC 4818, April 2007.
[RFC4818] Salowey、J。およびR. Droms、「RADIUS Delegated-IPv6-Prefix Attribute」、RFC 4818、2007年4月。
[RFC5226] Narten, T. and H. Alvestrand, "Guidelines for Writing an IANA Considerations Section in RFCs", BCP 26, RFC 5226, May 2008.
[RFC5226] Narten、T。およびH. Alvestrand、「RFCでIANAの考慮事項セクションを作成するためのガイドライン」、BCP 26、RFC 5226、2008年5月。
[RFC6519] Maglione, R. and A. Durand, "RADIUS Extensions for Dual-Stack Lite", RFC 6519, February 2012.
[RFC6519] Maglione、R。およびA. Durand、「デュアルスタックライト用のRADIUS拡張機能」、RFC 6519、2012年2月。
[RFC6911] Dec, W., Sarikaya, B., Zorn, G., Miles, D., and B. Lourdelet, "RADIUS Attributes for IPv6 Access Networks", RFC 6911, April 2013.
[RFC6911] 12月、W.、Sarikaya、B.、Zorn、G.、Miles、D。、およびB. Lourdelet、「RADIUS Attributes for IPv6 Access Networks」、RFC 6911、2013年4月。
[RFC6929] DeKok, A. and A. Lior, "Remote Authentication Dial In User Service (RADIUS) Protocol Extensions", RFC 6929, April 2013.
[RFC6929] DeKok、A。およびA. Lior、「Remote Authentication Dial In User Service(RADIUS)Protocol Extensions」、RFC 6929、2013年4月。
[RFC3162] Aboba, B., Zorn, G., and D. Mitton, "RADIUS and IPv6", RFC 3162, August 2001.
[RFC3162] Aboba、B.、Zorn、G。、およびD. Mitton、「RADIUS and IPv6」、RFC 3162、2001年8月。
[RFC3633] Troan, O. and R. Droms, "IPv6 Prefix Options for Dynamic Host Configuration Protocol (DHCP) version 6", RFC 3633, December 2003.
[RFC3633] Troan、O。およびR. Droms、「動的ホスト構成プロトコル(DHCP)バージョン6のIPv6プレフィックスオプション」、RFC 3633、2003年12月。
[RFC3646] Droms, R., "DNS Configuration options for Dynamic Host Configuration Protocol for IPv6 (DHCPv6)", RFC 3646, December 2003.
[RFC3646] Droms、R。、「IPv6の動的ホスト構成プロトコル(DHCPv6)のDNS構成オプション」、RFC 3646、2003年12月。
[RFC3736] Droms, R., "Stateless Dynamic Host Configuration Protocol (DHCP) Service for IPv6", RFC 3736, April 2004.
[RFC3736] Droms、R。、「IPv6用のステートレス動的ホスト構成プロトコル(DHCP)サービス」、RFC 3736、2004年4月。
[RFC6334] Hankins, D. and T. Mrugalski, "Dynamic Host Configuration Protocol for IPv6 (DHCPv6) Option for Dual-Stack Lite", RFC 6334, August 2011.
[RFC6334] Hankins、D。およびT. Mrugalski、「Dynamic Host Configuration Protocol for IPv6(DHCPv6)Option for Dual-Stack Lite」、RFC 6334、2011年8月。
Authors' Addresses
著者のアドレス
Leaf Y. Yeh Freelancer Technologies P. R. China
Leaf Y. YehフリーランサーテクノロジーズP. R.中国
EMail: leaf.yeh.sdo@gmail.com
Mohamed Boucadair France Telecom France
Mohamed Boucadair France Telecom France
EMail: mohamed.boucadair@orange.com