Network Working Group P. Calhoun
Request for Comments: 4005 G. Zorn
Category: Standards Track Cisco Systems Inc.
D. Spence
Consultant
D. Mitton
Circular Networks
August 2005
Diameter Network Access Server Application
Status of This Memo
このメモのステータス
This document specifies an Internet standards track protocol for the Internet community, and requests discussion and suggestions for improvements. Please refer to the current edition of the "Internet Official Protocol Standards" (STD 1) for the standardization state and status of this protocol. Distribution of this memo is unlimited.
このドキュメントでは、インターネットコミュニティ向けのインターネット標準追跡プロトコルを指定し、改善のための議論と提案を求めています。 このプロトコルの標準化状態とステータスについては、「Internet Official Protocol Standards」(STD 1)の最新版を参照してください。 このメモの配布は無制限です。
Copyright Notice
著作権表示
Copyright (C) The Internet Society (2005).
著作権(C)インターネット協会(2005)。
Abstract
抽象
This document describes the Diameter protocol application used for Authentication, Authorization, and Accounting (AAA) services in the Network Access Server (NAS) environment. When combined with the Diameter Base protocol, Transport Profile, and Extensible Authentication Protocol specifications, this application specification satisfies typical network access services requirements.
このドキュメントでは、ネットワークアクセスサーバー(NAS)環境で認証、承認、アカウンティング(AAA)サービスに使用されるDiameterプロトコルアプリケーションについて説明します。 Diameter Baseプロトコル、Transport Profile、およびExtensible Authentication Protocol仕様と組み合わせると、このアプリケーション仕様は一般的なネットワークアクセスサービス要件を満たします。
Initial deployments of the Diameter protocol are expected to include legacy systems. Therefore, this application has been carefully designed to ease the burden of protocol conversion between RADIUS and Diameter. This is achieved by including the RADIUS attribute space to eliminate the need to perform many attribute translations.
Diameterプロトコルの初期展開には、レガシーシステムが含まれると予想されます。 したがって、このアプリケーションは、RADIUSとDiameterの間のプロトコル変換の負担を軽減するように慎重に設計されています。 これは、RADIUS属性スペースを含めることで実現され、多くの属性変換を実行する必要がなくなります。
The interactions between Diameter applications and RADIUS specified in this document are to be applied to all Diameter applications. In this sense, this document extends the Base Diameter protocol.
このドキュメントで指定されたDiameterアプリケーションとRADIUS間の相互作用は、すべてのDiameterアプリケーションに適用されます。 この意味で、このドキュメントはBase Diameterプロトコルを拡張します。
Table of Contents
目次
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . 5
1.1. Terminology . . . . . . . . . . . . . . . . . . . . . . 5
1.2. Requirements Language . . . . . . . . . . . . . . . . . 6
1.3. Advertising Application Support . . . . . . . . . . . . 6
2. NAS Calls, Ports, and Sessions . . . . . . . . . . . . . . . . 6
2.1. Diameter Session Establishment . . . . . . . . . . . . . 7
2.2. Diameter Session Reauthentication or Reauthorization . . 7
2.3. Diameter Session Termination . . . . . . . . . . . . . . 8
3. NAS Messages . . . . . . . . . . . . . . . . . . . . . . . . . 9
3.1. AA-Request (AAR) Command . . . . . . . . . . . . . . . . 9
3.2. AA-Answer (AAA) Command . . . . . . . . . . . . . . . . 11
3.3. Re-Auth-Request (RAR) Command . . . . . . . . . . . . . 13
3.4. Re-Auth-Answer (RAA) Command . . . . . . . . . . . . . . 14
3.5. Session-Termination-Request (STR) Command . . . . . . . 15
3.6. Session-Termination-Answer (STA) Command . . . . . . . . 15
3.7. Abort-Session-Request (ASR) Command . . . . . . . . . . 16
3.8. Abort-Session-Answer (ASA) Command . . . . . . . . . . . 17
3.9. Accounting-Request (ACR) Command . . . . . . . . . . . . 17
3.10. Accounting-Answer (ACA) Command. . . . . . . . . . . . . 19
4. NAS Session AVPs . . . . . . . . . . . . . . . . . . . . . . . 20
4.1. Call and Session Information . . . . . . . . . . . . . . 21
4.2. NAS-Port AVP . . . . . . . . . . . . . . . . . . . . . . 22
4.3. NAS-Port-Id AVP . . . . . . . . . . . . . . . . . . . . 22
4.4. NAS-Port-Type AVP . . . . . . . . . . . . . . . . . . . 22
4.5. Called-Station-Id AVP . . . . . . . . . . . . . . . . . 23
4.6. Calling-Station-Id AVP . . . . . . . . . . . . . . . . . 23
4.7. Connect-Info AVP . . . . . . . . . . . . . . . . . . . . 24
4.8. Originating-Line-Info AVP . . . . . . . . . . . . . . . 24
4.9. Reply-Message AVP . . . . . . . . . . . . . . . . . . . 25
5. NAS Authentication AVPs . . . . . . . . . . . . . . . . . . . 26
5.1. User-Password AVP . . . . . . . . . . . . . . . . . . . 26
5.2. Password-Retry AVP . . . . . . . . . . . . . . . . . . . 27
5.3. Prompt AVP . . . . . . . . . . . . . . . . . . . . . . . 27
5.4. CHAP-Auth AVP . . . . . . . . . . . . . . . . . . . . . 27
5.5. CHAP-Algorithm AVP . . . . . . . . . . . . . . . . . . . 28
5.6. CHAP-Ident AVP . . . . . . . . . . . . . . . . . . . . . 28
5.7. CHAP-Response AVP . . . . . . . . . . . . . . . . . . . 28
5.8. CHAP-Challenge AVP . . . . . . . . . . . . . . . . . . . 28
5.9. ARAP-Password AVP . . . . . . . . . . . . . . . . . . . 28
5.10. ARAP-Challenge-Response AVP. . . . . . . . . . . . . . . 28
5.11. ARAP-Security AVP. . . . . . . . . . . . . . . . . . . . 29
5.12. ARAP-Security-Data AVP . . . . . . . . . . . . . . . . . 29
6. NAS Authorization AVPs . . . . . . . . . . . . . . . . . . . . 29
6.1. Service-Type AVP . . . . . . . . . . . . . . . . . . . . 30
6.2. Callback-Number AVP . . . . . . . . . . . . . . . . . . 32
6.3. Callback-Id AVP . . . . . . . . . . . . . . . . . . . . 32
6.4. Idle-Timeout AVP . . . . . . . . . . . . . . . . . . . . 32
6.5. Port-Limit AVP . . . . . . . . . . . . . . . . . . . . . 32
6.6. NAS-Filter-Rule AVP . . . . . . . . . . . . . . . . . . 32
6.7. Filter-Id AVP . . . . . . . . . . . . . . . . . . . . . 33
6.8. Configuration-Token AVP . . . . . . . . . . . . . . . . 33
6.9. QoS-Filter-Rule AVP . . . . . . . . . . . . . . . . . . 33
6.10. Framed Access Authorization AVPs . . . . . . . . . . . . 35
6.10.1. Framed-Protocol AVP . . . . . . . . . . . . . . 35
6.10.2. Framed-Routing AVP. . . . . . . . . . . . . . . 35
6.10.3. Framed-MTU AVP. . . . . . . . . . . . . . . . . 35
6.10.4. Framed-Compression AVP. . . . . . . . . . . . . 36
6.11. IP Access Authorization AVPs.. . . . . . . . . . . . . . 36
6.11.1. Framed-IP-Address AVP . . . . . . . . . . . . . 36
6.11.2. Framed-IP-Netmask AVP . . . . . . . . . . . . . 36
6.11.3. Framed-Route AVP. . . . . . . . . . . . . . . . 37
6.11.4. Framed-Pool AVP . . . . . . . . . . . . . . . . 37
6.11.5. Framed-Interface-Id AVP . . . . . . . . . . . . 37
6.11.6. Framed-IPv6-Prefix AVP. . . . . . . . . . . . . 38
6.11.7. Framed-IPv6-Route AVP . . . . . . . . . . . . . 38
6.11.8. Framed-IPv6-Pool AVP. . . . . . . . . . . . . . 38
6.12. IPX Access . . . . . . . . . . . . . . . . . . . . . . . 38
6.12.1. Framed-IPX-Network AVP. . . . . . . . . . . . . 39
6.13. AppleTalk Network Access . . . . . . . . . . . . . . . . 39
6.13.1. Framed-AppleTalk-Link AVP . . . . . . . . . . . 39
6.13.2. Framed-AppleTalk-Network AVP . . . . . . . . . 39
6.13.3. Framed-AppleTalk-Zone AVP . . . . . . . . . . . 40
6.14. AppleTalk Remote Access. . . . . . . . . . . . . . . . . 40
6.14.1. ARAP-Features AVP . . . . . . . . . . . . . . . 40
6.14.2. ARAP-Zone-Access AVP. . . . . . . . . . . . . . 40
6.15. Non-Framed Access Authorization AVPs . . . . . . . . . . 40
6.15.1. Login-IP-Host AVP . . . . . . . . . . . . . . . 40
6.15.2. Login-IPv6-Host AVP . . . . . . . . . . . . . . 41
6.15.3. Login-Service AVP . . . . . . . . . . . . . . . 41
6.16. TCP Services . . . . . . . . . . . . . . . . . . . . . . 42
6.16.1. Login-TCP-Port AVP . . . . . . . . . . . . . . 42
6.17. LAT Services . . . . . . . . . . . . . . . . . . . . . . 42
6.17.1. Login-LAT-Service AVP . . . . . . . . . . . . . 42
6.17.2. Login-LAT-Node AVP. . . . . . . . . . . . . . . 43
6.17.3. Login-LAT-Group AVP . . . . . . . . . . . . . . 43
6.17.4. Login-LAT-Port AVP. . . . . . . . . . . . . . . 43
7. NAS Tunneling . . . . . . . . . . . . . . . . . . . . . . . . 44
7.1. Tunneling AVP . . . . . . . . . . . . . . . . . . . . . 44
7.2. Tunnel-Type AVP . . . . . . . . . . . . . . . . . . . . 45
7.3. Tunnel-Medium-Type AVP . . . . . . . . . . . . . . . . . 46
7.4. Tunnel-Client-Endpoint AVP . . . . . . . . . . . . . . . 46
7.5. Tunnel-Server-Endpoint AVP . . . . . . . . . . . . . . . 47
7.6. Tunnel-Password AVP . . . . . . . . . . . . . . . . . . 48
7.7. Tunnel-Private-Group-Id AVP . . . . . . . . . . . . . . 48
7.8. Tunnel-Assignment-Id AVP . . . . . . . . . . . . . . . . 48
7.9. Tunnel-Preference AVP . . . . . . . . . . . . . . . . . 49
7.10. Tunnel-Client-Auth-Id AVP. . . . . . . . . . . . . . . . 50
7.11. Tunnel-Server-Auth-Id AVP. . . . . . . . . . . . . . . . 50
8. NAS Accounting . . . . . . . . . . . . . . . . . . . . . . . . 50
8.1. Accounting-Input-Octets AVP . . . . . . . . . . . . . . 51
8.2. Accounting-Output-Octets AVP . . . . . . . . . . . . . . 52
8.3. Accounting-Input-Packets AVP . . . . . . . . . . . . . . 52
8.4. Accounting-Output-Packets AVP . . . . . . . . . . . . . 52
8.5. Acct-Session-Time AVP . . . . . . . . . . . . . . . . . 52
8.6. Acct-Authentic AVP . . . . . . . . . . . . . . . . . . . 52
8.7. Accounting-Auth-Method AVP . . . . . . . . . . . . . . . 53
8.8. Acct-Delay-Time . . . . . . . . . . . . . . . . . . . . 53
8.9. Acct-Link-Count . . . . . . . . . . . . . . . . . . . . 54
8.10. Acct-Tunnel-Connection AVP . . . . . . . . . . . . . . . 54
8.11. Acct-Tunnel-Packets-Lost AVP . . . . . . . . . . . . . . 55
9. RADIUS/Diameter Protocol Interactions . . . . . . . . . . . . 55
9.1. RADIUS Request Forwarded as Diameter Request . . . . . . 55
9.1.1. RADIUS Dynamic Authorization Considerations . . 59
9.2. Diameter Request Forwarded as RADIUS Request . . . . . . 60
9.2.1. RADIUS Dynamic Authorization Considerations . . 62
9.3. AVPs Used Only for Compatibility . . . . . . . . . . . . 63
9.3.1. NAS-Identifier AVP. . . . . . . . . . . . . . . 63
9.3.2. NAS-IP-Address AVP. . . . . . . . . . . . . . . 64
9.3.3. NAS-IPv6-Address AVP. . . . . . . . . . . . . . 65
9.3.4. State AVP . . . . . . . . . . . . . . . . . . . 65
9.3.5. Termination-Cause AVP Code Values . . . . . . . 66
9.3.6. Origin-AAA-Protocol . . . . . . . . . . . . . . 68
9.4. Prohibited RADIUS Attributes . . . . . . . . . . . . . . 69
9.5. Translatable Diameter AVPs . . . . . . . . . . . . . . . 69
9.6. RADIUS Vendor-Specific Attributes . . . . . . . . . . . 69
9.6.1. Forwarding a Diameter Vendor Specific AVP as a
RADIUS VSA . . . . . . . . . . . . . . . . . . . 70
9.6.2. Forwarding a RADIUS VSA as a Diameter Vendor
Specific AVP . . . . . . . . . . . . . . . . . . 70
10. AVP Occurrence Tables. . . . . . . . . . . . . . . . . . . . . 71
10.1. AA-Request/Answer AVP Table. . . . . . . . . . . . . . . 71
10.2. Accounting AVP Tables. . . . . . . . . . . . . . . . . . 73
10.2.1. Accounting Framed Access AVP Table. . . . . . . 74
10.2.2. Accounting Non-Framed Access AVP Table. . . . . 76
11. IANA Considerations. . . . . . . . . . . . . . . . . . . . . . 77
11.1. Command Codes. . . . . . . . . . . . . . . . . . . . . . 77
11.2. AVP Codes. . . . . . . . . . . . . . . . . . . . . . . . 78
11.3. Application Identifier . . . . . . . . . . . . . . . . . 78
11.4. CHAP-Algorithm AVP Values. . . . . . . . . . . . . . . . 78
11.5. Accounting-Auth-Method AVP Values. . . . . . . . . . . . 78
11.6. Origin-AAA-Protocol AVP Values . . . . . . . . . . . . . 78
12. Security Considerations. . . . . . . . . . . . . . . . . . . . 78
13. References . . . . . . . . . . . . . . . . . . . . . . . . . . 79
13.1. Normative References . . . . . . . . . . . . . . . . . . 79
13.2. Informative References . . . . . . . . . . . . . . . . . 80
14. Acknowledgements . . . . . . . . . . . . . . . . . . . . . . . 83
Authors' Addresses . . . . . . . . . . . . . . . . . . . . . . . . 84
Full Copyright Statement . . . . . . . . . . . . . . . . . . . . . 85
This document describes the Diameter protocol application used for AAA in the Network Access Server (NAS) environment. When combined with the Diameter Base protocol [BASE], Transport Profile [DiamTrans], and EAP [DiamEAP] specifications, this Diameter NAS application specification satisfies NAS-related requirements defined in RFC 2989 [AAACriteria] and RFC 3169 [NASCriteria].
このドキュメントでは、ネットワークアクセスサーバー(NAS)環境でAAAに使用されるDiameterプロトコルアプリケーションについて説明します。 Diameter Baseプロトコル[BASE]、Transport Profile [DiamTrans]、およびEAP [DiamEAP]仕様と組み合わせると、このDiameter NASアプリケーション仕様は、RFC 2989 [AAACriteria]およびRFC 3169 [NASCriteria]で定義されたNAS関連の要件を満たします。
Initial deployments of the Diameter protocol are expected to include legacy systems. Therefore, this application has been carefully designed to ease the burden of protocol conversion between RADIUS and Diameter. This is achieved by including the RADIUS attribute space to eliminate the need to perform many attribute translations.
Diameterプロトコルの初期展開には、レガシーシステムが含まれると予想されます。 したがって、このアプリケーションは、RADIUSとDiameterの間のプロトコル変換の負担を軽減するように慎重に設計されています。 これは、RADIUS属性スペースを含めることで実現され、多くの属性変換を実行する必要がなくなります。
The interactions specified in this document between Diameter applications and RADIUS are to be applied to all Diameter applications. In this sense, this document extends the Base Diameter protocol [BASE].
DiameterアプリケーションとRADIUS間のこのドキュメントで指定された相互作用は、すべてのDiameterアプリケーションに適用されます。 この意味で、このドキュメントはBase Diameterプロトコル[BASE]を拡張します。
First, this document describes the operation of a Diameter NAS application. Then it defines the Diameter message Command-Codes. The following sections list the AVPs used in these messages, grouped by common usage. These are session identification, authentication, authorization, tunneling, and accounting. The authorization AVPs are further broken down by service type. Interaction and backward compatibility issues with RADIUS are discussed in later sections.
まず、このドキュメントでは、Diameter NASアプリケーションの操作について説明します。 次に、Diameterメッセージのコマンドコードを定義します。 以下のセクションでは、これらのメッセージで使用されるAVPを、一般的な使用法別にグループ化してリストします。 これらは、セッションの識別、認証、承認、トンネリング、およびアカウンティングです。 許可AVPは、サービスタイプごとにさらに分類されます。 RADIUSとの相互作用および下位互換性の問題については、後のセクションで説明します。
The base Diameter [BASE] specification section 1.4 defines most of the terminology used in this document. Additionally, the following terms and acronyms are used in this application:
ベースDiameter [BASE]仕様セクション1.4は、このドキュメントで使用される用語のほとんどを定義します。 さらに、このアプリケーションでは次の用語と頭字語が使用されます。
NAS (Network Access Server) - A device that provides an access service for a user to a network. The service may be a network connection or a value-added service such as terminal emulation [NASModel].
NAS(ネットワークアクセスサーバー)-ネットワークへのアクセスサービスをユーザーに提供するデバイス。 サービスは、ネットワーク接続または端末エミュレーション[NASModel]などの付加価値サービスです。
PPP (Point-to-Point Protocol) - A multiprotocol serial datalink. PPP is the primary IP datalink used for dial-in NAS connection service [PPP].
PPP(ポイントツーポイントプロトコル)-マルチプロトコルシリアルデータリンク。 PPPは、ダイヤルインNAS接続サービス[PPP]に使用されるプライマリIPデータリンクです。
CHAP (Challenge Handshake Authentication Protocol) - An authentication process used in PPP [PPPCHAP].
CHAP(チャレンジハンドシェイク認証プロトコル)-PPP [PPPCHAP]で使用される認証プロセス。
PAP (Password Authentication Protocol) - A deprecated PPP authentication process, but often used for backward compatibility [PAP].
PAP(パスワード認証プロトコル)-非推奨のPPP認証プロセスですが、多くの場合、下位互換性[PAP]に使用されます。
SLIP (Serial Line Interface Protocol) - A serial datalink that only supports IP. A design prior to PPP.
SLIP(シリアルラインインターフェイスプロトコル)-UPのみをサポートするシリアルデータリンク。 PPP以前の設計。
ARAP (Appletalk Remote Access Protocol) - A serial datalink for accessing Appletalk networks [ARAP].
ARAP(Appletalk Remote Access Protocol)-Appletalkネットワークにアクセスするためのシリアルデータリンク[ARAP]。
IPX (Internet Packet Exchange) - The network protocol used by NetWare networks [IPX].
IPX(インターネットパケット交換)-NetWareネットワーク[IPX]で使用されるネットワークプロトコル。
LAT (Local Area Transport) - A Digital Equipment Corp. LAN protocol for terminal services [LAT].
LAT(ローカルエリアトランスポート)-Digital Equipment Corp.ターミナルサービス用のLANプロトコル[LAT]。
VPN (Virtual Private Network) - In this document, this term is used to describe access services that use tunneling methods.
VPN(仮想プライベートネットワーク)-このドキュメントでは、この用語はトンネリング方式を使用するアクセスサービスを説明するために使用されます。
In this document, the key words "MAY", "MUST", "MUST NOT", "OPTIONAL", "RECOMMENDED", "SHOULD", and "SHOULD NOT" are to be interpreted as described in [Keywords].
このドキュメントでは、キーワード「MAY」、「MUST」、「MUST NOT」、「OPTIONAL」、「RECOMMENDED」、「SHOULD」、および「SHOULD NOT」は[キーワード]で説明されているように解釈されます。
Diameter applications conforming to this specification MUST advertise support by including the value of one (1) in the Auth-Application-Id of Capabilities-Exchange-Request (CER), AA-Request (AAR), and AA-Answer (AAA) messages. All other messages are defined by [BASE] and use the Base application id value.
この仕様に準拠するDiameterアプリケーションは、Capabilities-Exchange-Request(CER)、AA-Request(AAR)、およびAA-Answer(AAA)メッセージのAuth-Application-Idに1の値を含めることによってサポートをアドバタイズする必要があります 。 他のすべてのメッセージは[BASE]によって定義され、ベースアプリケーションID値を使用します。
The arrival of a new call or service connection at a port of a Network Access Server (NAS) starts a Diameter NAS message exchange. Information about the call, the identity of the user, and the user's authentication information are packaged into a Diameter AA-Request (AAR) message and sent to a server.
ネットワークアクセスサーバー(NAS)のポートに新しい呼び出しまたはサービス接続が到着すると、Diameter NASメッセージ交換が開始されます。 呼び出しに関する情報、ユーザーのID、およびユーザーの認証情報は、Diameter AA-Request(AAR)メッセージにパッケージ化され、サーバーに送信されます。
The server processes the information and responds with a Diameter AA-Answer (AAA) message that contains authorization information for the NAS, or a failure code (Result-Code AVP). A value of DIAMETER_MULTI_ROUND_AUTH indicates an additional authentication exchange, and several AAR and AAA messages may be exchanged until the transaction completes.
サーバーは情報を処理し、NASの認証情報または失敗コード(結果コードAVP)を含むDiameter AA-Answer(AAA)メッセージで応答します。 DIAMETER_MULTI_ROUND_AUTHの値は追加の認証交換を示し、トランザクションが完了するまでいくつかのAARおよびAAAメッセージが交換される場合があります。
Depending on the Auth-Request-Type AVP, the Diameter protocol allows authorization-only requests that contain no authentication information from the client. This capability goes beyond the Call Check capabilities described in section 5.6 of [RADIUS] in that no access decision is requested. As a result, service cannot be started as a result of a response to an authorization-only request without introducing a significant security vulnerability.
Auth-Request-Type AVPに応じて、Diameterプロトコルは、クライアントからの認証情報を含まない承認のみの要求を許可します。 この機能は、アクセス決定が要求されないという点で、[RADIUS]のセクション5.6で説明されているコールチェック機能を超えています。 その結果、重大なセキュリティ脆弱性を導入することなく、許可のみの要求に対する応答の結果としてサービスを開始できません。
Since no equivalent capability exists in RADIUS, authorization-only requests from a NAS implementing Diameter may not be easily translated to an equivalent RADIUS message by a Diameter/RADIUS gateway. For example, when a Diameter authorization-only request cannot be translated to a RADIUS Call Check, it would be necessary for the Diameter/RADIUS gateway to add authentication information to the RADIUS Access Request. On receiving the Access-Reply, the Diameter/RADIUS gateway would need to discard the access decision (Accept/Reject). It is not clear whether these translations can be accomplished without adding significant security vulnerabilities.
RADIUSには同等の機能がないため、Diameterを実装するNASからの承認のみの要求は、Diameter / RADIUSゲートウェイによって同等のRADIUSメッセージに簡単に変換できない場合があります。 たとえば、Diameter承認のみのリクエストをRADIUSコールチェックに変換できない場合、Diameter / RADIUSゲートウェイがRADIUSアクセスリクエストに認証情報を追加する必要があります。 Access-Replyを受信すると、Diameter / RADIUSゲートウェイはアクセス決定(Accept / Reject)を破棄する必要があります。 これらの変換が、重大なセキュリティ脆弱性を追加することなく達成できるかどうかは明らかではありません。
When the authentication or authorization exchange completes successfully, the NAS application SHOULD start a session context. If the Result-Code of DIAMETER_MULTI_ROUND_AUTH is returned, the exchange continues until a success or error is returned.
認証または許可の交換が正常に完了すると、NASアプリケーションはセッションコンテキストを開始する必要があります。 DIAMETER_MULTI_ROUND_AUTHの結果コードが返された場合、成功またはエラーが返されるまで交換は続行されます。
If accounting is active, the application MUST also send an Accounting message [BASE]. An Accounting-Record-Type of START_RECORD is sent for a new session. If a session fails to start, the EVENT_RECORD message is sent with the reason for the failure described.
アカウンティングがアクティブな場合、アプリケーションはアカウンティングメッセージ[BASE]も送信する必要があります。 START_RECORDのAccounting-Record-Typeが新しいセッションに送信されます。 セッションの開始に失敗すると、EVENT_RECORDメッセージが失敗の理由とともに説明されて送信されます。
Note that the return of an unsupportable Accounting-Realtime-Required value [BASE] would result in a failure to establish the session.
サポートできないAccounting-Realtime-Required値[BASE]が返されると、セッションの確立に失敗することに注意してください。
The Diameter Base protocol allows users to be periodically reauthenticated and/or reauthorized. In such instances, the Session-Id AVP in the AAR message MUST be the same as the one present in the original authentication/authorization message.
Diameter Baseプロトコルを使用すると、ユーザーを定期的に再認証または再認証することができます。 そのような場合、AARメッセージのSession-Id AVPは、元の認証/認可メッセージに存在するものと同じでなければなりません。
A Diameter server informs the NAS of the maximum time allowed before reauthentication or reauthorization via the Authorization-Lifetime AVP [BASE]. A NAS MAY reauthenticate and/or reauthorize before the end, but A NAS MUST reauthenticate and/or reauthorize at the end of the period provided by the Authorization-Lifetime AVP. The failure of a reauthentication exchange will terminate the service.
Diameterサーバーは、Authorization-Lifetime AVP [BASE]を介して、再認証または再認証の前に許可される最大時間をNASに通知します。 NASは終了前に再認証および/または再認証することができますが、NASはAuthorization-Lifetime AVPによって提供される期間の終わりに再認証および/または再認証する必要があります。 再認証交換の失敗は、サービスを終了します。
Furthermore, it is possible for Diameter servers to issue an unsolicited reauthentication and/or reauthorization request (e.g., Re-Auth-Request (RAR) message [BASE]) to the NAS. Upon receipt of such a message, the NAS MUST respond to the request with a Re-Auth-Answer (RAA) message [BASE].
さらに、Diameterサーバーは、未承諾の再認証および/または再認証要求(たとえば、Re-Auth-Request(RAR)メッセージ[BASE])をNASに発行することができます。 このようなメッセージを受信すると、NASは要求にRe-Auth-Answer(RAA)メッセージ[BASE]で応答する必要があります。
If the RAR properly identifies an active session, the NAS will initiate a new local reauthentication or authorization sequence as indicated by the Re-Auth-Request-Type value. This will cause the NAS to send a new AAR message using the existing Session-Id. The server will respond with an AAA message to specify the new service parameters.
RARがアクティブセッションを適切に識別した場合、NASは、Re-Auth-Request-Type値で示されるように、新しいローカル再認証または許可シーケンスを開始します。 これにより、NASは既存のSession-Idを使用して新しいAARメッセージを送信します。 サーバーは、AAAメッセージで応答して、新しいサービスパラメータを指定します。
If accounting is active, every change of authentication or authorization SHOULD generate an accounting message. If the NAS service is a continuation of the prior user context, then an Accounting-Record-Type of INTERIM_RECORD indicating the new session attributes and cumulative status would be appropriate. If a new user or a significant change in authorization is detected by the NAS, then the service may send two messages of the types STOP_RECORD and START_RECORD. Accounting may change the subsession identifiers (Acct-Session-ID, or Acct-Sub-Session-Id) to indicate such sub-sessions. A service may also use a different Session-Id value for accounting (see [BASE] section 9.6).
アカウンティングがアクティブな場合、認証または許可が変更されるたびに、アカウンティングメッセージが生成される必要があります。 NASサービスが以前のユーザーコンテキストの継続である場合、新しいセッション属性と累積ステータスを示すINTERIM_RECORDのAccounting-Record-Typeが適切です。 新しいユーザーまたは権限の大幅な変更がNASによって検出された場合、サービスはSTOP_RECORDおよびSTART_RECORDタイプの2つのメッセージを送信できます。 アカウンティングは、サブセッションID(Acct-Session-IDまたはAcct-Sub-Session-Id)を変更して、そのようなサブセッションを示すことができます。 サービスは、アカウンティングに別のSession-Id値を使用することもあります([BASE]セクション9.6を参照)。
However, the Diameter Session-ID AVP value used for the initial authorization exchange MUST be used to generate an STR message when the session context is terminated.
ただし、セッションコンテキストが終了したときにSTRメッセージを生成するには、初期認証交換に使用されるDiameter Session-ID AVP値を使用する必要があります。
When a NAS receives an indication that a user's session is being disconnected by the client (e.g., LCP Terminate is received) or an administrative command, the NAS MUST issue a Session-Termination-Request (STR) [BASE] to its Diameter Server. This will ensure that any resources maintained on the servers are freed appropriately.
ユーザーのセッションがクライアント(LCP Terminateを受信するなど)または管理コマンドによって切断されているという指示をNASが受信すると、NASは、DiameterサーバーにSession-Termination-Request(STR)[BASE]を発行する必要があります。 これにより、サーバーで保持されているリソースが適切に解放されます。
Furthermore, a NAS that receives an Abort-Session-Request (ASR) [BASE] MUST issue an ASA if the session identified is active and disconnect the PPP (or tunneling) session.
さらに、Abort-Session-Request(ASR)[BASE]を受信するNASは、識別されたセッションがアクティブであり、PPP(またはトンネリング)セッションを切断する場合、ASAを発行する必要があります。
If accounting is active, an Accounting STOP_RECORD message [BASE] MUST be sent upon termination of the session context.
アカウンティングがアクティブな場合、セッションコンテキストの終了時にアカウンティングSTOP_RECORDメッセージ[BASE]を送信する必要があります。
More information on Diameter Session Termination is included in [BASE] sections 8.4 and 8.5.
Diameterセッション終了の詳細は、[BASE]セクション8.4および8.5に含まれています。
This section defines the Diameter message Command-Code [BASE] values that MUST be supported by all Diameter implementations conforming to this specification. The Command Codes are as follows:
このセクションでは、この仕様に準拠するすべてのDiameter実装でサポートする必要があるDiameterメッセージコマンドコード[BASE]値を定義します。 コマンドコードは次のとおりです。
Command-Name Abbrev. Code Reference
-------------------------------------------------------
AA-Request AAR 265 3.1
AA-Answer AAA 265 3.2
Re-Auth-Request RAR 258 3.3
Re-Auth-Answer RAA 258 3.4
Session-Termination-Request STR 275 3.5
Session-Termination-Answer STA 275 3.6
Abort-Session-Request ASR 274 3.7
Abort-Session-Answer ASA 274 3.8
Accounting-Request ACR 271 3.9
Accounting-Answer ACA 271 3.10
The AA-Request (AAR), which is indicated by setting the Command-Code field to 265 and the 'R' bit in the Command Flags field, is used to request authentication and/or authorization for a given NAS user. The type of request is identified through the Auth-Request-Type AVP [BASE]. The recommended value for most RADIUS interoperabily situations is AUTHORIZE_AUTHENTICATE.
コマンドコードフィールドを265に設定し、コマンドフラグフィールドの「R」ビットを設定することで示されるAA-Request(AAR)は、特定のNASユーザーの認証および/または承認を要求するために使用されます。 要求のタイプは、Auth-Request-Type AVP [BASE]によって識別されます。 ほとんどのRADIUS相互運用性状況の推奨値は、AUTHORIZE_AUTHENTICATEです。
If Authentication is requested, the User-Name attribute SHOULD be present, as well as any additional authentication AVPs that would carry the password information. A request for authorization SHOULD only include the information from which the authorization will be performed, such as the User-Name, Called-Station-Id, or Calling-Station-Id AVPs. All requests SHOULD contain AVPs uniquely identifying the source of the call, such as Origin-Host and NAS-Port. Certain networks MAY use different AVPs for authorization purposes. A request for authorization will include some AVPs defined in section 6.
認証が要求された場合、パスワード情報を伝達する追加の認証AVPと同様に、ユーザー名属性が存在する必要があります。 認可のリクエストには、User-Name、Called-Station-Id、Calling-Station-Id AVPなど、認可が実行される情報のみを含める必要があります。 すべての要求には、Origin-HostやNAS-Portなど、コールのソースを一意に識別するAVPを含める必要があります。 特定のネットワークは、許可の目的で異なるAVPを使用する場合があります。 許可のリクエストには、セクション6で定義されたAVPが含まれます。
It is possible for a single session to be authorized first and then for an authentication request to follow.
最初に単一のセッションを許可し、次に認証要求を許可することができます。
This AA-Request message MAY be the result of a multi-round authentication exchange, which occurs when the AA-Answer message is received with the Result-Code AVP set to DIAMETER_MULTI_ROUND_AUTH. A subsequent AAR message SHOULD be sent, with the User-Password AVP that includes the user's response to the prompt, and MUST include any State AVPs that were present in the AAA message.
このAA-Requestメッセージは、結果コードAVPがDIAMETER_MULTI_ROUND_AUTHに設定されたAA-Answerメッセージを受信したときに発生するマルチラウンド認証交換の結果である場合があります。 プロンプトに対するユーザーの応答を含むUser-Password AVPを使用して、後続のAARメッセージを送信する必要があり、AAAメッセージに存在するすべてのState AVPを含める必要があります。
Message Format
<AA-Request> ::= < Diameter Header: 265, REQ, PXY >
< Session-Id >
{ Auth-Application-Id }
{ Origin-Host }
{ Origin-Realm }
{ Destination-Realm }
{ Auth-Request-Type }
[ Destination-Host ]
[ NAS-Identifier ]
[ NAS-IP-Address ]
[ NAS-IPv6-Address ]
[ NAS-Port ]
[ NAS-Port-Id ]
[ NAS-Port-Type ]
[ Origin-AAA-Protocol ]
[ Origin-State-Id ]
[ Port-Limit ]
[ User-Name ]
[ User-Password ]
[ Service-Type ]
[ State ]
[ Authorization-Lifetime ]
[ Auth-Grace-Period ]
[ Auth-Session-State ]
[ Callback-Number ]
[ Called-Station-Id ]
[ Calling-Station-Id ]
[ Originating-Line-Info ]
[ Connect-Info ]
[ CHAP-Auth ]
[ CHAP-Challenge ]
* [ Framed-Compression ]
[ Framed-Interface-Id ]
[ Framed-IP-Address ]
* [ Framed-IPv6-Prefix ]
[ Framed-IP-Netmask ]
[ Framed-MTU ]
[ Framed-Protocol ]
[ ARAP-Password ]
[ ARAP-Security ]
* [ ARAP-Security-Data ]
* [ Login-IP-Host ]
* [ Login-IPv6-Host ]
[ Login-LAT-Group ]
[ Login-LAT-Node ]
[ Login-LAT-Port ]
[ Login-LAT-Service ]
* [ Tunneling ]
* [ Proxy-Info ]
* [ Route-Record ]
* [ AVP ]
The AA-Answer (AAA) message is indicated by setting the Command-Code field to 265 and clearing the 'R' bit in the Command Flags field. It is sent in response to the AA-Request (AAR) message. If authorization was requested, a successful response will include the authorization AVPs appropriate for the service being provided, as defined in section 6.
AA-Answer(AAA)メッセージは、Command-Codeフィールドを265に設定し、Command Flagsフィールドの「R」ビットをクリアすることで示されます。 AA-Request(AAR)メッセージへの応答として送信されます。 承認が要求された場合、成功した応答には、セクション6で定義されているように、提供されるサービスに適した承認AVPが含まれます。
For authentication exchanges requiring more than a single round trip, the server MUST set the Result-Code AVP to DIAMETER_MULTI_ROUND_AUTH. An AAA message with this result code MAY include one Reply-Message or more and MAY include zero or one State AVPs.
1回以上の往復を必要とする認証交換の場合、サーバーは結果コードAVPをDIAMETER_MULTI_ROUND_AUTHに設定する必要があります。 この結果コードを持つAAAメッセージには、1つ以上のReply-Messageが含まれる場合があり、ゼロまたは1つの状態AVPが含まれる場合があります。
If the Reply-Message AVP was present, the network access server SHOULD send the text to the user's client to display to the user, instructing the client to prompt the user for a response. For example, this capability can be achieved in PPP via PAP. If the access client is unable to prompt the user for a new response, it MUST treat the AA-Answer (AAA) with the Reply-Message AVP as an error and deny access.
Reply-Message AVPが存在する場合、ネットワークアクセスサーバーはユーザーに表示するテキストをユーザーのクライアントに送信する必要があり(SHOULD)、クライアントに応答を求めるように指示します。 たとえば、この機能は、PAPを介してPPPで実現できます。 アクセスクライアントがユーザーに新しい応答を求めることができない場合、Reply-Message AVPを持つAA-Answer(AAA)をエラーとして扱い、アクセスを拒否する必要があります。
Message Format
メッセージフォーマット
<AA-Answer> ::= < Diameter Header: 265, PXY >
< Session-Id >
{ Auth-Application-Id }
{ Auth-Request-Type }
{ Result-Code }
{ Origin-Host }
{ Origin-Realm }
[ User-Name ]
[ Service-Type ]
* [ Class ]
* [ Configuration-Token ]
[ Acct-Interim-Interval ]
[ Error-Message ]
[ Error-Reporting-Host ]
* [ Failed-AVP ]
[ Idle-Timeout ]
[ Authorization-Lifetime ]
[ Auth-Grace-Period ]
[ Auth-Session-State ]
[ Re-Auth-Request-Type ]
[ Multi-Round-Time-Out ]
[ Session-Timeout ]
[ State ]
* [ Reply-Message ]
[ Origin-AAA-Protocol ]
[ Origin-State-Id ]
* [ Filter-Id ]
[ Password-Retry ]
[ Port-Limit ]
[ Prompt ]
[ ARAP-Challenge-Response ]
[ ARAP-Features ]
[ ARAP-Security ]
* [ ARAP-Security-Data ]
[ ARAP-Zone-Access ]
[ Callback-Id ]
[ Callback-Number ]
[ Framed-Appletalk-Link ]
* [ Framed-Appletalk-Network ]
[ Framed-Appletalk-Zone ]
* [ Framed-Compression ]
[ Framed-Interface-Id ]
[ Framed-IP-Address ]
* [ Framed-IPv6-Prefix ]
[ Framed-IPv6-Pool ]
* [ Framed-IPv6-Route ]
[ Framed-IP-Netmask ]
* [ Framed-Route ]
[ Framed-Pool ]
[ Framed-IPX-Network ]
[ Framed-MTU ]
[ Framed-Protocol ]
[ Framed-Routing ]
* [ Login-IP-Host ]
* [ Login-IPv6-Host ]
[ Login-LAT-Group ]
[ Login-LAT-Node ]
[ Login-LAT-Port ]
[ Login-LAT-Service ]
[ Login-Service ]
[ Login-TCP-Port ] * [ NAS-Filter-Rule ] * [ QoS-Filter-Rule ] * [ Tunneling ] * [ Redirect-Host ] [ Redirect-Host-Usage ] [ Redirect-Max-Cache-Time ] * [ Proxy-Info ] * [ AVP ]
[ログインTCPポート] * [NASフィルタールール] * [QoSフィルタールール] * [トンネリング] * [リダイレクトホスト] [リダイレクトホスト使用法] [リダイレクト最大キャッシュ時間] * [プロキシ情報] * [AVP]
A Diameter server may initiate a re-authentication and/or re-authorization service for a particular session by issuing a Re-Auth-Request (RAR) message [BASE].
Diameterサーバーは、Re-Auth-Request(RAR)メッセージ[BASE]を発行することにより、特定のセッションの再認証および/または再認証サービスを開始できます。
For example, for pre-paid services, the Diameter server that originally authorized a session may need some confirmation that the user is still using the services.
たとえば、プリペイドサービスの場合、セッションを最初に承認したDiameterサーバーでは、ユーザーがまだサービスを使用していることを確認する必要があります。
If a NAS receives an RAR message with Session-Id equal to a currently active session and a Re-Auth-Type that includes authentication, it MUST initiate a re-authentication toward the user, if the service supports this particular feature.
NASが現在アクティブなセッションに等しいSession-Idと認証を含むRe-Auth-Typeを持つRARメッセージを受信した場合、サービスがこの特定の機能をサポートしている場合、ユーザーに対する再認証を開始する必要があります。
Message Format
メッセージフォーマット
<RA-Request> ::= < Diameter Header: 258, REQ, PXY >
< Session-Id >
{ Origin-Host }
{ Origin-Realm }
{ Destination-Realm }
{ Destination-Host }
{ Auth-Application-Id }
{ Re-Auth-Request-Type }
[ User-Name ]
[ Origin-AAA-Protocol ]
[ Origin-State-Id ]
[ NAS-Identifier ]
[ NAS-IP-Address ]
[ NAS-IPv6-Address ]
[ NAS-Port ]
[ NAS-Port-Id ]
[ NAS-Port-Type ]
[ Service-Type ]
[ Framed-IP-Address ]
[ Framed-IPv6-Prefix ]
[ Framed-Interface-Id ]
[ Called-Station-Id ]
[ Calling-Station-Id ]
[ Originating-Line-Info ]
[ Acct-Session-Id ]
[ Acct-Multi-Session-Id ]
[ State ]
* [ Class ]
[ Reply-Message ]
* [ Proxy-Info ]
* [ Route-Record ]
* [ AVP ]
The Re-Auth-Answer (RAA) message [BASE] is sent in response to the RAR. The Result-Code AVP MUST be present and indicates the disposition of the request.
Re-Auth-Answer(RAA)メッセージ[BASE]は、RARへの応答として送信されます。 結果コードAVPが存在しなければならず、リクエストの処理を示します。
A successful RAA transaction MUST be followed by an AAR message.
成功したRAAトランザクションの後には、AARメッセージが続かなければなりません。
Message Format
メッセージフォーマット
<RA-Answer> ::= < Diameter Header: 258, PXY >
< Session-Id >
{ Result-Code }
{ Origin-Host }
{ Origin-Realm }
[ User-Name ]
[ Origin-AAA-Protocol ]
[ Origin-State-Id ]
[ Error-Message ]
[ Error-Reporting-Host ]
* [ Failed-AVP ]
* [ Redirected-Host ]
[ Redirected-Host-Usage ]
[ Redirected-Host-Cache-Time ]
[ Service-Type ]
* [ Configuration-Token ]
[ Idle-Timeout ]
[ Authorization-Lifetime ]
[ Auth-Grace-Period ]
[ Re-Auth-Request-Type ]
[ State ]
* [ Class ]
* [ Reply-Message ]
[ Prompt ]
* [ Proxy-Info ]
* [ AVP ]
The Session-Termination-Request (STR) message [BASE] is sent by the NAS to inform the Diameter Server that an authenticated and/or authorized session is being terminated.
Session-Termination-Request(STR)メッセージ[BASE]は、認証済みまたは認証済みのセッションが終了することをDiameterサーバーに通知するためにNASによって送信されます。
Message Format
メッセージフォーマット
<ST-Request> ::= < Diameter Header: 275, REQ, PXY >
< Session-Id >
{ Origin-Host }
{ Origin-Realm }
{ Destination-Realm }
{ Auth-Application-Id }
{ Termination-Cause }
[ User-Name ]
[ Destination-Host ]
* [ Class ]
[ Origin-AAA-Protocol ]
[ Origin-State-Id ]
* [ Proxy-Info ]
* [ Route-Record ]
* [ AVP ]
The Session-Termination-Answer (STA) message [BASE] is sent by the Diameter Server to acknowledge the notification that the session has been terminated. The Result-Code AVP MUST be present and MAY contain an indication that an error occurred while the STR was being serviced.
セッションが終了したという通知を確認するために、DiameterサーバーによってSession-Termination-Answer(STA)メッセージ[BASE]が送信されます。 結果コードAVPが存在しなければならず(MUST)、STRがサービスされている間にエラーが発生したという指示を含むことができます(MAY)。
Upon sending or receiving the STA, the Diameter Server MUST release all resources for the session indicated by the Session-Id AVP. Any intermediate server in the Proxy-Chain MAY also release any resources, if necessary.
STAを送信または受信すると、Diameterサーバーは、Session-Id AVPによって示されたセッションのすべてのリソースを解放する必要があります。 必要に応じて、プロキシチェーンの中間サーバーもリソースを解放できます。
Message Format
メッセージフォーマット
<ST-Answer> ::= < Diameter Header: 275, PXY >
< Session-Id >
{ Result-Code }
{ Origin-Host }
{ Origin-Realm }
[ User-Name ]
* [ Class ]
[ Error-Message ]
[ Error-Reporting-Host ]
* [ Failed-AVP ]
[ Origin-AAA-Protocol ]
[ Origin-State-Id ]
* [ Redirect-Host ]
[ Redirect-Host-Usase ]
[ Redirect-Max-Cache-Time ]
* [ Proxy-Info ]
* [ AVP ]
The Abort-Session-Request (ASR) message [BASE] may be sent by any server to the NAS providing session service, to request that the session identified by the Session-Id be stopped.
Abort-Session-Request(ASR)メッセージ[BASE]は、Session-Idによって識別されるセッションの停止を要求するために、セッションサービスを提供するNASに任意のサーバーから送信できます。
Message Format
メッセージフォーマット
<AS-Request> ::= < Diameter Header: 274, REQ, PXY >
< Session-Id >
{ Origin-Host }
{ Origin-Realm }
{ Destination-Realm }
{ Destination-Host }
{ Auth-Application-Id }
[ User-Name ]
[ Origin-AAA-Protocol ]
[ Origin-State-Id ]
[ NAS-Identifier ]
[ NAS-IP-Address ]
[ NAS-IPv6-Address ]
[ NAS-Port ]
[ NAS-Port-Id ]
[ NAS-Port-Type ]
[ Service-Type ]
[ Framed-IP-Address ]
[ Framed-IPv6-Prefix ]
[ Framed-Interface-Id ]
[ Called-Station-Id ]
[ Calling-Station-Id ]
[ Originating-Line-Info ]
[ Acct-Session-Id ]
[ Acct-Multi-Session-Id ]
[ State ]
* [ Class ]
* [ Reply-Message ]
* [ Proxy-Info ]
* [ Route-Record ]
* [ AVP ]
The ASA message [BASE] is sent in response to the ASR. The Result-Code AVP MUST be present and indicates the disposition of the request.
ASAメッセージ[BASE]は、ASRへの応答として送信されます。 結果コードAVPが存在しなければならず、リクエストの処理を示します。
If the session identified by Session-Id in the ASR was successfully terminated, Result-Code is set to DIAMETER_SUCCESS. If the session is not currently active, Result-Code is set to DIAMETER_UNKNOWN_SESSION_ID. If the access device does not stop the session for any other reason, Result-Code is set to DIAMETER_UNABLE_TO_COMPLY.
ASRのSession-Idで識別されたセッションが正常に終了した場合、Result-CodeはDIAMETER_SUCCESSに設定されます。 セッションが現在アクティブでない場合、Result-CodeはDIAMETER_UNKNOWN_SESSION_IDに設定されます。 アクセスデバイスが他の理由でセッションを停止しない場合、Result-CodeはDIAMETER_UNABLE_TO_COMPLYに設定されます。
Message Format
メッセージフォーマット
<AS-Answer> ::= < Diameter Header: 274, PXY >
< Session-Id >
{ Result-Code }
{ Origin-Host }
{ Origin-Realm }
[ User-Name ]
[ Origin-AAA-Protocol ]
[ Origin-State-Id ]
[ State]
[ Error-Message ]
[ Error-Reporting-Host ]
* [ Failed-AVP ]
* [ Redirected-Host ]
[ Redirected-Host-Usage ]
[ Redirected-Max-Cache-Time ]
* [ Proxy-Info ]
* [ AVP ]
The ACR message [BASE] is sent by the NAS to report its session information to a target server downstream.
ACRメッセージ[BASE]は、セッション情報をダウンストリームのターゲットサーバーに報告するためにNASによって送信されます。
Either of Acct-Application-Id or Vendor-Specific-Application-Id AVPs MUST be present. If the Vendor-Specific-Application-Id grouped AVP is present, it must have an Acct-Application-Id inside.
Acct-Application-IdまたはVendor-Specific-Application-Id AVPのいずれかが存在する必要があります。 ベンダー固有のアプリケーションIDのグループ化されたAVPが存在する場合、内部にAcct-Application-Idが必要です。
The AVPs listed in the Base MUST be assumed to be present, as appropriate. NAS service-specific accounting AVPs SHOULD be present as described in section 8 and the rest of this specification.
必要に応じて、ベースにリストされているAVPが存在するものと想定する必要があります。 セクション8およびこの仕様の残りの部分で説明されているように、NASサービス固有のアカウンティングAVPが存在する必要があります。
Message Format
メッセージフォーマット
<AC-Request> ::= < Diameter Header: 271, REQ, PXY >
< Session-Id >
{ Origin-Host }
{ Origin-Realm }
{ Destination-Realm }
{ Accounting-Record-Type }
{ Accounting-Record-Number }
[ Acct-Application-Id ]
[ Vendor-Specific-Application-Id ]
[ User-Name ]
[ Accounting-Sub-Session-Id ]
[ Acct-Session-Id ]
[ Acct-Multi-Session-Id ]
[ Origin-AAA-Protocol ]
[ Origin-State-Id ]
[ Destination-Host ]
[ Event-Timestamp ]
[ Acct-Delay-Time ]
[ NAS-Identifier ]
[ NAS-IP-Address ]
[ NAS-IPv6-Address ]
[ NAS-Port ]
[ NAS-Port-Id ]
[ NAS-Port-Type ]
* [ Class ]
[ Service-Type ]
[ Termination-Cause ]
[ Accounting-Input-Octets ]
[ Accounting-Input-Packets ]
[ Accounting-Output-Octets ]
[ Accounting-Output-Packets ]
[ Acct-Authentic ]
[ Accounting-Auth-Method ]
[ Acct-Link-Count ]
[ Acct-Session-Time ]
[ Acct-Tunnel-Connection ]
[ Acct-Tunnel-Packets-Lost ]
[ Callback-Id ]
[ Callback-Number ]
[ Called-Station-Id ]
[ Calling-Station-Id ]
* [ Connection-Info ]
[ Originating-Line-Info ]
[ Authorization-Lifetime ]
[ Session-Timeout ]
[ Idle-Timeout ]
[ Port-Limit ]
[ Accounting-Realtime-Required ]
[ Acct-Interim-Interval ]
* [ Filter-Id ]
* [ NAS-Filter-Rule ]
* [ Qos-Filter-Rule ]
[ Framed-AppleTalk-Link ]
[ Framed-AppleTalk-Network ]
[ Framed-AppleTalk-Zone ]
[ Framed-Compression ]
[ Framed-Interface-Id ]
[ Framed-IP-Address ]
[ Framed-IP-Netmask ]
* [ Framed-IPv6-Prefix ]
[ Framed-IPv6-Pool ]
* [ Framed-IPv6-Route ]
[ Framed-IPX-Network ]
[ Framed-MTU ]
[ Framed-Pool ]
[ Framed-Protocol ]
* [ Framed-Route ]
[ Framed-Routing ]
* [ Login-IP-Host ]
* [ Login-IPv6-Host ]
[ Login-LAT-Group ]
[ Login-LAT-Node ]
[ Login-LAT-Port ]
[ Login-LAT-Service ]
[ Login-Service ]
[ Login-TCP-Port ]
* [ Tunneling ]
* [ Proxy-Info ]
* [ Route-Record ]
* [ AVP ]
The ACA message [BASE] is used to acknowledge an Accounting-Request command. The Accounting-Answer command contains the same Session-Id as the Request. If the Accounting-Request was protected by end-to-end security, then the corresponding ACA message MUST be protected as well.
ACAメッセージ[BASE]は、Accounting-Requestコマンドを確認するために使用されます。 Accounting-Answerコマンドには、リクエストと同じSession-Idが含まれています。 Accounting-Requestがエンドツーエンドセキュリティによって保護されていた場合、対応するACAメッセージも保護する必要があります。
Only the target Diameter Server or home Diameter Server SHOULD respond with the Accounting-Answer command.
ターゲットのDiameterサーバーまたはホームDiameterサーバーのみがAccounting-Answerコマンドで応答する必要があります。
Either Acct-Application-Id or Vendor-Specific-Application-Id AVPs MUST be present, as it was in the request.
Acct-Application-IdまたはVendor-Specific-Application-Id AVPのいずれかが、リクエストにあったように存在しなければなりません。
The AVPs listed in the Base MUST be assumed to be present, as appropriate. NAS service-specific accounting AVPs SHOULD be present as described in section 8 and the rest of this specification.
必要に応じて、ベースにリストされているAVPが存在するものと想定する必要があります。 セクション8およびこの仕様の残りの部分で説明されているように、NASサービス固有のアカウンティングAVPが存在する必要があります。
Message Format
メッセージフォーマット
<AC-Answer> ::= < Diameter Header: 271, PXY >
< Session-Id >
{ Result-Code }
{ Origin-Host }
{ Origin-Realm }
{ Accounting-Record-Type }
{ Accounting-Record-Number }
[ Acct-Application-Id ]
[ Vendor-Specific-Application-Id ]
[ User-Name ]
[ Accounting-Sub-Session-Id ]
[ Acct-Session-Id ]
[ Acct-Multi-Session-Id ]
[ Event-Timestamp ]
[ Error-Message ]
[ Error-Reporting-Host ]
* [ Failed-AVP ]
[ Origin-AAA-Protocol ]
[ Origin-State-Id ]
[ NAS-Identifier ]
[ NAS-IP-Address ]
[ NAS-IPv6-Address ]
[ NAS-Port ]
[ NAS-Port-Id ]
[ NAS-Port-Type ]
[ Service-Type ]
[ Termination-Cause ]
[ Accounting-Realtime-Required ]
[ Acct-Interim-Interval ]
* [ Class ]
* [ Proxy-Info ]
* [ Route-Record ]
* [ AVP ]
Diameter reserves the AVP Codes 0 - 255 for RADIUS functions that are implemented in Diameter.
Diameterは、Diameterに実装されているRADIUS機能用にAVPコード0〜255を予約しています。
AVPs new to Diameter have code values of 256 and greater. A Diameter message that includes one of these AVPs may represent functions not present in the RADIUS environment and may cause interoperability issues, should the request traverse an AAA system that only supports the RADIUS protocol.
Diameterの新しいAVPのコード値は256以上です。 これらのAVPのいずれかを含むDiameterメッセージは、RADIUSプロトコルのみをサポートするAAAシステムを要求が通過する場合、RADIUS環境に存在しない機能を表し、相互運用性の問題を引き起こす可能性があります。
Some RADIUS attributes are not allowed or supported directly in Diameter. See section 9 for more information.
一部のRADIUS属性は、Diameterで直接許可またはサポートされていません。 詳細については、セクション9を参照してください。
This section contains the AVPs specific to NAS Diameter applications that are needed to identify the call and session context and status information. On a request, this information allows the server to qualify the session.
このセクションには、コールおよびセッションコンテキストとステータス情報を識別するために必要なNAS Diameterアプリケーションに固有のAVPが含まれています。 リクエストに応じて、この情報により、サーバーはセッションを修飾できます。
These AVPs are used in addition to the Base AVPs of:
これらのAVPは、以下のベースAVPに加えて使用されます。
Session-Id Auth-Application-Id Origin-Host Origin-Realm Auth-Request-Type Termination-Cause
セッションID認証アプリケーションID発信元ホスト発信元レルム認証要求タイプ終了原因
The following table describes the session level AVPs; their AVP Code values, types, and possible flag values; and whether the AVP MAY be encrypted.
次の表では、セッションレベルのAVPについて説明します。 AVPコード値、タイプ、および可能なフラグ値。 また、AVPを暗号化してもよいかどうか。
+---------------------+
| AVP Flag rules |
|----+-----+----+-----|----+
AVP Section | | |SHLD| MUST| |
Attribute Name Code Defined Value Type |MUST| MAY | NOT| NOT|Encr|
-----------------------------------------|----+-----+----+-----|----|
NAS-Port 5 4.2 Unsigned32 | M | P | | V | Y |
NAS-Port-Id 87 4.3 UTF8String | M | P | | V | Y |
NAS-Port-Type 61 4.4 Enumerated | M | P | | V | Y |
Called-Station-Id 30 4.5 UTF8String | M | P | | V | Y |
Calling-Station- 31 4.6 UTF8String | M | P | | V | Y |
Id | | | | | |
Connect-Info 77 4.7 UTF8String | M | P | | V | Y |
Originating-Line- 94 4.8 OctetString| | M,P | | V | Y |
Info | | | | | |
Reply-Message 18 4.9 UTF8String | M | P | | V | Y |
-----------------------------------------|----+-----+----+-----|----|
The NAS-Port AVP (AVP Code 5) is of type Unsigned32 and contains the physical or virtual port number of the NAS which is authenticating the user. Note that "port" is meant in its sense as a service connection on the NAS, not as an IP protocol identifier.
NAS-Port AVP(AVPコード5)はUnsigned32タイプで、ユーザーを認証しているNASの物理または仮想ポート番号が含まれています。 「ポート」は、IPプロトコル識別子としてではなく、NAS上のサービス接続としての意味であることに注意してください。
Either NAS-Port or NAS-Port-Id (AVP Code 87) SHOULD be present in AA-Request (AAR) commands if the NAS differentiates among its ports.
NASがポートを区別する場合、NAS-PortまたはNAS-Port-Id(AVPコード87)がAA-Request(AAR)コマンドに存在する必要があります。
The NAS-Port-Id AVP (AVP Code 87) is of type UTF8String and consists of ASCII text identifying the port of the NAS authenticating the user. Note that "port" is meant in its sense as a service connection on the NAS, not as an IP protocol identifier.
NAS-Port-Id AVP(AVPコード87)はUTF8Stringタイプであり、ユーザーを認証するNASのポートを識別するASCIIテキストで構成されます。 「ポート」は、IPプロトコル識別子としてではなく、NAS上のサービス接続としての意味であることに注意してください。
Either NAS-Port or NAS-Port-Id SHOULD be present in AA-Request (AAR) commands if the NAS differentiates among its ports. NAS-Port-Id is intended for use by NASes that cannot conveniently number their ports.
NASがポートを区別する場合、NAS-PortまたはNAS-Port-IdのいずれかがAA-Request(AAR)コマンドに存在する必要があります。 NAS-Port-Idは、ポートに簡単に番号を付けることができないNASで使用するためのものです。
The NAS-Port-Type AVP (AVP Code 61) is of type Enumerated and contains the type of the port on which the NAS is authenticating the user. This AVP SHOULD be present if the NAS uses the same NAS-Port number ranges for different service types concurrently.
NAS-Port-Type AVP(AVPコード61)は列挙型であり、NASがユーザーを認証しているポートの型が含まれています。 NASが異なるサービスタイプに対して同じNASポート番号範囲を同時に使用する場合、このAVPが存在する必要があります。
The supported values are defined in [RADIUSTypes]. The following list is informational and subject to change by the IANA.
サポートされている値は[RADIUSTypes]で定義されています。 次のリストは情報提供であり、IANAによって変更される場合があります。
0 Async 1 Sync 2 ISDN Sync 3 ISDN Async V.120 4 ISDN Async V.110 5 Virtual 6 PIAFS 7 HDLC Clear Channel 8 X.25 9 X.75 10 G.3 Fax 11 SDSL - Symmetric DSL 12 ADSL-CAP - Asymmetric DSL, Carrierless Amplitude Phase Modulation 13 ADSL-DMT - Asymmetric DSL, Discrete Multi-Tone 14 IDSL - ISDN Digital Subscriber Line
0非同期1同期2 ISDN同期3 ISDN非同期V.120 4 ISDN非同期V.110 5仮想6 PIAFS 7 HDLCクリアチャネル8 X.25 9 X.75 10 G.3ファックス11 SDSL-対称DSL 12 ADSL-CAP- 非対称DSL、キャリアレス振幅位相変調13 ADSL-DMT-非対称DSL、ディスクリートマルチトーン14 IDSL-ISDNデジタル加入者線
15 Ethernet 16 xDSL - Digital Subscriber Line of unknown type 17 Cable 18 Wireless - Other 19 Wireless - IEEE 802.11 20 Token-Ring [RAD802.1X] 21 FDDI [RAD802.1X] 22 Wireless - CDMA2000 23 Wireless - UMTS 24 Wireless - 1X-EV 25 IAPP [IEEE 802.11f]
15イーサネット16 xDSL-不明なタイプのデジタル加入者線17ケーブル18ワイヤレス-その他19ワイヤレス-IEEE 802.11 20トークンリング[RAD802.1X] 21 FDDI [RAD802.1X] 22ワイヤレス-CDMA2000 23ワイヤレス-UMTS 24ワイヤレス-1X -EV 25 IAPP [IEEE 802.11f]
The Called-Station-Id AVP (AVP Code 30) is of type UTF8String and allows the NAS to send the ASCII string describing the layer 2 address the user contacted in the request. For dialup access, this can be a phone number obtained by using Dialed Number Identification (DNIS) or a similar technology. Note that this may be different from the phone number the call comes in on. For use with IEEE 802 access, the Called-Station-Id MAY contain a MAC address formatted as described in [RAD802.1X]. It SHOULD only be present in authentication and/or authorization requests.
Called-Station-Id AVP(AVP Code 30)はUTF8Stringタイプで、NASがユーザーがリクエストで連絡したレイヤー2アドレスを記述するASCII文字列を送信できるようにします。 ダイヤルアップアクセスの場合、これは、ダイヤル番号識別(DNIS)または同様の技術を使用して取得した電話番号にすることができます。 これは、電話がかかってくる電話番号とは異なる場合があることに注意してください。 IEEE 802アクセスで使用するために、Called-Station-Idには、[RAD802.1X]で説明されている形式のMACアドレスを含めることができます。 認証および/または認可リクエストにのみ存在する必要があります。
If the Auth-Request-Type AVP is set to authorization-only and the User-Name AVP is absent, the Diameter Server MAY perform authorization based on this field. This can be used by a NAS to request whether a call should be answered based on the DNIS.
Auth-Request-Type AVPがauthorization-onlyに設定され、User-Name AVPが存在しない場合、Diameterサーバーはこのフィールドに基づいて承認を実行できます。 NASはこれを使用して、DNISに基づいてコールに応答する必要があるかどうかを要求できます。
The codification of this field's allowed usage range is outside the scope of this specification.
このフィールドの使用許可範囲の成文化は、この仕様の範囲外です。
The Calling-Station-Id AVP (AVP Code 31) is of type UTF8String and allows the NAS to send the ASCII string describing the layer 2 address from which the user connected in the request. For dialup access, this is the phone number the call came from, using Automatic Number Identification (ANI) or a similar technology. For use with IEEE 802 access, the Calling-Station-Id AVP MAY contain a MAC address, formated as described in [RAD802.1X]. It SHOULD only be present in authentication and/or authorization requests.
Calling-Station-Id AVP(AVPコード31)はUTF8Stringタイプであり、NASがリクエストでユーザーが接続したレイヤー2アドレスを記述するASCII文字列を送信できます。 ダイヤルアップアクセスの場合、これは自動番号識別(ANI)または同様の技術を使用した、呼び出し元の電話番号です。 IEEE 802アクセスで使用する場合、Calling-Station-Id AVPには、[RAD802.1X]で説明されているようにフォーマットされたMACアドレスを含めることができます。 認証および/または認可リクエストにのみ存在する必要があります。
If the Auth-Request-Type AVP is set to authorization-only and the User-Name AVP is absent, the Diameter Server MAY perform authorization based on this field. This can be used by a NAS to request whether a call should be answered based on the layer 2 address (ANI, MAC Address, etc.)
Auth-Request-Type AVPがauthorization-onlyに設定され、User-Name AVPが存在しない場合、Diameterサーバーはこのフィールドに基づいて承認を実行できます。 NASはこれを使用して、レイヤー2アドレス(ANI、MACアドレスなど)に基づいてコールに応答するかどうかを要求できます。
The codification of this field's allowed usage range is outside the scope of this specification.
このフィールドの使用許可範囲の成文化は、この仕様の範囲外です。
The Connect-Info AVP (AVP Code 77) is of type UTF8String and is sent in the AA-Request message or ACR STOP message. When sent in the Access-Request, it indicates the nature of the user's connection. The connection speed SHOULD be included at the beginning of the first Connect-Info AVP in the message. If the transmit and receive connection speeds differ, both may be included in the first AVP with the transmit speed listed first (the speed the NAS modem transmits at), then a slash (/), then the receive speed, and then other optional information.
Connect-Info AVP(AVP Code 77)はUTF8Stringタイプであり、AA-RequestメッセージまたはACR STOPメッセージで送信されます。 Access-Requestで送信されると、ユーザーの接続の性質を示します。 接続速度は、メッセージの最初のConnect-Info AVPの先頭に含める必要があります。 送信接続速度と受信接続速度が異なる場合、両方が最初のAVPに含まれ、送信速度(NASモデムが送信する速度)、スラッシュ(/)、受信速度、その他のオプション情報が最初にリストされます。 。
For example: "28800 V42BIS/LAPM" or "52000/31200 V90"
例:「28800 V42BIS / LAPM」または「52000/31200 V90」
More than one Connect-Info attribute may be present in an Accounting-Request packet to accommodate expected efforts by the ITU to have modems report more connection information in a standard format that might exceed 252 octets.
252オクテットを超える可能性のある標準形式でより多くの接続情報をモデムに報告させるためのITUの予想される努力に対応するために、複数のConnect-Info属性がAccounting-Requestパケットに存在する場合があります。
If sent in the ACR STOP, this attribute may summarize statistics relating to session quality. For example, in IEEE 802.11, the Connect-Info attribute may contain information on the number of link layer retransmissions. The exact format of this attribute is implementation specific.
ACR STOPで送信された場合、この属性はセッション品質に関する統計を要約する場合があります。 たとえば、IEEE 802.11では、Connect-Info属性にリンク層の再送信回数に関する情報が含まれる場合があります。 この属性の正確な形式は実装固有です。
The Originating-Line-Info AVP (AVP Code 94) is of type OctetString and is sent by the NAS system to convey information about the origin of the call from an SS7 system.
Originating-Line-Info AVP(AVP Code 94)はOctetStringタイプであり、NASシステムによって送信され、SS7システムからの呼び出しの発信元に関する情報を伝達します。
The originating line information (OLI) element indicates the nature and/or characteristics of the line from which a call originated (e.g., pay phone, hotel, cellular). Telephone companies are starting to offer OLI to their customers as an option over Primary Rate Interface (PRI). Internet Service Providers (ISPs) can use OLI in addition to Called-Station-Id and Calling-Station-Id attributes to differentiate customer calls and to define different services.
発信回線情報(OLI)要素は、コールの発信元回線(たとえば、公衆電話、ホテル、携帯電話)の性質や特性を示します。 電話会社は、プライマリレートインターフェイス(PRI)のオプションとして、OLIを顧客に提供し始めています。 インターネットサービスプロバイダー(ISP)は、Called-Station-IdおよびCalling-Station-Id属性に加えてOLIを使用して、顧客の呼び出しを区別し、さまざまなサービスを定義できます。
The Value field contains two octets (00 - 99). ANSI T1.113 and BELLCORE 394 can be used for additional information about these values and their use. For more information on current assignment values, see [ANITypes].
[値]フィールドには2オクテット(00-99)が含まれます。 ANSI T1.113およびBELLCORE 394は、これらの値とその使用に関する追加情報に使用できます。 現在の割り当て値の詳細については、[ANITypes]を参照してください。
Value Description
------------------------------------------------------------
00 Plain Old Telephone Service (POTS)
01 Multiparty Line (more than 2)
02 ANI Failure
03 ANI Observed
04 ONI Observed
05 ANI Failure Observed
06 Station Level Rating
07 Special Operator Handling Required
08 InterLATA Restricted
10 Test Call
20 Automatic Identified Outward Dialing (AIOD)
23 Coin or Non-Coin
24 Toll Free Service (Non-Pay Origination)
25 Toll Free Service (Pay Origination)
27 Toll Free Service (Coin Control Origination)
29 Prison/Inmate Service
30-32 Intercept
30 Intercept (Blank)
31 Intercept (Trouble)
32 Intercept (Regular)
34 Telco Operator Handled Call
40-49 Unrestricted Use
52 Outward Wide Area Telecommunications Service (OUTWATS)
60 Telecommunications Relay Service (TRS)(Unrestricted)
61 Cellular/Wireless PCS (Type 1)
62 Cellular/Wireless PCS (Type 2)
63 Cellular/Wireless PCS (Roaming)
66 TRS (Hotel)
67 TRS (Restricted)
70 Pay Station, No Coin Control
93 Access for Private Virtual Network Service
The Reply-Message AVP (AVP Code 18) is of type UTF8String and contains text that MAY be displayed to the user. When used in an AA-Answer message with a successful Result-Code AVP, it indicates success. When found in an AAA message with a Result-Code other than DIAMETER_SUCCESS, the AVP contains a failure message.
Reply-Message AVP(AVP Code 18)はUTF8Stringタイプであり、ユーザーに表示される可能性のあるテキストが含まれています。 結果コードAVPが成功したAA-Answerメッセージで使用された場合、成功を示します。 DIAMETER_SUCCESS以外の結果コードを持つAAAメッセージで見つかった場合、AVPには失敗メッセージが含まれています。
The Reply-Message AVP MAY indicate dialog text to prompt the user before another AA-Request attempt. When used in an AA-Answer with a Result-Code of DIAMETER_MULTI_ROUND_AUTH or in an Re-Auth-Request message, it MAY contain a dialog text to prompt the user for a response.
Reply-Message AVPは、別のAA-Requestが試行される前にユーザーにプロンプトを表示するダイアログテキストを示す場合があります。 結果コードがDIAMETER_MULTI_ROUND_AUTHのAA-AnswerまたはRe-Auth-Requestメッセージで使用する場合、ユーザーに応答を求めるダイアログテキストを含めることができます。
Multiple Reply-Messages MAY be included, and if any are displayed, they MUST be displayed in the same order as they appear in the Diameter message.
複数の返信メッセージを含めることができますが、表示する場合は、Diameterメッセージに表示されるのと同じ順序で表示する必要があります。
This section defines the AVPs necessary to carry the authentication information in the Diameter protocol. The functionality defined here provides a RADIUS-like AAA service over a more reliable and secure transport, as defined in the base protocol [BASE].
このセクションでは、Diameterプロトコルで認証情報を伝送するために必要なAVPを定義します。 ここで定義されている機能は、ベースプロトコル[BASE]で定義されているように、より信頼性が高く安全なトランスポートでRADIUSのようなAAAサービスを提供します。
The following table describes the AVPs; their AVP Code values, types, and possible flag values, and whether the AVP MAY be encrypted.
次の表で、AVPについて説明します。 それらのAVPコード値、タイプ、および可能なフラグ値、およびAVPが暗号化されるかどうか。
+---------------------+
| AVP Flag rules |
|----+-----+----+-----|----+
AVP Section | | |SHLD| MUST| |
Attribute Name Code Defined Value Type |MUST| MAY | NOT| NOT|Encr|
-----------------------------------------|----+-----+----+-----|----|
User-Password 2 5.1 OctetString| M | P | | V | Y |
Password-Retry 75 5.2 Unsigned32 | M | P | | V | Y |
Prompt 76 5.3 Enumerated | M | P | | V | Y |
CHAP-Auth 402 5.4 Grouped | M | P | | V | Y |
CHAP-Algorithm 403 5.5 Enumerated | M | P | | V | Y |
CHAP-Ident 404 5.6 OctetString| M | P | | V | Y |
CHAP-Response 405 5.7 OctetString| M | P | | V | Y |
CHAP-Challenge 60 5.8 OctetString| M | P | | V | Y |
ARAP-Password 70 5.9 OctetString| M | P | | V | Y |
ARAP-Challenge- 84 5.10 OctetString| M | P | | V | Y |
Response | | | | | |
ARAP-Security 73 5.11 Unsigned32 | M | P | | V | Y |
ARAP-Security- 74 5.12 OctetString| M | P | | V | Y |
Data | | | | | |
-----------------------------------------|----+-----+----+-----|----|
The User-Password AVP (AVP Code 2) is of type OctetString and contains the password of the user to be authenticated, or the user's input in a multi-round authentication exchange.
User-Password AVP(AVP Code 2)はOctetStringタイプで、認証されるユーザーのパスワード、またはマルチラウンド認証交換でのユーザーの入力が含まれます。
The User-Password AVP contains a user password or one-time password and therefore represents sensitive information. As required in [BASE], Diameter messages are encrypted by using IPsec or TLS. Unless this AVP is used for one-time passwords, the User-Password AVP
User-Password AVPにはユーザーパスワードまたはワンタイムパスワードが含まれているため、機密情報を表します。 [BASE]の必要に応じて、DiameterメッセージはIPsecまたはTLSを使用して暗号化されます。 このAVPがワンタイムパスワードに使用されない限り、User-Password AVP
SHOULD NOT be used in untrusted proxy environments without encrypting it by using end-to-end security techniques, such as the proposed CMS Security [DiamCMS].
提案されたCMSセキュリティ[DiamCMS]などのエンドツーエンドのセキュリティ技術を使用して暗号化せずに、信頼できないプロキシ環境で使用しないでください。
The clear-text password (prior to encryption) MUST NOT be longer than 128 bytes in length.
平文パスワード(暗号化前)の長さは128バイトを超えてはなりません。
The Password-Retry AVP (AVP Code 75) is of type Unsigned32 and MAY be included in the AA-Answer if the Result-Code indicates an authentication failure. The value of this AVP indicates how many authentication attempts a user is permitted before being disconnected. This AVP is primarily intended for use when the Framed-Protocol AVP (see section 6.10.1) is set to ARAP.
パスワード再試行AVP(AVPコード75)は、タイプUnsigned32であり、結果コードが認証失敗を示す場合、AA回答に含めることができます。 このAVPの値は、ユーザーが切断される前に許可される認証試行の回数を示します。 このAVPは主に、Framed-Protocol AVP(セクション6.10.1を参照)がARAPに設定されている場合の使用を目的としています。
The Prompt AVP (AVP Code 76) is of type Enumerated and MAY be present in the AA-Answer message. When present, it is used by the NAS to determine whether the user's response, when entered, should be echoed.
プロンプトAVP(AVPコード76)は列挙型であり、AA-Answerメッセージに存在する場合があります。 存在する場合、NASによって使用され、入力されたときにユーザーの応答をエコーするかどうかを決定します。
The supported values are listed in [RADIUSTypes]. The following list is informational:
サポートされている値は[RADIUSTypes]にリストされています。 次のリストは参考情報です。
0 No Echo 1 Echo
0エコーなし1エコー
The CHAP-Auth AVP (AVP Code 402) is of type Grouped and contains the information necessary to authenticate a user using the PPP Challenge-Handshake Authentication Protocol (CHAP) [PPPCHAP]. If the CHAP-Auth AVP is found in a message, the CHAP-Challenge AVP MUST be present as well. The optional AVPs containing the CHAP response depend upon the value of the CHAP-Algorithm AVP. The grouped AVP has the following ABNF grammar:
CHAP-Auth AVP(AVPコード402)はタイプがグループ化されており、PPPチャレンジハンドシェイク認証プロトコル(CHAP)[PPPCHAP]を使用してユーザーを認証するために必要な情報が含まれています。 CHAP-Auth AVPがメッセージで見つかった場合、CHAP-Challenge AVPも存在しなければなりません。 CHAP応答を含むオプションのAVPは、CHAP-Algorithm AVPの値に依存します。 グループ化されたAVPには、次のABNF文法があります。
CHAP-Auth ::= < AVP Header: 402 >
{ CHAP-Algorithm }
{ CHAP-Ident }
[ CHAP-Response ]
* [ AVP ]
The CHAP-Algorithm AVP (AVP Code 403) is of type Enumerated and contains the algorithm identifier used in the computation of the CHAP response [PPPCHAP]. The following values are currently supported:
CHAPアルゴリズムAVP(AVPコード403)は列挙型で、CHAP応答[PPPCHAP]の計算に使用されるアルゴリズム識別子が含まれています。 現在、次の値がサポートされています。
CHAP with MD5 5 The CHAP response is computed by using the procedure described in [PPPCHAP]. This algorithm requires that the CHAP-Response AVP MUST be present in the CHAP-Auth AVP.
MD5を使用したCHAP 5 CHAP応答は、[PPPCHAP]で説明されている手順を使用して計算されます。 このアルゴリズムでは、CHAP-Auth AVPにCHAP-Response AVPが存在する必要があります。
The CHAP-Ident AVP (AVP Code 404) is of type OctetString and contains the 1 octet CHAP Identifier used in the computation of the CHAP response [PPPCHAP].
CHAP-Ident AVP(AVPコード404)はOctetStringタイプで、CHAP応答[PPPCHAP]の計算に使用される1オクテットのCHAP識別子を含みます。
The CHAP-Response AVP (AVP Code 405) is of type OctetString and contains the 16 octet authentication data provided by the user in response to the CHAP challenge [PPPCHAP].
CHAP応答AVP(AVPコード405)はOctetStringタイプで、CHAPチャレンジ[PPPCHAP]に応答してユーザーが提供した16オクテット認証データを含みます。
The CHAP-Challenge AVP (AVP Code 60) is of type OctetString and contains the CHAP Challenge sent by the NAS to the CHAP peer [PPPCHAP].
CHAP-Challenge AVP(AVPコード60)はOctetStringタイプで、NASからCHAPピア[PPPCHAP]に送信されたCHAPチャレンジが含まれています。
The ARAP-Password AVP (AVP Code 70) is of type OctetString and is only present when the Framed-Protocol AVP (see section 6.10.1) is included in the message and is set to ARAP. This AVP MUST NOT be present if either the User-Password or the CHAP-Auth AVP is present. See [RADIUSExt] for more information on the contents of this AVP.
ARAP-Password AVP(AVP Code 70)はOctetStringタイプで、Framed-Protocol AVP(セクション6.10.1を参照)がメッセージに含まれ、ARAPに設定されている場合にのみ存在します。 User-PasswordまたはCHAP-Auth AVPが存在する場合、このAVPは存在してはなりません。 このAVPの内容の詳細については、[RADIUSExt]を参照してください。
The ARAP-Challenge-Response AVP (AVP Code 84) is of type OctetString and is only present when the Framed-Protocol AVP (see section 6.10.1) is included in the message and is set to ARAP. This AVP contains an 8 octet response to the dial-in client's challenge. The RADIUS server calculates this value by taking the dial-in client's challenge from the high-order 8 octets of the ARAP-Password AVP and performing DES encryption on this value with the authenticating user's password as the key. If the user's password is fewer than 8 octets in length, the password is padded at the end with NULL octets to a length of 8 before it is used as a key.
ARAP-Challenge-Response AVP(AVP Code 84)はOctetStringタイプであり、Framed-Protocol AVP(セクション6.10.1を参照)がメッセージに含まれ、ARAPに設定されている場合にのみ存在します。 このAVPには、ダイヤルインクライアントのチャレンジに対する8オクテットの応答が含まれています。 RADIUSサーバーは、ARAP-Password AVPの上位8オクテットからダイヤルインクライアントのチャレンジを取得し、認証ユーザーのパスワードをキーとしてこの値でDES暗号化を実行することにより、この値を計算します。 ユーザーのパスワードの長さが8オクテット未満の場合、パスワードは、キーとして使用される前にNULLオクテットの長さが8オクテットで埋められます。
The ARAP-Security AVP (AVP Code 73) is of type Unsigned32 and MAY be present in the AA-Answer message if the Framed-Protocol AVP (see section 6.10.1) is set to the value of ARAP, and the Result-Code AVP is set to DIAMETER_MULTI_ROUND_AUTH. See [RADIUSExt] for more information on the format of this AVP.
ARAP-Security AVP(AVPコード73)はUnsigned32タイプであり、Framed-Protocol AVP(セクション6.10.1を参照)がARAPの値に設定されている場合、AA-Answerメッセージに存在する場合があります。 AVPはDIAMETER_MULTI_ROUND_AUTHに設定されます。 このAVPの形式の詳細については、[RADIUSExt]を参照してください。
The ARAP-Security AVP (AVP Code 74) is of type OctetString and MAY be present in the AA-Request or AA-Answer message if the Framed-Protocol AVP is set to the value of ARAP, and the Result-Code AVP is set to DIAMETER_MULTI_ROUND_AUTH. This AVP contains the security module challenge or response associated with the ARAP Security Module specified in ARAP-Security.
ARAP-Security AVP(AVPコード74)はOctetStringタイプであり、Framed-Protocol AVPがARAPの値に設定され、Result-Code AVPが設定されている場合、AA-RequestまたはAA-Answerメッセージに存在する場合があります DIAMETER_MULTI_ROUND_AUTHへ。 このAVPには、ARAP-Securityで指定されたARAPセキュリティモジュールに関連付けられたセキュリティモジュールチャレンジまたはレスポンスが含まれています。
This section contains the authorization AVPs supported in the NAS Application. The Service-Type AVP SHOULD be present in all messages, and, based on its value, additional AVPs defined in this section and in section 7 MAY be present.
このセクションには、NASアプリケーションでサポートされる許可AVPが含まれています。 Service-Type AVPはすべてのメッセージに存在する必要があり(SHOULD)、その値に基づいて、このセクションとセクション7で定義された追加のAVPが存在する場合があります。
Due to space constraints, the short-form IPFltrRule is used to represent IPFilterRule, and QoSFltrRule is used for QoSFilterRule.
スペースの制約により、短い形式のIPFltrRuleはIPFilterRuleを表すために使用され、QoSFltrRuleはQoSFilterRuleに使用されます。
+---------------------+
| AVP Flag rules |
|----+-----+----+-----|----+
AVP Section | | |SHLD| MUST| |
Attribute Name Code Defined Value Type |MUST| MAY | NOT| NOT|Encr|
-----------------------------------------|----+-----+----+-----|----|
Service-Type 6 6.1 Enumerated | M | P | | V | Y |
Callback-Number 19 6.2 UTF8String | M | P | | V | Y |
Callback-Id 20 6.3 UTF8String | M | P | | V | Y |
Idle-Timeout 28 6.4 Unsigned32 | M | P | | V | Y |
Port-Limit 62 6.5 Unsigned32 | M | P | | V | Y |
NAS-Filter-Rule 400 6.6 IPFltrRule | M | P | | V | Y |
Filter-Id 11 6.7 UTF8String | M | P | | V | Y |
Configuration- 78 6.8 OctetString| M | | | P,V | |
Token | | | | | |
QoS-Filter-Rule 407 6.9 QoSFltrRule| | | | | |
Framed-Protocol 7 6.10.1 Enumerated | M | P | | V | Y |
Framed-Routing 10 6.10.2 Enumerated | M | P | | V | Y |
Framed-MTU 12 6.10.3 Unsigned32 | M | P | | V | Y |
Framed- 13 6.10.4 Enumerated | M | P | | V | Y |
Compression | | | | | |
Framed-IP-Address 8 6.11.1 OctetString| M | P | | V | Y |
Framed-IP-Netmask 9 6.11.2 OctetString| M | P | | V | Y |
Framed-Route 22 6.11.3 UTF8String | M | P | | V | Y |
Framed-Pool 88 6.11.4 OctetString| M | P | | V | Y |
Framed- 96 6.11.5 Unsigned64 | M | P | | V | Y |
Interface-Id | | | | | |
Framed-IPv6- 97 6.11.6 OctetString| M | P | | V | Y |
Prefix | | | | | |
Framed-IPv6- 99 6.11.7 UTF8String | M | P | | V | Y |
Route | | | | | |
Framed-IPv6-Pool 100 6.11.8 OctetString| M | P | | V | Y |
Framed-IPX- 23 6.12.1 UTF8String | M | P | | V | Y |
Network | | | | | |
Framed-Appletalk- 37 6.13.1 Unsigned32 | M | P | | V | Y |
Link | | | | | |
Framed-Appletalk- 38 6.13.2 Unsigned32 | M | P | | V | Y |
Network | | | | | |
Framed-Appletalk- 39 6.13.3 OctetString| M | P | | V | Y |
Zone | | | | | |
ARAP-Features 71 6.14.1 OctetString| M | P | | V | Y |
ARAP-Zone-Access 72 6.14.2 Enumerated | M | P | | V | Y |
Login-IP-Host 14 6.15.1 OctetString| M | P | | V | Y |
Login-IPv6-Host 98 6.15.2 OctetString| M | P | | V | Y |
Login-Service 15 6.15.3 Enumerated | M | P | | V | Y |
Login-TCP-Port 16 6.16.1 Unsigned32 | M | P | | V | Y |
Login-LAT-Service 34 6.17.1 OctetString| M | P | | V | Y |
Login-LAT-Node 35 6.17.2 OctetString| M | P | | V | Y |
Login-LAT-Group 36 6.17.3 OctetString| M | P | | V | Y |
Login-LAT-Port 63 6.17.4 OctetString| M | P | | V | Y |
-----------------------------------------|----+-----+----+-----|----|
The Service-Type AVP (AVP Code 6) is of type Enumerated and contains the type of service the user has requested or the type of service to be provided. One such AVP MAY be present in an authentication and/or authorization request or response. A NAS is not required to implement all of these service types. It MUST treat unknown or unsupported Service-Types received in a response as a failure and end the session with a DIAMETER_INVALID_AVP_VALUE Result-Code.
Service-Type AVP(AVP Code 6)は列挙型であり、ユーザーが要求したサービスの種類または提供されるサービスの種類が含まれます。 そのようなAVPの1つは、認証および/または許可の要求または応答に存在する場合があります。 NASは、これらすべてのサービスタイプを実装する必要はありません。 応答で受信した未知またはサポートされていないサービスタイプを失敗として扱い、DIAMETER_INVALID_AVP_VALUE結果コードでセッションを終了しなければなりません。
When used in a request, the Service-Type AVP SHOULD be considered a hint to the server that the NAS believes the user would prefer the kind of service indicated. The server is not required to honor the hint. Furthermore, if the service specified by the server is supported, but not compatible with the current mode of access, the NAS MUST fail to start the session. The NAS MUST also generate the appropriate error message(s).
要求で使用される場合、Service-Type AVPは、ユーザーが示された種類のサービスを好むとNASが信じているというサーバーへのヒントと見なされるべきです(SHOULD)。 サーバーはヒントに従う必要はありません。 さらに、サーバーによって指定されたサービスがサポートされているが、現在のアクセスモードと互換性がない場合、NASはセッションの開始に失敗する必要があります。 NASは適切なエラーメッセージも生成する必要があります。
The following values have been defined for the Service-Type AVP. The complete list of defined values can be found in [RADIUS] and [RADIUSTypes]. The following list is informational:
Service-Type AVPには次の値が定義されています。 定義された値の完全なリストは、[RADIUS]および[RADIUSTypes]にあります。 次のリストは参考情報です。
1 Login 2 Framed 3 Callback Login 4 Callback Framed 5 Outbound 6 Administrative 7 NAS Prompt 8 Authenticate Only 9 Callback NAS Prompt 10 Call Check 11 Callback Administrative 12 Voice 13 Fax 14 Modem Relay 15 IAPP-Register [IEEE 802.11f] 16 IAPP-AP-Check [IEEE 802.11f] 17 Authorize Only [RADDynAuth]
1ログイン2フレーム3コールバックログイン4コールバックフレーム5アウトバウンド6管理7 NASプロンプト8認証のみ9コールバックNASプロンプト10コールチェック11コールバック管理12音声13ファックス14モデムリレー15 IAPPレジスタ[IEEE 802.11f] 16 IAPP-AP -[IEEE 802.11f] 17のみを許可[RADDynAuth]をチェック
The following values are further qualified:
以下の値はさらに修飾されています。
Login 1 The user should be connected to a host. The message MAY include additional AVPs defined in sections 6.16 or 6.17.
ログイン1ユーザーはホストに接続する必要があります。 メッセージには、セクション6.16または6.17で定義された追加のAVPを含めることができます。
Framed 2 A Framed Protocol, such as PPP or SLIP, should be started for the User. The message MAY include additional AVPs defined in section 6.10, or section 7 for tunneling services.
フレーム化2 PPPまたはSLIPなどのフレーム化プロトコルをユーザー用に開始する必要があります。 メッセージには、セクション6.10、またはトンネリングサービスのセクション7で定義された追加のAVPを含めることができます。
Callback Login 3 The user should be disconnected and called back, then connected to a host. The message MAY include additional AVPs defined in this section.
コールバックログイン3ユーザーを切断してコールバックし、ホストに接続する必要があります。 メッセージには、このセクションで定義されている追加のAVPを含めることができます。
Callback Framed 4 The user should be disconnected and called back, and then a Framed Protocol, such as PPP or SLIP, should be started for the User. The message MAY include additional AVPs defined in section 6.10, or in section 7 for tunneling services.
フレーム化されたコールバック4ユーザーを切断してコールバックし、ユーザーに対してPPPまたはSLIPなどのフレーム化プロトコルを開始する必要があります。 メッセージには、セクション6.10、またはトンネリングサービスのセクション7で定義された追加のAVPを含めることができます。
The Callback-Number AVP (AVP Code 19) is of type UTF8String and contains a dialing string to be used for callback. It MAY be used in an authentication and/or authorization request as a hint to the server that a Callback service is desired, but the server is not required to honor the hint in the corresponding response.
コールバック番号AVP(AVPコード19)はUTF8Stringタイプであり、コールバックに使用されるダイヤル文字列が含まれています。 これは、コールバックサービスが必要であるというサーバーへのヒントとして、認証および/または承認要求で使用できますが、サーバーは対応する応答のヒントに従う必要はありません。
The codification of this field's allowed usage range is outside the scope of this specification.
このフィールドの使用許可範囲の成文化は、この仕様の範囲外です。
The Callback-Id AVP (AVP Code 20) is of type UTF8String and contains the name of a place to be called, to be interpreted by the NAS. This AVP MAY be present in an authentication and/or authorization response.
Callback-Id AVP(AVPコード20)は、UTF8Stringタイプであり、NASによって解釈されるために呼び出される場所の名前が含まれています。 このAVPは、認証および/または許可応答に存在する場合があります。
This AVP is not roaming-friendly as it assumes that the Callback-Id is configured on the NAS. Using the Callback-Number AVP therefore preferable.
このAVPは、Callback-IdがNASで設定されていると想定しているため、ローミングに対応していません。 したがって、コールバック番号AVPを使用することをお勧めします。
The Idle-Timeout AVP (AVP Code 28) is of type Unsigned32 and sets the maximum number of consecutive seconds of idle connection allowable to the user before termination of the session or before a prompt is issued. The default is none, or system specific.
アイドルタイムアウトAVP(AVPコード28)は、タイプUnsigned32であり、セッションの終了前またはプロンプトが発行される前にユーザーが許容できるアイドル接続の最大連続秒数を設定します。 デフォルトはなし、またはシステム固有です。
The Port-Limit AVP (AVP Code 62) is of type Unsigned32 and sets the maximum number of ports the NAS provides to the user. It MAY be used in an authentication and/or authorization request as a hint to the server that multilink PPP [PPPMP] service is desired, but the server is not required to honor the hint in the corresponding response.
Port-Limit AVP(AVP Code 62)はUnsigned32タイプで、NASがユーザーに提供するポートの最大数を設定します。 これは、マルチリンクPPP [PPPMP]サービスが必要なサーバーへのヒントとして、認証および/または承認要求で使用できますが、サーバーは対応する応答のヒントに従う必要はありません。
The NAS-Filter-Rule AVP (AVP Code 400) is of type IPFilterRule and provides filter rules that need to be configured on the NAS for the user. One or more of these AVPs MAY be present in an authorization response.
NAS-Filter-Rule AVP(AVPコード400)はIPFilterRuleタイプであり、ユーザーに対してNASで構成する必要があるフィルタールールを提供します。 これらのAVPの1つ以上が許可応答に存在する場合があります。
The Filter-Id AVP (AVP Code 11) is of type UTF8String and contains the name of the filter list for this user. Zero or more Filter-Id AVPs MAY be sent in an authorization answer.
Filter-Id AVP(AVPコード11)はUTF8Stringタイプで、このユーザーのフィルターリストの名前が含まれています。 ゼロ以上のFilter-Id AVPが承認回答で送信される場合があります。
Identifying a filter list by name allows the filter to be used on different NASes without regard to filter-list implementation details. However, this AVP is not roaming friendly, as filter naming differs from one service provider to another.
フィルタリストを名前で識別すると、フィルタリストの実装の詳細に関係なく、異なるNASでフィルタを使用できます。 ただし、このAVPはローミングフレンドリーではありません。フィルターの命名はサービスプロバイダーごとに異なるためです。
In non-RADIUS environments, it is RECOMMENDED that the NAS-Filter-Rule AVP be used instead.
非RADIUS環境では、代わりにNAS-Filter-Rule AVPを使用することをお勧めします。
The Configuration-Token AVP (AVP Code 78) is of type OctetString and is sent by a Diameter Server to a Diameter Proxy Agent or Translation Agent in an AA-Answer command to indicate a type of user profile to be used. It should not be sent to a Diameter Client (NAS).
構成トークンAVP(AVPコード78)はOctetStringタイプであり、使用するユーザープロファイルのタイプを示すために、AA-AnswerコマンドでDiameter ServerからDiameter Proxy AgentまたはTranslation Agentに送信されます。 Diameterクライアント(NAS)に送信しないでください。
The format of the Data field of this AVP is site specific.
このAVPのデータフィールドの形式はサイト固有です。
The QoS-Filter-Rule AVP (AVP Code 407) is of type QoSFilterRule and provides QoS filter rules that need to be configured on the NAS for the user. One or more such AVPs MAY be present in an authorization response.
QoS-Filter-Rule AVP(AVPコード407)はQoSFilterRuleタイプで、NASでユーザーに構成する必要があるQoSフィルタールールを提供します。 1つ以上のそのようなAVPが許可応答に存在する場合があります。
Note: Due to an editorial mistake in [BASE], only the AVP format is discussed. The complete QoSFilterRule definition was not included. It is reprinted here for clarification.
注:[BASE]の編集上の誤りにより、AVP形式のみが説明されています。 完全なQoSFilterRule定義は含まれていません。 明確にするためにここに転載します。
QoSFilterRule
QoSFilterRule
The QosFilterRule format is derived from the OctetString AVP Base Format. It uses the ASCII charset. Packets may be marked or metered based on the following information:
QosFilterRule形式は、OctetString AVP Base Formatから派生しています。 ASCII文字セットを使用します。 パケットは、次の情報に基づいてマークまたは測定されます。
Direction (in or out) Source and destination IP address (possibly masked) Protocol Source and destination port (lists or ranges) DSCP values (no mask or range)
方向(入力または出力)送信元および宛先IPアドレス(マスクされている可能性があります)プロトコル送信元および宛先ポート(リストまたは範囲)DSCP値(マスクまたは範囲なし)
Rules for the appropriate direction are evaluated in order; the first matched rule terminates the evaluation. Each packet is evaluated once. If no rule matches, the packet is treated as best effort. An access device unable to interpret or apply a QoS rule SHOULD NOT terminate the session.
適切な方向のルールは順番に評価されます。 最初に一致したルールが評価を終了します。 各パケットは1回評価されます。 一致するルールがない場合、パケットはベストエフォートとして扱われます。 QoSルールを解釈または適用できないアクセスデバイスは、セッションを終了すべきではありません。
QoSFilterRule filters MUST follow the following format:
QoSFilterRuleフィルターは、次の形式に従う必要があります。
action dir proto from src to dst [options]
srcからdstへのaction dir proto [オプション]
tag - Mark packet with a specific DSCP
[DIFFSERV]. The DSCP option MUST be
included.
meter - Meter traffic. The metering options
MUST be included.
dir The format is as described under IPFilterRule.
for形式は、IPFilterルールで説明されているとおりです。
proto The format is as described under IPFilterRule.
proto形式は、IPFilterRuleで説明されているとおりです。
src and dst The format is as described under IPFilterRule.
srcおよびdst形式は、IPFilterRuleで説明されているとおりです。
options:
オプション:
DSCP <color> Color values as defined in [DIFFSERV]. Exact matching of DSCP values is required (no masks or ranges).
[DIFFSERV]で定義されているDSCP <color>色の値。 DSCP値の完全一致が必要です(マスクまたは範囲なし)。
metering <rate> <color_under> <color_over> The metering option provides Assured Forwarding, as defined in [DIFFSERVAF], and MUST be present if the action is set to meter. The rate option is the throughput, in bits per second, used by the access device to mark packets. Traffic over the rate is marked with the color_over codepoint, and traffic under the rate is marked with the color_under codepoint. The color_under and color_over options contain the drop preferences and MUST conform to the recommended codepoint keywords described in [DIFFSERVAF] (e.g., AF13).
metering <rate> <color_under> <color_over> meteringオプションは、[DIFFSERVAF]で定義されているように確実な転送を提供し、アクションがmeterに設定されている場合は存在しなければなりません。 レートオプションは、パケットをマークするためにアクセスデバイスによって使用されるスループット(ビット/秒)です。 レートを超えるトラフィックはcolor_overコードポイントでマークされ、レートを下回るトラフィックはcolor_underコードポイントでマークされます。 color_underオプションとcolor_overオプションにはドロップ設定が含まれ、[DIFFSERVAF]で説明されている推奨コードポイントキーワード(例:AF13)に準拠する必要があります。
The metering option also supports the strict
limit on traffic required by Expedited
Forwarding, as defined in [DIFFSERVEF]. The
color_over option may contain the keyword "drop"
to prevent forwarding of traffic that exceeds the
rate parameter.
The rule syntax is a modified subset of ipfw(8) from FreeBSD, and the ipfw.c code may provide a useful base for implementations.
ルールの構文は、FreeBSDのipfw(8)の修正されたサブセットであり、ipfw.cコードは実装の有用なベースを提供する場合があります。
This section lists the authorization AVPs necessary to support framed access, such as PPP and SLIP. AVPs defined in this section MAY be present in a message if the Service-Type AVP was set to "Framed" or "Callback Framed".
このセクションでは、PPPやSLIPなど、フレーム化されたアクセスをサポートするために必要な許可AVPをリストします。 Service-Type AVPが「Framed」または「Callback Framed」に設定されている場合、このセクションで定義されたAVPはメッセージに存在する場合があります。
The Framed-Protocol AVP (AVP Code 7) is of type Enumerated and contains the framing to be used for framed access. This AVP MAY be present in both requests and responses. The supported values are listed in [RADIUSTypes]. The following list is informational:
Framed-Protocol AVP(AVP Code 7)はEnumeratedタイプで、フレーム化されたアクセスに使用されるフレーミングが含まれています。 このAVPは、要求と応答の両方に存在する場合があります。 サポートされている値は[RADIUSTypes]にリストされています。 次のリストは参考情報です。
1 PPP 2 SLIP 3 AppleTalk Remote Access Protocol (ARAP) 4 Gandalf proprietary SingleLink/MultiLink protocol 5 Xylogics proprietary IPX/SLIP 6 X.75 Synchronous
1 PPP 2 SLIP 3 AppleTalk Remote Access Protocol(ARAP)4 Gandalf独自のSingleLink / MultiLinkプロトコル5 Xylogics独自のIPX / SLIP 6 X.75同期
The Framed-Routing AVP (AVP Code 10) is of type Enumerated and contains the routing method for the user when the user is a router to a network. This AVP SHOULD only be present in authorization responses. The supported values are listed in [RADIUSTypes]. The following list is informational:
Framed-Routing AVP(AVPコード10)はEnumeratedタイプで、ユーザーがネットワークへのルーターである場合のユーザーのルーティング方法が含まれています。 このAVPは、許可応答にのみ存在する必要があります。 サポートされている値は[RADIUSTypes]にリストされています。 次のリストは参考情報です。
0 None 1 Send routing packets 2 Listen for routing packets 3 Send and Listen
0なし1ルーティングパケットの送信2ルーティングパケットのリッスン3送信とリッスン
The Framed-MTU AVP (AVP Code 12) is of type Unsigned32 and contains the Maximum Transmission Unit to be configured for the user, when it is not negotiated by some other means (such as PPP). This AVP SHOULD only be present in authorization responses. The MTU value MUST be in the range from 64 to 65535.
Framed-MTU AVP(AVPコード12)はUnsigned32タイプで、他の手段(PPPなど)でネゴシエートされない場合に、ユーザー用に構成される最大転送単位を含みます。 このAVPは、許可応答にのみ存在する必要があります。 MTU値は、64〜65535の範囲でなければなりません。
The Framed-Compression AVP (AVP Code 13) is of type Enumerated and contains the compression protocol to be used for the link. It MAY be used in an authorization request as a hint to the server that a specific compression type is desired, but the server is not required to honor the hint in the corresponding response.
フレーム圧縮AVP(AVPコード13)は列挙型で、リンクに使用される圧縮プロトコルが含まれています。 特定の圧縮タイプが望ましいというサーバーへのヒントとして許可リクエストで使用される場合がありますが、サーバーは対応する応答のヒントに従う必要はありません。
More than one compression protocol AVP MAY be sent. The NAS is responsible for applying the proper compression protocol to the appropriate link traffic.
複数の圧縮プロトコルAVPが送信される場合があります。 NASは、適切な圧縮プロトコルを適切なリンクトラフィックに適用する責任があります。
The supported values are listed in [RADIUSTypes]. The following list is informational:
サポートされている値は[RADIUSTypes]にリストされています。 次のリストは参考情報です。
0 None 1 VJ TCP/IP header compression 2 IPX header compression 3 Stac-LZS compression
0なし1 VJ TCP / IPヘッダー圧縮2 IPXヘッダー圧縮3 Stac-LZS圧縮
The AVPs defined in this section are used when the user requests, or is being granted, access service to IP.
このセクションで定義されているAVPは、ユーザーがIPへのアクセスサービスを要求するか、許可されるときに使用されます。
The Framed-IP-Address AVP (AVP Code 8) [RADIUS] is of type OctetString and contains an IPv4 address of the type specified in the attribute value to be configured for the user. It MAY be used in an authorization request as a hint to the server that a specific address is desired, but the server is not required to honor the hint in the corresponding response.
Framed-IP-Address AVP(AVP Code 8)[RADIUS]はOctetStringタイプで、ユーザーに設定される属性値で指定されたタイプのIPv4アドレスを含みます。 特定のアドレスが必要であるというサーバーへのヒントとして許可要求で使用できますが、サーバーは対応する応答でヒントを尊重する必要はありません。
Two values have special significance: 0xFFFFFFFF and 0xFFFFFFFE. The value 0xFFFFFFFF indicates that the NAS should allow the user to select an address (i.e., negotiated). The value 0xFFFFFFFE indicates that the NAS should select an address for the user (e.g., assigned from a pool of addresses kept by the NAS).
2つの値には特別な意味があります:0xFFFFFFFFと0xFFFFFFFE。 値0xFFFFFFFFは、NASがユーザーにアドレスの選択(ネゴシエート)を許可する必要があることを示します。 値0xFFFFFFFEは、NASがユーザーのアドレスを選択する必要があることを示します(たとえば、NASが保持するアドレスのプールから割り当てられます)。
The Framed-IP-Netmask AVP (AVP Code 9) is of type OctetString and contains the four octets of the IPv4 netmask to be configured for the user when the user is a router to a network. It MAY be used in an authorization request as a hint to the server that a specific netmask is desired, but the server is not required to honor the hint in the corresponding response. This AVP MUST be present in a response if the request included this AVP with a value of 0xFFFFFFFF.
Framed-IP-Netmask AVP(AVP Code 9)はOctetStringタイプで、ユーザーがネットワークへのルーターである場合にユーザー用に構成されるIPv4ネットマスクの4オクテットを含みます。 特定のネットマスクが必要であるというサーバーへのヒントとして承認要求で使用できますが、サーバーは対応する応答でヒントを尊重する必要はありません。 要求に0xFFFFFFFFの値を持つこのAVPが含まれる場合、応答にこのAVPが存在する必要があります。
The Framed-Route AVP (AVP Code 22) is of type UTF8String and contains the ASCII routing information to be configured for the user on the NAS. Zero or more of these AVPs MAY be present in an authorization response.
Framed-Route AVP(AVPコード22)は、UTF8Stringタイプであり、NASのユーザー用に設定されるASCIIルーティング情報が含まれています。 これらのAVPの0個以上が許可応答に存在する場合があります。
The string MUST contain a destination prefix in dotted quad form optionally followed by a slash and a decimal length specifier stating how many high-order bits of the prefix should be used. This is followed by a space, a gateway address in dotted quad form, a space, and one or more metrics separated by spaces; for example,
文字列には、オプションでスラッシュとプレフィックスの上位ビット数を使用する必要があることを示す10進数の長さ指定子が続くドット付きクワッド形式の宛先プレフィックスを含める必要があります。 この後にスペース、ドット付きクワッド形式のゲートウェイアドレス、スペース、およびスペースで区切られた1つ以上のメトリックが続きます。 例えば、
"192.168.1.0/24 192.168.1.1 1".
「192.168.1.0/24 192.168.1.1 1」。
The length specifier may be omitted, in which case it should default to 8 bits for class A prefixes, to 16 bits for class B prefixes, and to 24 bits for class C prefixes; for example,
長さ指定子は省略できます。この場合、デフォルトはクラスAプレフィックスの場合は8ビット、クラスBプレフィックスの場合は16ビット、クラスCプレフィックスの場合は24ビットです。 例えば、
"192.168.1.0 192.168.1.1 1".
「192.168.1.0 192.168.1.1 1」。
Whenever the gateway address is specified as "0.0.0.0" the IP address of the user SHOULD be used as the gateway address.
ゲートウェイアドレスが「0.0.0.0」として指定されている場合は常に、ユーザーのIPアドレスをゲートウェイアドレスとして使用する必要があります。
The Framed-Pool AVP (AVP Code 88) is of type OctetString and contains the name of an assigned address pool that SHOULD be used to assign an address for the user. If a NAS does not support multiple address pools, the NAS SHOULD ignore this AVP. Address pools are usually used for IP addresses but can be used for other protocols if the NAS supports pools for those protocols.
Framed-Pool AVP(AVP Code 88)はOctetString型で、ユーザーにアドレスを割り当てるために使用する必要がある割り当てられたアドレスプールの名前が含まれています。 NASが複数のアドレスプールをサポートしていない場合、NASはこのAVPを無視する必要があります。 通常、アドレスプールはIPアドレスに使用されますが、NASがこれらのプロトコルのプールをサポートしている場合、他のプロトコルに使用できます。
Although specified as type OctetString for compatibility with RADIUS [RADIUSExt], the encoding of the Data field SHOULD also conform to the rules for the UTF8String Data Format.
RADIUS [RADIUSExt]との互換性のためにOctetString型として指定されていますが、データフィールドのエンコードはUTF8Stringデータ形式の規則にも準拠する必要があります。
The Framed-Interface-Id AVP (AVP Code 96) is of type Unsigned64 and contains the IPv6 interface identifier to be configured for the user. It MAY be used in authorization requests as a hint to the server that a specific interface id is desired, but the server is not required to honor the hint in the corresponding response.
Framed-Interface-Id AVP(AVPコード96)はUnsigned64タイプで、ユーザー用に構成するIPv6インターフェイス識別子が含まれています。 特定のインターフェイスIDが必要であるというサーバーへのヒントとして許可要求で使用できますが、サーバーは対応する応答でヒントを受け入れる必要はありません。
The Framed-IPv6-Prefix AVP (AVP Code 97) is of type OctetString and contains the IPv6 prefix to be configured for the user. One or more AVPs MAY be used in authorization requests as a hint to the server that specific IPv6 prefixes are desired, but the server is not required to honor the hint in the corresponding response.
Framed-IPv6-Prefix AVP(AVP Code 97)はOctetStringタイプで、ユーザー用に構成するIPv6プレフィックスが含まれています。 1つ以上のAVPは、特定のIPv6プレフィックスが必要であるというサーバーへのヒントとして許可要求で使用できますが、サーバーは対応する応答のヒントに従う必要はありません。
The Framed-IPv6-Route AVP (AVP Code 99) is of type UTF8String and contains the ASCII routing information to be configured for the user on the NAS. Zero or more of these AVPs MAY be present in an authorization response.
Framed-IPv6-Route AVP(AVP Code 99)はタイプUTF8Stringであり、NASのユーザーに対して構成するASCIIルーティング情報が含まれています。 これらのAVPの0個以上が許可応答に存在する場合があります。
The string MUST contain an IPv6 address prefix followed by a slash and a decimal length specifier stating how many high order bits of the prefix should be used. This is followed by a space, a gateway address in hexadecimal notation, a space, and one or more metrics separated by spaces; for example,
文字列には、IPv6アドレスプレフィックスの後にスラッシュと、プレフィックスの上位ビット数を使用する必要があることを示す10進数の長さ指定子が含まれている必要があります。 この後に、スペース、16進表記のゲートウェイアドレス、スペース、およびスペースで区切られた1つ以上のメトリックが続きます。 例えば、
"2000:0:0:106::/64 2000::106:a00:20ff:fe99:a998 1".
「2000:0:0:106 :: / 64 2000 :: 106:a00:20ff:fe99:a998 1」。
Whenever the gateway address is the IPv6 unspecified address, the IP address of the user SHOULD be used as the gateway address, such as in:
ゲートウェイアドレスがIPv6の未指定アドレスである場合は常に、次のように、ユーザーのIPアドレスをゲートウェイアドレスとして使用する必要があります(SHOULD)。
"2000:0:0:106::/64 :: 1".
「2000:0:0:106 :: / 64 :: 1」。
The Framed-IPv6-Pool AVP (AVP Code 100) is of type OctetString and contains the name of an assigned pool that SHOULD be used to assign an IPv6 prefix for the user. If the access device does not support multiple prefix pools, it MUST ignore this AVP.
Framed-IPv6-Pool AVP(AVP Code 100)はOctetStringタイプであり、ユーザーにIPv6プレフィックスを割り当てるために使用する必要がある割り当てられたプールの名前が含まれています。 アクセスデバイスが複数のプレフィックスプールをサポートしない場合、このAVPを無視する必要があります。
Although specified as type OctetString for compatibility with RADIUS [RADIUSIPv6], the encoding of the Data field SHOULD also conform to the rules for the UTF8String Data Format.
RADIUS [RADIUS IPv6]との互換性のためにOctet String型として指定されていますが、DataフィールドのエンコードはUTF8String Data Formatの規則にも準拠する必要があります。
The AVPs defined in this section are used when the user requests, or is being granted, access to an IPX network service.
このセクションで定義されているAVPは、ユーザーがIPXネットワークサービスへのアクセスを要求する、または許可されるときに使用されます。
The Framed-IPX-Network AVP (AVP Code 23) is of type Unsigned32 and contains the IPX Network number to be configured for the user. It MAY be used in an authorization request as a hint to the server that a specific address is desired, but the server is not required to honor the hint in the corresponding response.
Framed-IPX-Network AVP(AVPコード23)は、Unsigned32タイプで、ユーザー用に構成するIPXネットワーク番号が含まれています。 特定のアドレスが必要であるというサーバーへのヒントとして許可要求で使用できますが、サーバーは対応する応答でヒントを尊重する必要はありません。
Two addresses have special significance: 0xFFFFFFFF and 0xFFFFFFFE. The value 0xFFFFFFFF indicates that the NAS should allow the user to select an address (i.e., Negotiated). The value 0xFFFFFFFE indicates that the NAS should select an address for the user (e.g., assign it from a pool of one or more IPX networks kept by the NAS).
2つのアドレスには特別な意味があります:0xFFFFFFFFと0xFFFFFFFE。 値0xFFFFFFFFは、NASがユーザーにアドレスの選択(ネゴシエート)を許可する必要があることを示します。 値0xFFFFFFFEは、NASがユーザーのアドレスを選択する必要があることを示します(たとえば、NASが保持する1つ以上のIPXネットワークのプールからアドレスを割り当てます)。
The AVPs defined in this section are used when the user requests, or is being granted, access to an AppleTalk network [AppleTalk].
このセクションで定義されているAVPは、ユーザーがAppleTalkネットワーク[AppleTalk]へのアクセスを要求するか、許可されているときに使用されます。
The Framed-AppleTalk-Link AVP (AVP Code 37) is of type Unsigned32 and contains the AppleTalk network number that should be used for the serial link to the user, which is another AppleTalk router. This AVP MUST only be present in an authorization response and is never used when the user is not another router.
Framed-AppleTalk-Link AVP(AVPコード37)はUnsigned32タイプで、ユーザーへのシリアルリンクに使用するAppleTalkネットワーク番号が含まれています。これは別のAppleTalkルーターです。 このAVPは承認応答にのみ存在する必要があり、ユーザーが別のルーターでない場合は使用されません。
Despite the size of the field, values range from 0 to 65,535. The special value of 0 indicates an unnumbered serial link. A value of 1 to 65,535 means that the serial line between the NAS and the user should be assigned that value as an AppleTalk network number.
フィールドのサイズにもかかわらず、値の範囲は0〜65,535です。 特別な値0は、番号のないシリアルリンクを示します。 1〜65,535の値は、NASとユーザー間のシリアル回線にAppleTalkネットワーク番号としてその値を割り当てる必要があることを意味します。
The Framed-AppleTalk-Network AVP (AVP Code 38) is of type Unsigned32 and contains the AppleTalk Network number that the NAS should probe to allocate an AppleTalk node for the user. This AVP MUST only be present in an authorization response and is never used when the user is not another router. Multiple instances of this AVP indicate that the NAS may probe, using any of the network numbers specified.
Framed-AppleTalk-Network AVP(AVP Code 38)はUnsigned32タイプで、NASがユーザーにAppleTalkノードを割り当てるためにプローブする必要があるAppleTalkネットワーク番号を含んでいます。 このAVPは承認応答にのみ存在する必要があり、ユーザーが別のルーターでない場合は使用されません。 このAVPの複数のインスタンスは、指定されたネットワーク番号のいずれかを使用して、NASがプローブできることを示します。
Despite the size of the field, values range from 0 to 65,535. The special value 0 indicates that the NAS should assign a network for the user, using its default cable range. A value between 1 and 65,535 (inclusive) indicates to the AppleTalk Network that the NAS should probe to find an address for the user.
フィールドのサイズにもかかわらず、値の範囲は0〜65,535です。 特別な値0は、NASがデフォルトのケーブル範囲を使用してユーザーにネットワークを割り当てる必要があることを示します。 1〜65,535の値(両端を含む)は、NASがユーザーのアドレスを見つけるためにプローブする必要があることをAppleTalkネットワークに示します。
The Framed-AppleTalk-Zone AVP (AVP Code 39) is of type OctetString and contains the AppleTalk Default Zone to be used for this user. This AVP MUST only be present in an authorization response. Multiple instances of this AVP in the same message are not allowed.
Framed-AppleTalk-Zone AVP(AVP Code 39)はOctetStringタイプで、このユーザーに使用されるAppleTalkデフォルトゾーンが含まれています。 このAVPは、承認応答にのみ存在する必要があります。 同じメッセージ内のこのAVPの複数のインスタンスは許可されません。
The codification of this field's allowed range is outside the scope of this specification.
このフィールドの許容範囲の成文化は、この仕様の範囲外です。
The AVPs defined in this section are used when the user requests, or is being granted, access to the AppleTalk network via the AppleTalk Remote Access Protocol [ARAP]. They are only present if the Framed-Protocol AVP (see section 6.10.1) is set to ARAP. Section 2.2 of RFC 2869 [RADIUSExt] describes the operational use of these attributes.
このセクションで定義されているAVPは、ユーザーがAppleTalk Remote Access Protocol [ARAP]を介してAppleTalkネットワークへのアクセスを要求する、または許可されるときに使用されます。 これらは、Framed-Protocol AVP(セクション6.10.1を参照)がARAPに設定されている場合にのみ存在します。 RFC 2869 [RADIUSExt]のセクション2.2では、これらの属性の運用上の使用について説明しています。
The ARAP-Features AVP (AVP Code 71) is of type OctetString and MAY be present in the AA-Accept message if the Framed-Protocol AVP is set to the value of ARAP. See [RADIUSExt] for more information about the format of this AVP.
ARAP-Features AVP(AVP Code 71)はOctetString型であり、Framed-Protocol AVPがARAPの値に設定されている場合、AA-Acceptメッセージに存在する場合があります。 このAVPの形式の詳細については、[RADIUSExt]を参照してください。
The ARAP-Zone-Access AVP (AVP Code 72) is of type Enumerated and MAY be present in the AA-Accept message if the Framed-Protocol AVP is set to the value of ARAP.
ARAP-Zone-Access AVP(AVPコード72)は列挙型であり、Framed-Protocol AVPがARAPの値に設定されている場合、AA-Acceptメッセージに存在する場合があります。
The supported values are listed in [RADIUSTypes] and defined in [RADIUSExt].
サポートされている値は[RADIUSTypes]にリストされ、[RADIUSExt]で定義されています。
This section contains the authorization AVPs that are needed to support terminal server functionality. AVPs defined in this section MAY be present in a message if the Service-Type AVP was set to "Login" or "Callback Login".
このセクションには、ターミナルサーバー機能をサポートするために必要な承認AVPが含まれています。 Service-Type AVPが「Login」または「Callback Login」に設定されている場合、このセクションで定義されたAVPはメッセージに存在する場合があります。
The Login-IP-Host AVP (AVP Code 14) [RADIUS] is of type OctetString and contains the IPv4 address of a host with which to connect the user when the Login-Service AVP is included. It MAY be used in an AA-Request command as a hint to the Diameter Server that a specific host is desired, but the Diameter Server is not required to honor the hint in the AA-Answer.
Login-IP-Host AVP(AVP Code 14)[RADIUS]はOctetStringタイプで、Login-Service AVPが含まれる場合にユーザーを接続するホストのIPv4アドレスが含まれます。 特定のホストが必要であることをDiameterサーバーへのヒントとしてAA-Requestコマンドで使用できますが、DiameterサーバーはAA-Answerのヒントに従う必要はありません。
Two addresses have special significance: all ones and 0. The value of all ones indicates that the NAS SHOULD allow the user to select an address. The value 0 indicates that the NAS SHOULD select a host to connect the user to.
2つのアドレスには特別な意味があります。すべて1と0です。すべて1の値は、NASがユーザーにアドレスの選択を許可する必要があることを示します。 値0は、NASがユーザーを接続するホストを選択する必要があることを示します。
The Login-IPv6-Host AVP (AVP Code 98) [RADIUSIPv6] is of type OctetString and contains the IPv6 address of a host with which to connect the user when the Login-Service AVP is included. It MAY be used in an AA-Request command as a hint to the Diameter Server that a specific host is desired, but the Diameter Server is not required to honor the hint in the AA-Answer.
Login-IPv6-Host AVP(AVP Code 98)[RADIUSIPv6]はOctetStringタイプであり、Login-Service AVPが含まれる場合にユーザーを接続するホストのIPv6アドレスが含まれます。 特定のホストが必要であることをDiameterサーバーへのヒントとしてAA-Requestコマンドで使用できますが、DiameterサーバーはAA-Answerのヒントに従う必要はありません。
Two addresses have special significance:
2つのアドレスには特別な意味があります。
0xFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF and 0. The value 0xFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF indicates that the NAS SHOULD allow the user to select an address. The value 0 indicates that the NAS SHOULD select a host to connect the user to.
0xFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFおよび0。値0xFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFは、NASがユーザーにアドレスの選択を許可する必要があることを示します。 値0は、NASがユーザーを接続するホストを選択する必要があることを示します。
The Login-Service AVP (AVP Code 15) is of type Enumerated and contains the service that should be used to connect the user to the login host. This AVP SHOULD only be present in authorization responses.
Login-Service AVP(AVPコード15)はEnumeratedタイプで、ユーザーをログインホストに接続するために使用する必要があるサービスが含まれています。 このAVPは、許可応答にのみ存在する必要があります。
The supported values are listed in [RADIUSTypes]. The following list is informational:
サポートされている値は[RADIUSTypes]にリストされています。 次のリストは参考情報です。
0 Telnet 1 Rlogin 2 TCP Clear 3 PortMaster (proprietary) 4 LAT 5 X25-PAD 6 X25-T3POS 8 TCP Clear Quiet (suppresses any NAS-generated connect string)
0 Telnet 1 Rlogin 2 TCP Clear 3 PortMaster(独自仕様)4 LAT 5 X25-PAD 6 X25-T3POS 8 TCP Clear Quiet(NASが生成した接続文字列を抑制)
The AVPs described in this section MAY be present if the Login-Service AVP is set to Telnet, Rlogin, TCP Clear, or TCP Clear Quiet.
Login-Service AVPがTelnet、Rlogin、TCP Clear、またはTCP Clear Quietに設定されている場合、このセクションで説明されているAVPが存在する場合があります。
The Login-TCP-Port AVP (AVP Code 16) is of type Unsigned32 and contains the TCP port with which the user is to be connected when the Login-Service AVP is also present. This AVP SHOULD only be present in authorization responses. The value MUST NOT be greater than 65,535.
Login-TCP-Port AVP(AVP Code 16)はUnsigned32タイプで、Login-Service AVPが存在する場合にユーザーが接続するTCPポートが含まれます。 このAVPは、許可応答にのみ存在する必要があります。 値は65,535を超えてはなりません。
The AVPs described in this section MAY be present if the Login-Service AVP is set to LAT [LAT].
Login-Service AVPがLAT [LAT]に設定されている場合、このセクションで説明されているAVPが存在する場合があります。
The Login-LAT-Service AVP (AVP Code 34) is of type OctetString and contains the system with which the user is to be connected by LAT. It MAY be used in an authorization request as a hint to the server that a specific service is desired, but the server is not required to honor the hint in the corresponding response. This AVP MUST only be present in the response if the Login-Service AVP states that LAT is desired.
Login-LAT-Service AVP(AVPコード34)はOctetStringタイプであり、ユーザーがLATによって接続されるシステムが含まれています。 特定のサービスが必要であることをサーバーへのヒントとして許可要求で使用できますが、サーバーは対応する応答のヒントを受け入れる必要はありません。 このAVPは、Login-Service AVPがLATが望ましいと述べている場合にのみ応答に存在しなければなりません。
Administrators use this service attribute when dealing with clustered systems, such as a VAX or Alpha cluster. In these environments, several different time-sharing hosts share the same resources (disks, printers, etc.), and administrators often configure each host to offer access (service) to each of the shared resources. In this case, each host in the cluster advertises its services through LAT broadcasts.
管理者は、VAXまたはAlphaクラスターなどのクラスター化されたシステムを扱うときに、このサービス属性を使用します。 これらの環境では、いくつかの異なるタイムシェアリングホストが同じリソース(ディスク、プリンターなど)を共有し、管理者は各共有リソースへのアクセス(サービス)を提供するように各ホストを構成することがよくあります。 この場合、クラスター内の各ホストは、LATブロードキャストを介してサービスをアドバタイズします。
Sophisticated users often know which service providers (machines) are faster and tend to use a node name when initiating a LAT connection. Some administrators want particular users to use certain machines as a primitive form of load balancing (although LAT knows how to do load balancing itself).
洗練されたユーザーは、どのサービスプロバイダー(マシン)が高速であるかをよく知っており、LAT接続を開始するときにノード名を使用する傾向があります。 一部の管理者は、特定のユーザーが特定のマシンをロードバランシングの基本的な形式として使用することを望んでいます(ただし、LATはロードバランシングの方法を知っています)。
The String field contains the identity of the LAT service to use. The LAT Architecture allows this string to contain $ (dollar), - (hyphen), . (period), _ (underscore), numerics, upper- and lowercase alphabetics, and the ISO Latin-1 character set extension [ISOLatin]. All LAT string comparisons are case insensitive.
Stringフィールドには、使用するLATサービスのIDが含まれています。 LATアーキテクチャでは、この文字列に$(ドル)、-(ハイフン)、. (ピリオド)、_(アンダースコア)、数値、大文字と小文字のアルファベット、およびISO Latin-1文字セット拡張[ISOLatin]。 すべてのLAT文字列比較は大文字と小文字を区別しません。
The Login-LAT-Node AVP (AVP Code 35) is of type OctetString and contains the Node with which the user is to be automatically connected by LAT. It MAY be used in an authorization request as a hint to the server that a specific LAT node is desired, but the server is not required to honor the hint in the corresponding response. This AVP MUST only be present in a response if the Login-Service-Type AVP is set to LAT.
Login-LAT-Node AVP(AVPコード35)はOctetStringタイプで、ユーザーがLATによって自動的に接続されるノードが含まれています。 特定のLATノードが必要であるというサーバーへのヒントとして承認要求で使用できますが、サーバーは対応する応答でヒントを尊重する必要はありません。 このAVPは、Login-Service-Type AVPがLATに設定されている場合にのみ応答に存在する必要があります。
The String field contains the identity of the LAT service to use. The LAT Architecture allows this string to contain $ (dollar), - (hyphen), . (period), _ (underscore), numerics, upper- and lowercase alphabetics, and the ISO Latin-1 character set extension [ISOLatin]. All LAT string comparisons are case insensitive.
Stringフィールドには、使用するLATサービスのIDが含まれています。 LATアーキテクチャでは、この文字列に$(ドル)、-(ハイフン)、. (ピリオド)、_(アンダースコア)、数値、大文字と小文字のアルファベット、およびISO Latin-1文字セット拡張[ISOLatin]。 すべてのLAT文字列比較は大文字と小文字を区別しません。
The Login-LAT-Group AVP (AVP Code 36) is of type OctetString and contains a string identifying the LAT group codes this user is authorized to use. It MAY be used in an authorization request as a hint to the server that a specific group is desired, but the server is not required to honor the hint in the corresponding response. This AVP MUST only be present in a response if the Login-Service-Type AVP is set to LAT.
Login-LAT-Group AVP(AVP Code 36)はOctetStringタイプで、このユーザーが使用を許可されているLATグループコードを識別する文字列が含まれています。 特定のグループが必要であることをサーバーへのヒントとして許可要求で使用できますが、サーバーは対応する応答のヒントを受け入れる必要はありません。 このAVPは、Login-Service-Type AVPがLATに設定されている場合にのみ応答に存在する必要があります。
LAT supports 256 different group codes, which LAT uses as a form of access rights. LAT encodes the group codes as a 256-bit bitmap.
LATは256の異なるグループコードをサポートし、LATはこれをアクセス権の形式として使用します。 LATは、グループコードを256ビットのビットマップとしてエンコードします。
Administrators can assign one or more of the group code bits at the LAT service provider; it will only accept LAT connections that have these group codes set in the bitmap. The administrators assign a bitmap of authorized group codes to each user. LAT gets these from the operating system and uses them in its requests to the service providers.
管理者は、LATサービスプロバイダーで1つ以上のグループコードビットを割り当てることができます。 これらのグループコードがビットマップに設定されているLAT接続のみを受け入れます。 管理者は、許可されたグループコードのビットマップを各ユーザーに割り当てます。 LATはこれらをオペレーティングシステムから取得し、サービスプロバイダーへの要求で使用します。
The codification of the range of allowed usage of this field is outside the scope of this specification.
このフィールドの許可された使用範囲の成文化は、この仕様の範囲外です。
The Login-LAT-Port AVP (AVP Code 63) is of type OctetString and contains the Port with which the user is to be connected by LAT. It MAY be used in an authorization request as a hint to the server that a specific port is desired, but the server is not required to honor the hint in the corresponding response. This AVP MUST only be present in a response if the Login-Service-Type AVP is set to LAT.
Login-LAT-Port AVP(AVP Code 63)はOctetStringタイプで、ユーザーがLATによって接続されるポートが含まれています。 特定のポートが必要であるというサーバーへのヒントとして承認要求で使用できますが、サーバーは対応する応答でヒントを受け入れる必要はありません。 このAVPは、Login-Service-Type AVPがLATに設定されている場合にのみ応答に存在する必要があります。
The String field contains the identity of the LAT service to use. The LAT Architecture allows this string to contain $ (dollar), - (hyphen), . (period), _ (underscore), numerics, upper- and lower-case alphabetics, and the ISO Latin-1 character set extension [ISOLatin]. All LAT string comparisons are case insensitive.
Stringフィールドには、使用するLATサービスのIDが含まれています。 LATアーキテクチャでは、この文字列に$(ドル)、-(ハイフン)、. (ピリオド)、_(アンダースコア)、数値、大文字と小文字のアルファベット、およびISO Latin-1文字セット拡張[ISOLatin]。 すべてのLAT文字列比較は大文字と小文字を区別しません。
Some NASes support compulsory tunnel services in which the incoming connection data is conveyed by an encapsulation method to a gateway elsewhere in the network. This is typically transparent to the service user, and the tunnel characteristics may be described by the remote AAA server, based on the user's authorization information. Several tunnel characteristics may be returned, and the NAS implementation may choose one [RADTunnels], [RADTunlAcct].
一部のNASは、強制的なトンネルサービスをサポートします。このサービスでは、着信接続データがカプセル化方式によってネットワークの他の場所のゲートウェイに伝達されます。 これは通常、サービスユーザーに対して透過的であり、トンネルの特性は、ユーザーの認証情報に基づいてリモートAAAサーバーによって記述される場合があります。 いくつかのトンネル特性が返される場合があり、NAS実装は[RADTunnels]、[RADTunlAcct]のいずれかを選択する場合があります。
+---------------------+
| AVP Flag rules |
|----+-----+----+-----|----+
AVP Section | | |SHLD| MUST| |
Attribute Name Code Defined Value Type |MUST| MAY | NOT| NOT |Encr|
-----------------------------------------|----+-----+----+-----|----|
Tunneling 401 7.1 Grouped | M | P | | V | N |
Tunnel-Type 64 7.2 Enumerated | M | P | | V | Y |
Tunnel-Medium- 65 7.3 Enumerated | M | P | | V | Y |
Type | | | | | |
Tunnel-Client- 66 7.4 UTF8String | M | P | | V | Y |
Endpoint | | | | | |
Tunnel-Server- 67 7.5 UTF8String | M | P | | V | Y |
Endpoint | | | | | |
Tunnel-Password 69 7.6 OctetString| M | P | | V | Y |
Tunnel-Private- 81 7.7 OctetString| M | P | | V | Y |
Group-Id | | | | | |
Tunnel- 82 7.8 OctetString| M | P | | V | Y |
Assignment-Id | | | | | |
Tunnel-Preference 83 7.9 Unsigned32 | M | P | | V | Y |
Tunnel-Client- 90 7.10 UTF8String | M | P | | V | Y |
Auth-Id | | | | | |
Tunnel-Server- 91 7.11 UTF8String | M | P | | V | Y |
Auth-Id | | | | | |
-----------------------------------------|----+-----+----+-----|----|
The Tunneling AVP (AVP Code 401) is of type Grouped and contains the following AVPs, used to describe a compulsory tunnel service: [RADTunnels], [RADTunlAcct]. Its data field has the following ABNF grammar:
トンネリングAVP(AVPコード401)はグループ化されたタイプであり、強制的なトンネルサービスを記述するために使用される次のAVPを含みます:[RADTunnels]、[RADTunlAcct]。 そのデータフィールドには、次のABNF文法があります。
Tunneling ::= < AVP Header: 401 >
{ Tunnel-Type }
{ Tunnel-Medium-Type }
{ Tunnel-Client-Endpoint }
{ Tunnel-Server-Endpoint }
[ Tunnel-Preference ]
[ Tunnel-Client-Auth-Id ]
[ Tunnel-Server-Auth-Id ]
[ Tunnel-Assignment-Id ]
[ Tunnel-Password ]
[ Tunnel-Private-Group-Id ]
The Tunnel-Type AVP (AVP Code 64) is of type Enumerated and contains the tunneling protocol(s) to be used (in the case of a tunnel initiator) or in use (in the case of a tunnel terminator). It MAY be used in an authorization request as a hint to the server that a specific tunnel type is desired, but the server is not required to honor the hint in the corresponding response.
Tunnel-Type AVP(AVP Code 64)はEnumeratedタイプで、使用されるトンネルプロトコル(トンネルイニシエーターの場合)または使用中(トンネルターミネーターの場合)が含まれます。 特定のトンネルタイプが望ましいというサーバーへのヒントとして承認要求で使用できますが、サーバーは対応する応答でヒントを受け入れる必要はありません。
The Tunnel-Type AVP SHOULD also be included in Accounting-Request messages.
Tunnel-Type AVPは、Accounting-Requestメッセージにも含まれている必要があります。
A tunnel initiator is not required to implement any of these tunnel types. If a tunnel initiator receives a response that contains only unknown or unsupported Tunnel-Types, the tunnel initiator MUST behave as though a response were received with the Result-Code indicating a failure.
これらのトンネルタイプを実装するために、トンネルイニシエーターは必要ありません。 トンネルイニシエーターが、不明またはサポートされていないトンネルタイプのみを含む応答を受信した場合、トンネルイニシエーターは、失敗を示す結果コードで応答を受信したかのように動作する必要があります。
The supported values are listed in [RADIUSTypes]. The following list is informational:
サポートされている値は[RADIUSTypes]にリストされています。 次のリストは参考情報です。
1 Point-to-Point Tunneling Protocol (PPTP) 2 Layer Two Forwarding (L2F) 3 Layer Two Tunneling Protocol (L2TP) 4 Ascend Tunnel Management Protocol (ATMP) 5 Virtual Tunneling Protocol (VTP) 6 IP Authentication Header in the Tunnel-mode (AH) 7 IP-in-IP Encapsulation (IP-IP) 8 Minimal IP-in-IP Encapsulation (MIN-IP-IP) 9 IP Encapsulating Security Payload in the Tunnel-mode (ESP) 10 Generic Route Encapsulation (GRE) 11 Bay Dial Virtual Services (DVS) 12 IP-in-IP Tunneling 13 Virtual LANs (VLAN)
1ポイントツーポイントトンネリングプロトコル(PPTP)2レイヤー2転送(L2F)3レイヤー2トンネリングプロトコル(L2TP)4アセンドトンネル管理プロトコル(ATMP)5仮想トンネリングプロトコル(VTP)6トンネルモードのIP認証ヘッダー (AH)7 IP-in-IPカプセル化(IP-IP)8最小IP-in-IPカプセル化(MIN-IP-IP)9トンネルモードでのIPカプセル化セキュリティペイロード(ESP)10ジェネリックルートカプセル化(GRE) 11ベイダイヤル仮想サービス(DVS)12 IP-in-IPトンネリング13仮想LAN(VLAN)
The Tunnel-Medium-Type AVP (AVP Code 65) is of type Enumerated and contains the transport medium to use when creating a tunnel for protocols (such as L2TP) that can operate over multiple transports. It MAY be used in an authorization request as a hint to the server that a specific medium is desired, but the server is not required to honor the hint in the corresponding response.
Tunnel-Medium-Type AVP(AVP Code 65)はEnumeratedタイプで、複数のトランスポート上で動作できるプロトコル(L2TPなど)のトンネルを作成するときに使用するトランスポートメディアが含まれています。 特定のメディアが必要であるというサーバーへのヒントとして承認リクエストで使用できますが、サーバーは対応する応答でヒントを受け入れる必要はありません。
The supported values are listed in [RADIUSTypes]. The following list is informational:
サポートされている値は[RADIUSTypes]にリストされています。 次のリストは参考情報です。
1 IPv4 (IP version 4) 2 IPv6 (IP version 6) 3 NSAP 4 HDLC (8-bit multidrop) 5 BBN 1822 6 802 (includes all 802 media plus Ethernet "canonical format") 7 E.163 (POTS) 8 E.164 (SMDS, Frame Relay, ATM) 9 F.69 (Telex) 10 X.121 (X.25, Frame Relay) 11 IPX 12 Appletalk 13 Decnet IV 14 Banyan Vines 15 E.164 with NSAP format subaddress
1 IPv4(IPバージョン4)2 IPv6(IPバージョン6)3 NSAP 4 HDLC(8ビットマルチドロップ)5 BBN 1822 6 802(すべての802メディアとイーサネット「標準形式」を含む)7 E.163(POTS)8 E .164(SMDS、フレームリレー、ATM)9 F.69(テレックス)10 X.121(X.25、フレームリレー)11 IPX 12 Appletalk 13 Decnet IV 14 Banyan Vines 15 NSAP形式のサブアドレスを持つE.164
The Tunnel-Client-Endpoint AVP (AVP Code 66) is of type UTF8String and contains the address of the initiator end of the tunnel. It MAY be used in an authorization request as a hint to the server that a specific endpoint is desired, but the server is not required to honor the hint in the corresponding response.
Tunnel-Client-Endpoint AVP(AVP Code 66)はタイプUTF8Stringであり、トンネルのイニシエーターエンドのアドレスが含まれています。 特定のエンドポイントが必要であるというサーバーへのヒントとして許可要求で使用できますが、サーバーは対応する応答でヒントを受け入れる必要はありません。
This AVP SHOULD be included in the corresponding Accounting-Request messages, in which case it indicates the address from which the tunnel was initiated. This AVP, along with the Tunnel-Server-Endpoint and Session-Id AVP [BASE], MAY be used to provide a globally unique means to identify a tunnel for accounting and auditing purposes.
このAVPは、対応するAccounting-Requestメッセージに含める必要があります(その場合、トンネルが開始されたアドレスを示します)。 このAVPは、Tunnel-Server-EndpointおよびSession-Id AVP [BASE]とともに、アカウンティングおよび監査目的でトンネルを識別するためのグローバルに一意の手段を提供するために使用できます。
If Tunnel-Medium-Type is IPv4 (1), then this string is either the fully qualified domain name (FQDN) of the tunnel client machine, or a
Tunnel-Medium-TypeがIPv4(1)の場合、この文字列はトンネルクライアントマシンの完全修飾ドメイン名(FQDN)、または
"dotted-decimal" IP address. Implementations MUST support the dotted-decimal format and SHOULD support the FQDN format for IP addresses.
「ドット付き10進数」IPアドレス。 実装はドット付き10進数形式をサポートする必要があり、IPアドレスのFQDN形式をサポートする必要があります。
If Tunnel-Medium-Type is IPv6 (2), then this string is either the FQDN of the tunnel client machine, or a text representation of the address in either the preferred or alternate form [IPv6Addr]. Conforming implementations MUST support the preferred form and SHOULD support both the alternate text form and the FQDN format for IPv6 addresses.
Tunnel-Medium-TypeがIPv6(2)の場合、この文字列はトンネルクライアントマシンのFQDN、または優先形式または代替形式[IPv6Addr]のアドレスのテキスト表現です。 準拠する実装は優先形式をサポートしなければならず(MUST)、IPv6アドレスの代替テキスト形式とFQDN形式の両方をサポートする必要があります(SHOULD)。
If Tunnel-Medium-Type is neither IPv4 nor IPv6, then this string is a tag referring to configuration data local to the Diameter client that describes the interface or medium-specific client address to use.
Tunnel-Medium-TypeがIPv4でもIPv6でもない場合、この文字列は、使用するインターフェイスまたはメディア固有のクライアントアドレスを記述するDiameterクライアントにローカルな構成データを参照するタグです。
The Tunnel-Server-Endpoint AVP (AVP Code 67) is of type UTF8String and contains the address of the server end of the tunnel. It MAY be used in an authorization request as a hint to the server that a specific endpoint is desired, but the server is not required to honor the hint in the corresponding response.
Tunnel-Server-Endpoint AVP(AVP Code 67)はタイプUTF8Stringであり、トンネルのサーバーエンドのアドレスが含まれています。 特定のエンドポイントが必要であるというサーバーへのヒントとして許可要求で使用できますが、サーバーは対応する応答でヒントを受け入れる必要はありません。
This AVP SHOULD be included in the corresponding Accounting-Request messages, in which case it indicates the address from which the tunnel was initiated. This AVP, along with the Tunnel-Client-Endpoint and Session-Id AVP [BASE], MAY be used to provide a globally unique means to identify a tunnel for accounting and auditing purposes.
このAVPは、対応するAccounting-Requestメッセージに含める必要があります(その場合、トンネルが開始されたアドレスを示します)。 このAVPは、Tunnel-Client-EndpointおよびSession-Id AVP [BASE]とともに、アカウンティングおよび監査目的でトンネルを識別するためのグローバルに一意の手段を提供するために使用できます。
If Tunnel-Medium-Type is IPv4 (1), then this string is either the fully qualified domain name (FQDN) of the tunnel server machine, or a "dotted-decimal" IP address. Implementations MUST support the dotted-decimal format and SHOULD support the FQDN format for IP addresses.
Tunnel-Medium-TypeがIPv4(1)の場合、この文字列はトンネルサーバーマシンの完全修飾ドメイン名(FQDN)、または「ドット付き10進」IPアドレスです。 実装はドット付き10進数形式をサポートする必要があり、IPアドレスのFQDN形式をサポートする必要があります。
If Tunnel-Medium-Type is IPv6 (2), then this string is either the FQDN of the tunnel server machine, or a text representation of the address in either the preferred or alternate form [IPv6Addr]. Implementations MUST support the preferred form and SHOULD support both the alternate text form and the FQDN format for IPv6 addresses.
Tunnel-Medium-TypeがIPv6(2)の場合、この文字列はトンネルサーバーマシンのFQDN、または優先形式または代替形式[IPv6Addr]のアドレスのテキスト表現です。 実装は優先形式をサポートする必要があり、IPv6アドレスの代替テキスト形式とFQDN形式の両方をサポートする必要があります。
If Tunnel-Medium-Type is not IPv4 or IPv6, this string is a tag referring to configuration data local to the Diameter client that describes the interface or medium-specific server address to use.
Tunnel-Medium-TypeがIPv4またはIPv6でない場合、この文字列は、使用するインターフェイスまたはメディア固有のサーバーアドレスを記述するDiameterクライアントにローカルな構成データを参照するタグです。
The Tunnel-Password AVP (AVP Code 69) is of type OctetString and may contain a password to be used to authenticate to a remote server. The Tunnel-Password AVP contains sensitive information. This value is not protected in the same manner as RADIUS [RADTunnels].
Tunnel-Password AVP(AVP Code 69)はOctetStringタイプで、リモートサーバーへの認証に使用されるパスワードを含む場合があります。 Tunnel-Password AVPには機密情報が含まれています。 この値は、RADIUS [RADTunnels]と同じ方法で保護されません。
As required in [BASE], Diameter messages are encrypted by using IPsec or TLS. The Tunnel-Password AVP SHOULD NOT be used in untrusted proxy environments without encrypting it by using end-to-end security techniques, such as CMS Security [DiamCMS].
[BASE]の必要に応じて、DiameterメッセージはIPsecまたはTLSを使用して暗号化されます。 Tunnel-Password AVPは、CMS Security [DiamCMS]などのエンドツーエンドセキュリティ技術を使用して暗号化せずに、信頼できないプロキシ環境で使用しないでください。
The Tunnel-Private-Group-Id AVP (AVP Code 81) is of type OctetString and contains the group Id for a particular tunneled session. The Tunnel-Private-Group-Id AVP MAY be included in an authorization request if the tunnel initiator can predetermine the group resulting from a particular connection. It SHOULD be included in the authorization response if this tunnel session is to be treated as belonging to a particular private group. Private groups may be used to associate a tunneled session with a particular group of users. For example, it MAY be used to facilitate routing of unregistered IP addresses through a particular interface. This AVP SHOULD be included in the Accounting-Request messages that pertain to the tunneled session.
Tunnel-Private-Group-Id AVP(AVP Code 81)はOctetStringタイプで、特定のトンネルセッションのグループIDが含まれています。 Tunnel-Private-Group-Id AVPは、トンネルイニシエーターが特定の接続から生じるグループを事前に決定できる場合、許可要求に含めることができます。 このトンネルセッションが特定のプライベートグループに属するものとして扱われる場合は、許可応答に含める必要があります。 プライベートグループを使用して、トンネルセッションを特定のユーザーグループに関連付けることができます。 たとえば、特定のインターフェイスを介した未登録IPアドレスのルーティングを容易にするために使用できます。 このAVPは、トンネルセッションに関係するAccounting-Requestメッセージに含める必要があります。
The Tunnel-Assignment-Id AVP (AVP Code 82) is of type OctetString and is used to indicate to the tunnel initiator the particular tunnel to which a session is to be assigned. Some tunneling protocols, such as [PPTP] and [L2TP], allow for sessions between the same two tunnel endpoints to be multiplexed over the same tunnel and also for a given session to use its own dedicated tunnel. This attribute provides a mechanism for Diameter to inform the tunnel initiator (e.g., PAC, LAC) whether to assign the session to a multiplexed tunnel or to a separate tunnel. Furthermore, it allows for sessions sharing multiplexed tunnels to be assigned to different multiplexed tunnels.
Tunnel-Assignment-Id AVP(AVP Code 82)はOctetStringタイプであり、セッションが割り当てられる特定のトンネルをトンネルイニシエーターに示すために使用されます。 [PPTP]や[L2TP]などの一部のトンネリングプロトコルでは、同じ2つのトンネルエンドポイント間のセッションを同じトンネルで多重化したり、特定のセッションで独自の専用トンネルを使用したりできます。 この属性は、Diameterがトンネルイニシエーター(PAC、LACなど)にセッションを多重化トンネルに割り当てるか、別のトンネルに割り当てるかを通知するメカニズムを提供します。 さらに、多重化トンネルを共有するセッションを異なる多重化トンネルに割り当てることができます。
A particular tunneling implementation may assign differing characteristics to particular tunnels. For example, different tunnels may be assigned different QoS parameters. Such tunnels may be used to carry either individual or multiple sessions. The Tunnel-Assignment-Id attribute thus allows the Diameter server to indicate that a particular session is to be assigned to a tunnel providing an appropriate level of service. It is expected that any QoS-related Diameter tunneling attributes defined in the future accompanying this one will be associated by the tunnel initiator with the Id given by this attribute. In the meantime, any semantic given to a particular Id string is a matter left to local configuration in the tunnel initiator.
特定のトンネリング実装は、特定のトンネルに異なる特性を割り当てる場合があります。 たとえば、異なるトンネルに異なるQoSパラメーターを割り当てることができます。 このようなトンネルを使用して、個別のセッションまたは複数のセッションを伝送できます。 Tunnel-Assignment-Id属性により、Diameterサーバーは、適切なレベルのサービスを提供するトンネルに特定のセッションが割り当てられることを示すことができます。 これに付随して将来定義されるQoS関連のDiameterトンネリング属性は、トンネルイニシエータによってこの属性で指定されたIDと関連付けられることが期待されます。 それまでの間、特定のId文字列に与えられたセマンティックは、トンネルイニシエーターのローカル構成に任された問題です。
The Tunnel-Assignment-Id AVP is of significance only to Diameter and the tunnel initiator. The Id it specifies is only intended to be of local use to Diameter and the tunnel initiator. The Id assigned by the tunnel initiator is not conveyed to the tunnel peer.
Tunnel-Assignment-Id AVPは、Diameterとトンネルイニシエーターにとってのみ重要です。 指定するIDは、Diameterとトンネルイニシエータに対してローカルで使用することのみを目的としています。 トンネルイニシエーターによって割り当てられたIDは、トンネルピアに伝達されません。
This attribute MAY be included in authorization responses. The tunnel initiator receiving this attribute MAY choose to ignore it and to assign the session to an arbitrary multiplexed or non-multiplexed tunnel between the desired endpoints. This AVP SHOULD also be included in the Accounting-Request messages pertaining to the tunneled session.
この属性は、許可応答に含めることができます。 この属性を受信するトンネルイニシエータは、それを無視し、目的のエンドポイント間の任意の多重化トンネルまたは非多重化トンネルにセッションを割り当てることを選択できます。 このAVPは、トンネルセッションに関するAccounting-Requestメッセージにも含める必要があります。
If a tunnel initiator supports the Tunnel-Assignment-Id AVP, then it should assign a session to a tunnel in the following manner:
トンネルイニシエーターがTunnel-Assignment-Id AVPをサポートする場合、次の方法でセッションをトンネルに割り当てる必要があります。
- If this AVP is present and a tunnel exists between the specified endpoints with the specified Id, then the session should be assigned to that tunnel.
-このAVPが存在し、指定されたIDを持つ指定されたエンドポイント間にトンネルが存在する場合、セッションはそのトンネルに割り当てられる必要があります。
- If this AVP is present and no tunnel exists between the specified endpoints with the specified Id, then a new tunnel should be established for the session and the specified Id should be associated with the new tunnel.
-このAVPが存在し、指定されたIdを持つ指定されたエンドポイント間にトンネルが存在しない場合、セッションに新しいトンネルを確立し、指定されたIdを新しいトンネルに関連付ける必要があります。
- If this AVP is not present, then the session is assigned to an unnamed tunnel. If an unnamed tunnel does not yet exist between the specified endpoints, then it is established and used for this session and for subsequent ones established without the Tunnel-Assignment-Id attribute. A tunnel initiator MUST NOT assign a session for which a Tunnel-Assignment-Id AVP was not specified to a named tunnel (i.e., one that was initiated by a session specifying this AVP).
-このAVPが存在しない場合、セッションは名前のないトンネルに割り当てられます。 指定されたエンドポイント間に名前のないトンネルがまだ存在しない場合は、このセッションと、Tunnel-Assignment-Id属性なしで確立された後続のセッションに確立されて使用されます。 トンネルイニシエーターは、Tunnel-Assignment-Id AVPが指定されていないセッションを名前付きトンネル(つまり、このAVPを指定するセッションによって開始されたもの)に割り当ててはなりません(MUST NOT)。
Note that the same Id may be used to name different tunnels if these tunnels are between different endpoints.
これらのトンネルが異なるエンドポイント間にある場合、同じIDを使用して異なるトンネルに名前を付けることができます。
The Tunnel-Preference AVP (AVP Code 83) is of type Unsigned32 and is used to identify the relative preference assigned to each tunnel when more than one set of tunneling AVPs is returned within separate Grouped-AVP AVPs. It MAY be used in an authorization request as a hint to the server that a specific preference is desired, but the server is not required to honor the hint in the corresponding response.
Tunnel-Preference AVP(AVP Code 83)はUnsigned32タイプで、複数のトンネリングAVPのセットが個別のGrouped-AVP AVP内で返されるときに各トンネルに割り当てられた相対的な優先順位を識別するために使用されます。 特定の設定が望ましいというサーバーへのヒントとして許可要求で使用できますが、サーバーは対応する応答のヒントを受け入れる必要はありません。
For example, suppose that AVPs describing two tunnels are returned by the server, one with a Tunnel-Type of PPTP and the other with a Tunnel-Type of L2TP. If the tunnel initiator supports only one of the Tunnel-Types returned, it will initiate a tunnel of that type. If, however, it supports both tunnel protocols, it SHOULD use the value of the Tunnel-Preference AVP to decide which tunnel should be started. The tunnel with the lowest numerical value in the Value field of this AVP SHOULD be given the highest preference. The values assigned to two or more instances of the Tunnel-Preference AVP within a given authorization response MAY be identical. In this case, the tunnel initiator SHOULD use locally configured metrics to decide which set of AVPs to use.
たとえば、2つのトンネルを記述するAVPが、PPTPのトンネルタイプを持つものとL2TPのトンネルタイプを持つものからサーバーによって返されると仮定します。 トンネルイニシエーターが返されたTunnel-Typeの1つのみをサポートする場合、そのタイプのトンネルを開始します。 ただし、両方のトンネルプロトコルをサポートしている場合、Tunnel-Preference AVPの値を使用して、開始するトンネルを決定する必要があります。 このAVPの[値]フィールドの数値が最小のトンネルには、最高の優先度が与えられるべきです(SHOULD)。 特定の許可応答内のTunnel-Preference AVPの2つ以上のインスタンスに割り当てられた値は同一である場合があります。 この場合、トンネルイニシエーターは、ローカルに構成されたメトリックを使用して、使用するAVPのセットを決定する必要があります。
The Tunnel-Client-Auth-Id AVP (AVP Code 90) is of type UTF8String and specifies the name used by the tunnel initiator during the authentication phase of tunnel establishment. It MAY be used in an authorization request as a hint to the server that a specific preference is desired, but the server is not required to honor the hint in the corresponding response. This AVP MUST be present in the authorization response if an authentication name other than the default is desired. This AVP SHOULD be included in the Accounting-Request messages pertaining to the tunneled session.
Tunnel-Client-Auth-Id AVP(AVP Code 90)はUTF8Stringタイプであり、トンネル確立の認証フェーズ中にトンネルイニシエーターが使用する名前を指定します。 特定の設定が望ましいというサーバーへのヒントとして許可要求で使用できますが、サーバーは対応する応答のヒントを受け入れる必要はありません。 デフォルト以外の認証名が必要な場合、このAVPは許可応答に存在しなければなりません。 このAVPは、トンネルセッションに関するAccounting-Requestメッセージに含める必要があります。
The Tunnel-Server-Auth-Id AVP (AVP Code 91) is of type UTF8String and specifies the name used by the tunnel terminator during the authentication phase of tunnel establishment. It MAY be used in an authorization request as a hint to the server that a specific preference is desired, but the server is not required to honor the hint in the corresponding response. This AVP MUST be present in the authorization response if an authentication name other than the default is desired. This AVP SHOULD be included in the Accounting-Request messages pertaining to the tunneled session.
Tunnel-Server-Auth-Id AVP(AVPコード91)はタイプUTF8Stringであり、トンネル確立の認証フェーズ中にトンネルターミネーターによって使用される名前を指定します。 特定の設定が望ましいというサーバーへのヒントとして許可要求で使用できますが、サーバーは対応する応答のヒントを受け入れる必要はありません。 デフォルト以外の認証名が必要な場合、このAVPは許可応答に存在しなければなりません。 このAVPは、トンネルセッションに関するAccounting-Requestメッセージに含める必要があります。
Applications implementing this specification use Diameter Accounting, as defined in [BASE], and the AVPs in the following section. Service-specific AVP usage is defined in the tables in section 10.
この仕様を実装するアプリケーションは、[BASE]で定義されているDiameterアカウンティングと、次のセクションのAVPを使用します。 サービス固有のAVPの使用法は、セクション10の表で定義されています。
If accounting is active, Accounting Request (ACR) messages SHOULD be sent after the completion of any Authentication or Authorization transaction and at the end of a Session. The Accounting-Record-Type value indicates the type of event. All other AVPs identify the session and provide additional information relevant to the event.
アカウンティングがアクティブな場合、アカウンティングリクエスト(ACR)メッセージは、認証または承認トランザクションの完了後、およびセッションの終了時に送信される必要があります。 Accounting-Record-Type値は、イベントのタイプを示します。 他のすべてのAVPはセッションを識別し、イベントに関連する追加情報を提供します。
The successful completion of the first Authentication or Authorization transaction SHOULD cause a START_RECORD to be sent. If additional Authentications or Authorizations occur in later transactions, the first exchange should generate a START_RECORD, and the later an INTERIM_RECORD. For a given session, there MUST only be one set of matching START and STOP records, with any number of INTERIM_RECORDS in between, or one EVENT_RECORD indicating the reason a session wasn't started.
最初の認証または承認トランザクションが正常に完了すると、START_RECORDが送信されます。 後のトランザクションで追加の認証または承認が発生した場合、最初の交換でSTART_RECORDが生成され、後の交換でINTERIM_RECORDが生成されます。 特定のセッションについて、間にある任意の数のINTERIM_RECORDSを持つ一致するSTARTレコードとSTOPレコードのセット、またはセッションが開始されなかった理由を示すEVENT_RECORDが1つだけ存在する必要があります。
The following table describes the AVPs; their AVP Code values, types, and possible flag values; and whether the AVP MAY be encrypted.
次の表で、AVPについて説明します。 AVPコード値、タイプ、および可能なフラグ値。 また、AVPを暗号化してもよいかどうか。
+---------------------+
| AVP Flag rules |
|----+-----+----+-----|----+
AVP Section | | |SHLD| MUST| |
Attribute Name Code Defined Value Type |MUST| MAY | NOT| NOT|Encr|
-----------------------------------------|----+-----+----+-----|----|
Accounting- 363 8.1 Unsigned64 | M | P | | V | Y |
Input-Octets | | | | | |
Accounting- 364 8.2 Unsigned64 | M | P | | V | Y |
Output-Octets | | | | | |
Accounting- 365 8.3 Unsigned64 | M | P | | V | Y |
Input-Packets | | | | | |
Accounting- 366 8.4 Unsigned64 | M | P | | V | Y |
Output-Packets | | | | | |
Acct-Session-Time 46 8.5 Unsigned32 | M | P | | V | Y |
Acct-Authentic 45 8.6 Enumerated | M | P | | V | Y |
Acounting-Auth- 406 8.7 Enumerated | M | P | | V | Y |
Method | | | | | |
Acct-Delay-Time 41 8.8 Unsigned32 | M | P | | V | Y |
Acct-Link-Count 51 8.9 Unsigned32 | M | P | | V | Y |
Acct-Tunnel- 68 8.10 OctetString| M | P | | V | Y |
Connection | | | | | |
Acct-Tunnel- 86 8.11 Unsigned32 | M | P | | V | Y |
Packets-Lost | | | | | |
-----------------------------------------|----+-----+----+-----|----|
The Accounting-Input-Octets AVP (AVP Code 363) is of type Unsigned64 and contains the number of octets received from the user.
Accounting-Input-Octets AVP(AVP Code 363)は、Unsigned64タイプで、ユーザーから受信したオクテットの数が含まれています。
For NAS usage, this AVP indicates how many octets have been received from the port in the course of this session. It can only be present in ACR messages with an Accounting-Record-Type of INTERIM_RECORD or STOP_RECORD.
NASの使用の場合、このAVPは、このセッション中にポートから受信したオクテットの数を示します。 Accounting-Record-TypeがINTERIM_RECORDまたはSTOP_RECORDのACRメッセージにのみ存在できます。
The Accounting-Output-Octets AVP (AVP Code 364) is of type Unsigned64 and contains the number of octets sent to the user.
Accounting-Output-Octets AVP(AVP Code 364)はUnsigned64タイプで、ユーザーに送信されたオクテットの数が含まれています。
For NAS usage, this AVP indicates how many octets have been sent to the port in the course of this session. It can only be present in ACR messages with an Accounting-Record-Type of INTERIM_RECORD or STOP_RECORD.
NASを使用する場合、このAVPは、このセッション中にポートに送信されたオクテットの数を示します。 Accounting-Record-TypeがINTERIM_RECORDまたはSTOP_RECORDのACRメッセージにのみ存在できます。
The Accounting-Input-Packets (AVP Code 365) is of type Unsigned64 and contains the number of packets received from the user.
Accounting-Input-Packets(AVP Code 365)はUnsigned64タイプで、ユーザーから受信したパケットの数が含まれています。
For NAS usage, this AVP indicates how many packets have been received from the port over the course of a session being provided to a Framed User. It can only be present in ACR messages with an Accounting-Record-Type of INTERIM_RECORD or STOP_RECORD.
NASを使用する場合、このAVPは、フレーム化されたユーザーに提供されるセッション中にポートから受信したパケット数を示します。 Accounting-Record-TypeがINTERIM_RECORDまたはSTOP_RECORDのACRメッセージにのみ存在できます。
The Accounting-Output-Packets (AVP Code 366) is of type Unsigned64 and contains the number of IP packets sent to the user.
Accounting-Output-Packets(AVP Code 366)はUnsigned64タイプで、ユーザーに送信されたIPパケットの数が含まれています。
For NAS usage, this AVP indicates how many packets have been sent to the port over the course of a session being provided to a Framed User. It can only be present in ACR messages with an Accounting-Record-Type of INTERIM_RECORD or STOP_RECORD.
NASを使用する場合、このAVPは、フレーム化されたユーザーに提供されているセッションの間にポートに送信されたパケットの数を示します。 Accounting-Record-TypeがINTERIM_RECORDまたはSTOP_RECORDのACRメッセージにのみ存在できます。
The Acct-Session-Time AVP (AVP Code 46) is of type Unsigned32 and indicates the length of the current session in seconds. It can only be present in ACR messages with an Accounting-Record-Type of INTERIM_RECORD or STOP_RECORD.
Acct-Session-Time AVP(AVPコード46)はUnsigned32タイプで、現在のセッションの長さを秒単位で示します。 Accounting-Record-TypeがINTERIM_RECORDまたはSTOP_RECORDのACRメッセージにのみ存在できます。
The Acct-Authentic AVP (AVP Code 45) is of type Enumerated and specifies how the user was authenticated. The supported values are listed in [RADIUSTypes]. The following list is informational:
Acct-Authentic AVP(AVPコード45)はEnumeratedタイプで、ユーザーの認証方法を指定します。 サポートされている値は[RADIUSTypes]にリストされています。 次のリストは参考情報です。
1 RADIUS 2 Local 3 Remote 4 Diameter
1 RADIUS 2ローカル3リモート4直径
The Accounting-Auth-Method AVP (AVP Code 406) is of type Enumerated. A NAS MAY include this AVP in an Accounting-Request message to indicate the method used to authenticate the user. (Note that this is equivalent to the RADIUS MS-Acct-Auth-Type VSA attribute).
Accounting-Auth-Method AVP(AVPコード406)は列挙型です。 NASは、このAVPをAccounting-Requestメッセージに含めて、ユーザーの認証に使用される方法を示すことができます。 (これはRADIUS MS-Acct-Auth-Type VSA属性と同等であることに注意してください)。
The following values are defined:
以下の値が定義されています:
1 PAP 2 CHAP 3 MS-CHAP-1 4 MS-CHAP-2 5 EAP 7 None
1 PAP 2 CHAP 3 MS-CHAP-1 4 MS-CHAP-2 5 EAP 7なし
The Acct-Delay-Time AVP (AVP Code 41) is of type Unsigned32 and indicates the number of seconds the Diameter client has been trying to send the Accounting-Request (ACR). The accounting server may subtract this value from the time when the ACR arrives at the server to calculate the approximate time of the event that caused the ACR to be generated.
Acct-Delay-Time AVP(AVP Code 41)はUnsigned32タイプで、DiameterクライアントがAccounting-Request(ACR)を送信しようとした秒数を示します。 アカウンティングサーバーは、ACRがサーバーに到着した時間からこの値を減算して、ACRが生成される原因となったイベントのおおよその時間を計算できます。
This AVP is not used for retransmissions at the transport level (TCP or SCTP). Rather, it may be used when an ACR command cannot be transmitted because there is no appropriate peer to transmit it to or was rejected because it could not be delivered. In these cases, the command MAY be buffered and transmitted later, when an appropriate peer-connection is available or after sufficient time has passed that the destination-host may be reachable and operational. If the ACR is resent in this way, the Acct-Delay-Time AVP SHOULD be included. The value of this AVP indicates the number of seconds that elapsed between the time of the first attempt at transmission and the current attempt.
このAVPは、トランスポートレベル(TCPまたはSCTP)での再送信には使用されません。 むしろ、ACRコマンドを送信する適切なピアがないために、または配信できなかったために拒否されたために、ACRコマンドを送信できない場合に使用できます。 これらの場合、適切なピア接続が利用可能になったとき、または宛先ホストが到達可能で動作可能な十分な時間が経過した後に、コマンドを後でバッファリングして送信することができます。 ACRがこの方法で再送される場合、Acct-Delay-Time AVPを含める必要があります。 このAVPの値は、最初の送信試行から現在の試行までに経過した秒数を示します。
The Acct-Link-Count AVP (AVP Code 51) is of type Unsigned32 and indicates the total number of links that have been active (current or closed) in a given multilink session at the time the accounting record is generated. This AVP MAY be included in Accounting-Requests for any session that may be part of a multilink service.
Acct-Link-Count AVP(AVPコード51)はUnsigned32タイプで、アカウンティングレコードが生成された時点で特定のマルチリンクセッションでアクティブ(現在または閉じられている)であったリンクの総数を示します。 このAVPは、マルチリンクサービスの一部である可能性のあるセッションのアカウンティング要求に含めることができます。
The Acct-Link-Count AVP may be used to make it easier for an accounting server to know when it has all the records for a given multilink service. When the number of Accounting-Requests received with Accounting-Record-Type = STOP_RECORD and with the same Acct-Multi-Session-Id and unique Session-Ids equals the largest value of Acct-Link-Count seen in those Accounting-Requests, all STOP_RECORD Accounting-Requests for that multilink service have been received.
Acct-Link-Count AVPを使用すると、特定のマルチリンクサービスのすべてのレコードがいつあるかをアカウンティングサーバーが簡単に知ることができます。 Accounting-Record-Type = STOP_RECORDで受信し、同じAcct-Multi-Session-Idおよび一意のSession-Idを持つAccounting-Requestの数がそれらのAccounting-Requestで見られるAcct-Link-Countの最大値と等しい場合、すべて そのマルチリンクサービスのSTOP_RECORDアカウンティング要求が受信されました。
The following example, showing eight Accounting-Requests, illustrates how the Acct-Link-Count AVP is used. In the table below, only the relevant AVPs are shown, although additional AVPs containing accounting information will be present in the Accounting-Requests.
8つのAccounting-Requestを示す次の例は、Acct-Link-Count AVPの使用方法を示しています。 次の表には、関連するAVPのみが示されていますが、アカウンティング情報を含む追加のAVPがAccounting-Requestに存在します。
Acct-Multi- Accounting- Acct-
Session-Id Session-Id Record-Type Link-Count
--------------------------------------------------------
"...10" "...10" START_RECORD 1
"...10" "...11" START_RECORD 2
"...10" "...11" STOP_RECORD 2
"...10" "...12" START_RECORD 3
"...10" "...13" START_RECORD 4
"...10" "...12" STOP_RECORD 4
"...10" "...13" STOP_RECORD 4
"...10" "...10" STOP_RECORD 4
The Acct-Tunnel-Connection AVP (AVP Code 68) is of type OctetString and contains the identifier assigned to the tunnel session. This AVP, along with the Tunnel-Client-Endpoint and Tunnel-Server-Endpoint AVPs, may be used to provide a means to uniquely identify a tunnel session for auditing purposes.
Acct-Tunnel-Connection AVP(AVPコード68)はOctetStringタイプであり、トンネルセッションに割り当てられた識別子が含まれています。 このAVPは、トンネルクライアントエンドポイントおよびトンネルサーバーエンドポイントAVPとともに、監査目的でトンネルセッションを一意に識別する手段を提供するために使用できます。
The format of the identifier in this AVP depends upon the value of the Tunnel-Type AVP. For example, to identify an L2TP tunnel connection fully, the L2TP Tunnel Id and Call Id might be encoded in this field. The exact encoding of this field is implementation dependent.
このAVPの識別子の形式は、Tunnel-Type AVPの値に依存します。 たとえば、L2TPトンネル接続を完全に識別するために、L2TPトンネルIDとコールIDがこのフィールドでエンコードされる場合があります。 このフィールドの正確なエンコーディングは実装に依存します。
The Acct-Tunnel-Packets-Lost AVP (AVP Code 86) is of type Unsigned32 and contains the number of packets lost on a given link.
Acct-Tunnel-Packets-Lost AVP(AVP Code 86)はUnsigned32タイプで、特定のリンクで失われたパケットの数が含まれています。
This section describes some basic guidelines that servers acting as AAA Translation Agents may use. A complete description of all the differences between RADIUS and Diameter is beyond the scope of this section and document. Note that this document does not restrict implementations from creating additional translation methods, as long as the translation function doesn't violate the RADIUS or the Diameter protocols.
このセクションでは、AAA Translation Agentとして機能するサーバーが使用できる基本的なガイドラインについて説明します。 RADIUSとDiameterのすべての違いの完全な説明は、このセクションとドキュメントの範囲を超えています。 変換機能がRADIUSまたはDiameterプロトコルに違反しない限り、このドキュメントは実装が追加の変換メソッドを作成することを制限しないことに注意してください。
Although the Diameter protocol is in many ways a superset of RADIUS functions, a number of RADIUS representations are not allowed, so that new capabilities can be used without the old problems.
Diameterプロトコルは多くの点でRADIUS機能のスーパーセットですが、多くのRADIUS表現は許可されていないため、新しい機能を古い問題なく使用できます。
There are primarily two different situations that must be handled: one in which a RADIUS request is received that must be forwarded as a Diameter request, and another in which the inverse is true. RADIUS does not support a peer-to-peer architecture, and server-initiated operations are generally not supported. See [RADDynAuth] for an alternative.
主に2つの異なる状況を処理する必要があります。1つは、Diameter要求として転送する必要があるRADIUS要求を受信する状況、もう1つは逆の状況に該当する状況です。 RADIUSはピアツーピアアーキテクチャをサポートしておらず、サーバーで開始される操作は通常サポートされていません。 別の方法については、[RADDynAuth]を参照してください。
Some RADIUS attributes are encrypted. RADIUS security and encryption techniques are applied on a hop-per-hop basis. A Diameter agent will have to decrypt RADIUS attribute data entering the Diameter system, and if that information is forwarded, the agent MUST secure it by using Diameter specific techniques.
一部のRADIUS属性は暗号化されます。 RADIUSセキュリティおよび暗号化技術は、ホップごとに適用されます。 Diameterエージェントは、Diameterシステムに入るRADIUS属性データを復号化する必要があり、その情報が転送される場合、エージェントはDiameter固有の技術を使用してそれを保護する必要があります。
Note that this section uses the two terms, "AVP" and "attribute", in a concise and specific manner. The former is used to signify a Diameter AVP, and the latter to signify a RADIUS attribute.
このセクションでは、「AVP」と「属性」という2つの用語を簡潔かつ具体的に使用していることに注意してください。 前者はDiameter AVPを示すために使用され、後者はRADIUS属性を示すために使用されます。
This section describes the actions that should be taken when a Translation Agent receives a RADIUS message to be translated to a Diameter message.
このセクションでは、Diameterメッセージに変換されるRADIUSメッセージを翻訳エージェントが受信したときに実行する必要があるアクションについて説明します。
Note that RADIUS servers are assumed to be stateless. It is also quite possible for the RADIUS messages that comprise the session (i.e., authentication and accounting messages) to be handled by different Translation Agents in the proxy network. Therefore, a RADIUS/Diameter Translation Agent SHOULD NOT be assumed to have an accurate track on session-state information.
RADIUSサーバーはステートレスであると想定されていることに注意してください。 セッションを構成するRADIUSメッセージ(つまり、認証およびアカウンティングメッセージ)が、プロキシネットワーク内のさまざまな翻訳エージェントによって処理されることも非常に可能です。 したがって、RADIUS / Diameter変換エージェントは、セッション状態情報の正確な追跡があると想定されるべきではありません。
When a Translation Agent receives a RADIUS message, the following steps should be taken:
翻訳エージェントがRADIUSメッセージを受信すると、次の手順を実行する必要があります。
- If a Message-Authenticator attribute is present, the value MUST be checked but not included in the Diameter message. If it is incorrect, the RADIUS message should be silently discarded. The gateway system SHOULD generate and include a Message-Authenticator in returned RADIUS responses.
-Message-Authenticator属性が存在する場合、値を確認する必要がありますが、Diameterメッセージには含まれません。 正しくない場合、RADIUSメッセージは静かに破棄されます。 ゲートウェイシステムは、返されたRADIUS応答にメッセージ認証子を生成して含める必要があります。
- The transport address of the sender MUST be checked against the NAS identifying attributes. See the description of NAS-Identifier and NAS-IP-Address below.
-送信者のトランスポートアドレスは、NAS識別属性と照合する必要があります。 以下のNAS-IdentifierおよびNAS-IP-Addressの説明を参照してください。
- The Translation Agent must maintain transaction state information relevant to the RADIUS request, such as the Identifier field in the RADIUS header, any existing RADIUS Proxy-State attribute, and the source IP address and port number of the UDP packet. These may be maintained locally in a state table or saved in a Proxy-Info AVP group. A Diameter Session-Id AVP value must be created using a session state mapping mechanism.
-トランスレーションエージェントは、RADIUSヘッダーの識別子フィールド、既存のRADIUS Proxy-State属性、UDPパケットのソースIPアドレスとポート番号など、RADIUS要求に関連するトランザクション状態情報を保持する必要があります。 これらは、状態テーブルでローカルに維持されるか、Proxy-Info AVPグループに保存されます。 Diameter Session-Id AVP値は、セッション状態マッピングメカニズムを使用して作成する必要があります。
- If the RADIUS request contained a State attribute and the prefix of the data is "Diameter/", the data following the prefix contains the Diameter Origin-Host/Origin-Realm/Session-Id. If no such attributes are present and the RADIUS command is an Access-Request, a new Session-Id is created. The Session-Id is included in the Session-Id AVP.
-RADIUS要求にState属性が含まれていて、データのプレフィックスが「Diameter /」である場合、プレフィックスに続くデータにはDiameter Origin-Host / Origin-Realm / Session-Idが含まれます。 そのような属性が存在せず、RADIUSコマンドがAccess-Requestである場合、新しいSession-Idが作成されます。 Session-IdはSession-Id AVPに含まれています。
- The Diameter Origin-Host and Origin-Realm AVPs MUST be created and added by using the information from an FQDN corresponding to the NAS-IP-Address attribute (preferred if available), and/or to the NAS-Identifier attribute. (Note that the RADIUS NAS-Identifier is not required to be an FQDN.)
-NAS-IP-Address属性(利用可能な場合に優先)および/またはNAS-Identifier属性に対応するFQDNからの情報を使用して、Diameter Origin-HostおよびOrigin-Realm AVPを作成および追加する必要があります。 (RADIUS NAS-IdentifierはFQDNである必要はないことに注意してください。)
- The response MUST have an Origin-AAA-Protocol AVP added, indicating the protocol of origin of the message.
-応答には、メッセージの発信元のプロトコルを示すOrigin-AAA-Protocol AVPを追加する必要があります。
- The Proxy-Info group SHOULD be added, with the local server's identity specified in the Proxy-Host AVP. This should ensure that the response is returned to this system.
-Proxy-Infoグループを追加する必要があります。ローカルサーバーのIDはProxy-Host AVPで指定されます。 これにより、応答がこのシステムに返されることが保証されます。
- The Destination-Realm AVP is created from the information found in the RADIUS User-Name attribute.
-Destination-Realm AVPは、RADIUSユーザー名属性で見つかった情報から作成されます。
- If the RADIUS User-Password attribute is present, the password must be unencrypted by using the link's RADIUS shared secret. The unencrypted value must be forwarded in a User-Password AVP using Diameter security.
-RADIUS User-Password属性が存在する場合、リンクのRADIUS共有シークレットを使用してパスワードを暗号化解除する必要があります。 暗号化されていない値は、Diameterセキュリティを使用してユーザーパスワードAVPで転送する必要があります。
- If the RADIUS CHAP-Password attribute is present, the Ident and Data portion of the attribute are used to create the CHAP-Auth grouped AVP.
-RADIUS CHAP-Password属性が存在する場合、属性のIdentおよびData部分を使用して、CHAP-Authグループ化されたAVPを作成します。
- If the RADIUS message contains an address attribute, it MUST be converted to the appropriate Diameter AVP and type.
-RADIUSメッセージにアドレス属性が含まれる場合、適切なDiameter AVPとタイプに変換する必要があります。
- If the RADIUS message contains Tunnel information [RADTunnels], the attributes or tagged groups should each be converted to a Diameter Tunneling Grouped AVP set. If the tunnel information contains a Tunnel-Password attribute, the RADIUS encryption must be resolved, and the password forwarded, by using Diameter security methods.
-RADIUSメッセージにトンネル情報[RADTunnels]が含まれる場合、属性またはタグ付きグループはそれぞれDiameter Tunneling Grouped AVPセットに変換する必要があります。 トンネル情報にTunnel-Password属性が含まれている場合、Diameterセキュリティメソッドを使用して、RADIUS暗号化を解決し、パスワードを転送する必要があります。
- If the RADIUS message received is an Accounting-Request, the Acct-Status-Type attribute value must be converted to a Accounting-Record-Type AVP value. If the Acct-Status-Type attribute value is STOP, the local server MUST issue a Session-Termination-Request message once the Diameter Accounting-Answer message has been received.
-受信したRADIUSメッセージがAccounting-Requestである場合、Acct-Status-Type属性値をAccounting-Record-Type AVP値に変換する必要があります。 Acct-Status-Type属性値がSTOPの場合、Diameter Accounting-Answerメッセージを受信すると、ローカルサーバーはSession-Termination-Requestメッセージを発行する必要があります。
- If the Accounting message contains an Acct-Termination-Cause attribute, it should be translated to the equivalent Termination-Cause AVP value. (see below)
-アカウンティングメッセージにAcct-Termination-Cause属性が含まれる場合、同等のTermination-Cause AVP値に変換する必要があります。 (下記参照)
- If the RADIUS message contains the Accounting-Input-Octets, Accounting-Input-Packets, Accounting-Output-Octets, or Accounting-Output-Packets, these attributes must be converted to the Diameter equivalents. Further, if the Acct-Input-Gigawords or Acct-Output-Gigawords attributes are present, these must be used to properly compute the Diameter accounting AVPs.
-RADIUSメッセージにAccounting-Input-Octets、Accounting-Input-Packets、Accounting-Output-Octets、またはAccounting-Output-Packetsが含まれている場合、これらの属性をDiameter同等のものに変換する必要があります。 さらに、Acct-Input-GigawordsまたはAcct-Output-Gigawords属性が存在する場合、これらを使用してDiameterアカウンティングAVPを適切に計算する必要があります。
The corresponding Diameter response is always guaranteed to be received by the same Translation Agent that translated the original request, due to the contents of the Proxy-Info AVP group in the Diameter request. The following steps are applied to the response message during the Diameter-to-RADIUS translation:
対応するDiameter応答は、Diameter要求のProxy-Info AVPグループの内容により、元の要求を変換したのと同じTranslation Agentによって常に受信されることが保証されています。 DiameterからRADIUSへの変換中に、次の手順が応答メッセージに適用されます。
- If the Diameter Command-Code is set to AA-Answer and the Result-Code AVP is set to DIAMETER_MULTI_ROUND_AUTH, the gateway must send a RADIUS Access-Challenge. This must have the Origin-Host, Origin-Realm, and Diameter Session-Id AVPs encapsulated in the RADIUS State attribute, with the prefix "Diameter/", concatenated in the above order separated with "/" characters, in UTF-8 [UTF-8]. This is necessary to ensure that the Translation Agent receiving the subsequent RADIUS Access-Request will have access to the Session Identifier and be able to set the Destination-Host to the correct value. If the Multi-Round-Time-Out AVP is present, the value of the AVP MUST be inserted in the RADIUS Session-Timeout AVP.
-Diameter Command-CodeがAA-Answerに設定され、Result-Code AVPがDIAMETER_MULTI_ROUND_AUTHに設定されている場合、ゲートウェイはRADIUS Access-Challengeを送信する必要があります。 これには、RADIUS状態属性でカプセル化されたOrigin-Host、Origin-Realm、Diameter Session-Id AVPが必要です。プレフィックス「Diameter /」は、UTF-8の「/」文字で区切られた上記の順序で連結されます[ UTF-8]。 これは、後続のRADIUS Access-Requestを受信する変換エージェントがセッションIDにアクセスし、Destination-Hostを正しい値に設定できるようにするために必要です。 Multi-Round-Time-Out AVPが存在する場合、AVPの値をRADIUS Session-Timeout AVPに挿入する必要があります。
- If the Command-Code is set to AA-Answer, the Diameter Session-Id AVP is saved in a new RADIUS Class attribute whose format consists of the string "Diameter/" followed by the Diameter Session Identifier. This will ensure that the subsequent Accounting messages, which could be received by any Translation Agent, would have access to the original Diameter Session Identifier. - If a Proxy-State attribute was present in the RADIUS request, the same attribute is added in the response. This information may be found in the Proxy-Info AVP group, or in a local state table.
-Command-CodeがAA-Answerに設定されている場合、Diameter Session-Id AVPは、文字列「Diameter /」とそれに続くDiameterセッションIDで構成される新しいRADIUSクラス属性に保存されます。 これにより、翻訳エージェントが受信できる後続のアカウンティングメッセージが、元のDiameterセッションIDにアクセスできるようになります。 -RADIUSリクエストにProxy-State属性が存在する場合、同じ属性が応答に追加されます。 この情報は、Proxy-Info AVPグループ、またはローカル状態テーブルにあります。
- If state information regarding the RADIUS request was saved in a Proxy-Info AVP or local state table, the RADIUS Identifier and UDP IP Address and port number are extracted and used in issuing the RADIUS reply.
-RADIUSリクエストに関する状態情報がProxy-Info AVPまたはローカル状態テーブルに保存された場合、RADIUS識別子とUDP IPアドレスとポート番号が抽出され、RADIUS応答の発行に使用されます。
When translating a Diameter AA-Answer (with successful result code) to RADIUS Access-Accept that contains a Session-Timeout or Authorization-Lifetime AVP, take the following steps:
Diameter AA-Answer(正常な結果コード)を、Session-TimeoutまたはAuthorization-Lifetime AVPを含むRADIUS Access-Acceptに変換する場合、次の手順を実行します。
- If the Diameter message contains a Session-Timeout AVP but no Authorization-Lifetime AVP, translate it to a Session-Timeout attribute (not a Termination-Action).
-DiameterメッセージにSession-Timeout AVPが含まれているがAuthorization-Lifetime AVPが含まれていない場合、それをSession-Timeout属性(Termination-Actionではなく)に変換します。
- If the Diameter message contains an Authorization-Lifetime AVP but no Session-Timeout AVP, translate it to a Session-Timeout attribute and a Termination-Action set to AA-REQUEST. (Remove Authorization-Lifetime and Re-Auth-Request-Type.)
-DiameterメッセージにAuthorization-Lifetime AVPが含まれているがSession-Timeout AVPが含まれていない場合、それをSession-Timeout属性に変換し、Termination-ActionをAA-REQUESTに設定します。 (Authorization-LifetimeおよびRe-Auth-Request-Typeを削除します。)
- If the Diameter message has both, the Session-Timeout must be greater than or equal to the Authorization-Lifetime (required by [BASE]). Translate it to a Session-Timeout value (with value from Authorization-Lifetime AVP, the smaller one) and with the Termination-Action set to AA-REQUEST. (Remove the Authorization-Lifetime and Re-Auth-Request-Type.)
-Diameterメッセージに両方がある場合、Session-TimeoutはAuthorization-Lifetime以上でなければなりません([BASE]で必要)。 これをSession-Timeout値(小さい方のAuthorization-Lifetime AVPの値を使用)に変換し、Termination-ActionをAA-REQUESTに設定します。 (Authorization-LifetimeおよびRe-Auth-Request-Typeを削除します。)
A Diameter/RADIUS gateway may communicate with a server that implements RADIUS Dynamic Authorization [RADDynAuth]. If the server supports these functions, it MUST be listening on the assigned port and would receive RADIUS CoA-Request and Disconnect-Request messages. These can be mapped into the Diameter Re-Auth-Request (RAR) and Abort-Session-Request (ASR) message exchanges, respectively [BASE].
Diameter / RADIUSゲートウェイは、RADIUS動的認証[RADDynAuth]を実装するサーバーと通信できます。 サーバーがこれらの機能をサポートする場合、割り当てられたポートでリッスンしている必要があり、RADIUS CoA-RequestおよびDisconnect-Requestメッセージを受信します。 これらは、Diameter Re-Auth-Request(RAR)およびAbort-Session-Request(ASR)メッセージ交換にそれぞれマッピングできます[BASE]。
If the [RADDynAuth] is not supported, the port would not be active and the RADIUS server would receive an ICMP Port Unreachable indication. Alternatively, if the messages are received but with an inappropriate Service-Type, the gateway can respond with the appropriate NAK message and an Error-Cause attribute with the value of 405, "Unsupported Service".
[RADDynAuth]がサポートされていない場合、ポートはアクティブにならず、RADIUSサーバーはICMPポート到達不能の指示を受け取ります。 または、メッセージが受信されたが、不適切なサービスタイプである場合、ゲートウェイは適切なNAKメッセージと、405「サポートされていないサービス」の値を持つエラー原因属性で応答できます。
The RADIUS CoA-Request and Disconnect-Request messages will not contain a Diameter Session-Id. Diameter requires that this value match an active session context. The gateway MUST have a session Id cache (or other means) to identify the sessions these functions pertain to. If unable to identify the session, the gateway (or NAS) should return an Error-Cause value 503, "Session Context Not Found".
RADIUS CoA-RequestおよびDisconnect-RequestメッセージにはDiameter Session-Idは含まれません。 Diameterでは、この値がアクティブなセッションコンテキストと一致する必要があります。 ゲートウェイには、これらの機能が関係するセッションを識別するセッションIDキャッシュ(またはその他の手段)が必要です。 セッションを識別できない場合、ゲートウェイ(またはNAS)はエラー原因値503、「セッションコンテキストが見つかりません」を返す必要があります。
The RADIUS CoA-Request message only supports a change of authorization attributes, and the received CoA-Request SHOULD include a Service-Type of "Authorize-Only". This indicates an extended exchange request by the rules given in [RADDynAuth] section 3.2, note 6. This is the only type of exchange supported by Diameter [BASE].
RADIUS CoA-Requestメッセージは許可属性の変更のみをサポートし、受信したCoA-Requestは「Authorize-Only」のサービスタイプを含む必要があります。 これは、[RADDynAuth]セクション3.2、注6で指定されたルールによる拡張交換要求を示します。これは、Diameter [BASE]でサポートされる唯一の交換タイプです。
For the CoA-Request, the translated RAR message will have a Re-Auth-Type of AUTHORIZE_ONLY. The returned RAA will be translated into a CoA-NAK with Error-Cause "Request Initiated". The gateway's Diameter client SHOULD also start a reauthorization sequence by sending an AAR message, which will be translated into an Access-Request message. The RADIUS server will use the Access-Accept (or Access-Reject) message to convey the new authorization attributes, which the gateway will pass back in an AAA message.
CoA-Requestの場合、翻訳されたRARメッセージのAUTHORIZE_ONLYのRe-Auth-Typeがあります。 返されたRAAは、Error-Cause "Request Initiated"のCoA-NAKに変換されます。 ゲートウェイのDiameterクライアントは、Access-Requestメッセージに変換されるAARメッセージを送信して、再認証シーケンスを開始する必要があります。 RADIUSサーバーは、Access-Accept(またはAccess-Reject)メッセージを使用して、新しい承認属性を伝えます。これは、ゲートウェイがAAAメッセージで返します。
Any attributes included in the COA-Request or Access-Accept message are to be considered mandatory in Diameter. If they cannot be supported, they MUST result in an error message return to the RADIUS server, with an Error-Cause of "Unsupported Attribute". The Diameter NAS will attempt to apply all the attributes supplied in the AA message to the session.
COA-RequestまたはAccess-Acceptメッセージに含まれる属性は、Diameterで必須と見なされます。 サポートできない場合、「サポートされていない属性」のエラー原因とともに、RADIUSサーバーにエラーメッセージが返される必要があります。 Diameter NASは、AAメッセージで指定されたすべての属性をセッションに適用しようとします。
A RADIUS Disconnect-Request message received by the gateway would be translated to a Diameter Abort-Session-Request (ASR) message [BASE]. The results will be returned by the Diameter client in an Abort-
ゲートウェイが受信したRADIUS Disconnect-Requestメッセージは、Diameter Abort-Session-Request(ASR)メッセージ[BASE]に変換されます。 結果は、Abort-でDiameterクライアントによって返されます。
Session-Answer (ASA) message. A success indication would translate to a RADIUS Disconnect-ACK, and a failure would generate a Disconnect-NAK.
セッション応答(ASA)メッセージ。 成功の兆候はRADIUS Disconnect-ACKに変換され、失敗はDisconnect-NAKを生成します。
When a server receives a Diameter request to be forwarded to a RADIUS entity, the following are examples of the steps that may be taken:
サーバーがRADIUSエンティティに転送されるDiameter要求を受信した場合、実行できる手順の例を次に示します。
- The Origin-Host AVP's value is inserted into the NAS-Identifier attribute.
-Origin-Host AVPの値がNAS-Identifier属性に挿入されます。
- The following information MUST be present in the corresponding Diameter response and therefore MUST be saved, either in a local state table or encoded in a RADIUS Proxy-State attribute:
-次の情報は、対応するDiameter応答に存在する必要があるため、ローカル状態テーブルに保存するか、RADIUSプロキシ状態属性でエンコードする必要があります。
1. Origin-Host AVP
2. Session-Id AVP
3. Proxy-Info AVP
4. Any other AVP that MUST be present in the response and
has no corresponding RADIUS attribute.
- If the CHAP-Auth AVP is present, the grouped AVPs are used to create the RADIUS CHAP-Password attribute data.
-CHAP-Auth AVPが存在する場合、グループ化されたAVPはRADIUS CHAP-Password属性データを作成するために使用されます。
- If the User-Password AVP is present, the data should be encrypted and forwarded by using RADIUS rules. The same is true for any other RADIUS-encrypted attribute values.
-User-Password AVPが存在する場合、RADIUSルールを使用してデータを暗号化および転送する必要があります。 他のRADIUSで暗号化された属性値についても同様です。
- AVPs of the type Address must be translated to the corresponding RADIUS attribute.
-タイプAddressのAVPは、対応するRADIUS属性に変換する必要があります。
- If the Accounting-Input-Octets, Accounting-Input-Packets, Accounting-Output-Octets, or Accounting-Output-Packets AVPs are present, they must be translated to the corresponding RADIUS attributes. If the value of the Diameter AVPs do not fit within a 32-bit RADIUS attribute, the RADIUS Acct-Input-Gigawords and Acct-Output-Gigawords must be used.
-Accounting-Input-Octets、Accounting-Input-Packets、Accounting-Output-Octets、またはAccounting-Output-Packets AVPが存在する場合、対応するRADIUS属性に変換する必要があります。 Diameter AVPの値が32ビットRADIUS属性に収まらない場合、RADIUS Acct-Input-GigawordsおよびAcct-Output-Gigawordsを使用する必要があります。
- If the RADIUS link supports the Message-Authenticator attribute [RADIUSExt], it SHOULD be generated and added to the request.
-RADIUSリンクがMessage-Authenticator属性[RADIUSExt]をサポートする場合、それを生成して要求に追加する必要があります。
When the corresponding response is received by the Translation Agent, which is guaranteed in the RADIUS protocol, the following steps may be taken:
RADIUSプロトコルで保証されている翻訳エージェントが対応する応答を受信すると、次の手順を実行できます。
- If the RADIUS code is set to Access-Challenge, a Diameter AA-Answer message is created with the Result-Code set to DIAMETER_MULTI_ROUND_AUTH. If the Session-Timeout AVP is present in the RADIUS message, its value is inserted into the Multi-Round-Time-Out AVP.
-RADIUSコードがAccess-Challengeに設定されている場合、Diameter AA-Answerメッセージが作成され、Result-CodeがDIAMETER_MULTI_ROUND_AUTHに設定されます。 RADIUSメッセージにSession-Timeout AVPが存在する場合、その値はMulti-Round-Time-Out AVPに挿入されます。
- If a Proxy-State attribute is present, extract the encoded information; otherwise, retrieve the original Proxy-Info AVP group information from the local state table.
-Proxy-State属性が存在する場合、エンコードされた情報を抽出します。 それ以外の場合は、ローカル状態テーブルから元のProxy-Info AVPグループ情報を取得します。
- The response's Origin-Host information is created from the FQDN of the RADIUS message's source IP address. The same FQDN is also stored to a Route-Record AVP.
-応答のOrigin-Host情報は、RADIUSメッセージの送信元IPアドレスのFQDNから作成されます。 同じFQDNがRoute-Record AVPにも保存されます。
- The response's Destination-Host AVP is copied from the saved request's Origin-Host information.
-応答のDestination-Host AVPは、保存された要求のOrigin-Host情報からコピーされます。
- The Session-Id information can be recovered from local state, or from the constructed State or Proxy-State attribute, as above.
-セッションID情報は、上記のように、ローカル状態から、または構築された状態またはプロキシ状態属性から回復できます。
- If a Proxy-Info AVP was present in the request, the same AVP MUST be added to the response.
-要求にProxy-Info AVPが存在する場合、同じAVPを応答に追加する必要があります。
- If the RADIUS State attributes are present, they must be present in the Diameter response, minus those added by the gateway.
-RADIUS状態属性が存在する場合、それらはDiameter応答に存在する必要があります。ただし、ゲートウェイによって追加された属性は含まれません。
- Any other AVPs that were saved at request time, and that MUST be present in the response, are added to the message.
-要求時に保存され、応答に存在しなければならないその他のAVPは、メッセージに追加されます。
When translating a RADIUS Access-Accept to Diameter AA-Answer that contains a Session-Timeout attribute, do the following:
RADIUS Access-AcceptをSession-Timeout属性を含むDiameter AA-Answerに変換する場合、次の手順を実行します。
- If the RADIUS message contains a Session-Timeout attribute and a Termination-Action attribute set to DEFAULT (or no Termination-Action attribute at all), translate it to AA-Answer with a Session-Timeout AVP and remove the Termination-Action attribute.
-RADIUSメッセージにDEFAULTに設定されたSession-Timeout属性とTermination-Action属性が含まれている場合(またはTermination-Action属性がまったくない場合)、Session-Timeout AVPでAA-Answerに変換し、Termination-Action属性を削除します 。
- If the RADIUS message contains a Session-Timeout attribute and a Termination-Action attribute set to AA-REQUEST, translate it to AA-Answer with Authorization-Lifetime AVP and with Re-Auth-Request-Type set to AUTHORIZE_AUTHENTICATE and remove the Session-Timeout attribute.
-RADIUSメッセージにSession-Timeout属性とTermination-Action属性がAA-REQUESTに設定されている場合、Authorization-Lifetime AVPとRe-Auth-Request-TypeをAUTHORIZE_AUTHENTICATEに設定してAA-Answerに変換し、セッションを削除します -タイムアウト属性。
A RADIUS/Diameter gateway communicating with a RADIUS client that implements RADIUS Dynamic Authorization [RADDynAuth] may translate Diameter Re-Auth-Request (RAR) messages and Abort-Session-Request (ASR) messages [BASE] into RADIUS CoA-Request and Disconnect-Request messages respectively.
RADIUS動的承認[RADDynAuth]を実装するRADIUSクライアントと通信するRADIUS / Diameterゲートウェイは、Diameter Re-Auth-Request(RAR)メッセージおよびAbort-Session-Request(ASR)メッセージ[BASE]をRADIUS CoA-RequestおよびDisconnectに変換できます。 -それぞれメッセージをリクエストします。
If the RADIUS client does not support the capability, the gateway will receive an ICMP Port Unreachable indication when it transmits the RADIUS message. Even if the NAS supports [RADDynAuth], it may not support the Service-Type in the request message. In this case it will respond with a NAK message and (optionally) an Error-Cause attribute with value 405, "Unsupported Service". If the gateway encounters these error conditions, or if it does not support [RADDynAuth], it sends a Diameter Answer message with an Result-Code AVP of "DIAMETER_COMMAND_UNSUPPORTED" to the AAA server.
RADIUSクライアントがこの機能をサポートしていない場合、ゲートウェイはRADIUSメッセージを送信するときにICMPポート到達不能の通知を受け取ります。 NASが[RADDynAuth]をサポートしていても、要求メッセージでService-Typeをサポートしていない場合があります。 この場合、NAKメッセージと(オプションで)値405、「サポートされていないサービス」のError-Cause属性で応答します。 ゲートウェイがこれらのエラー状態に遭遇した場合、または[RADDynAuth]をサポートしない場合、結果コードAVPが「DIAMETER_COMMAND_UNSUPPORTED」のDiameter AnswerメッセージをAAAサーバーに送信します。
When encoding the RADIUS messages, the gateway MUST include the Diameter Session-ID in the RADIUS State attribute value, as mentioned above. The RADIUS client should return it in the response.
RADIUSメッセージをエンコードする場合、ゲートウェイは、前述のようにRADIUS State属性値にDiameterセッションIDを含める必要があります。 RADIUSクライアントは、応答でそれを返す必要があります。
A Diameter Re-Auth-Request (RAR) message [BASE] received by the gateway will be translated into a RADIUS CoA-Request and sent to the RADIUS client. The RADIUS client should respond with a CoA-ACK or CoA-NAK message, which the gateway should translate into a Re-Auth-Answer (RAA) message.
ゲートウェイが受信したDiameter Re-Auth-Request(RAR)メッセージ[BASE]は、RADIUS CoA-Requestに変換され、RADIUSクライアントに送信されます。 RADIUSクライアントは、CoA-ACKまたはCoA-NAKメッセージで応答する必要があり、ゲートウェイはこれらをRe-Auth-Answer(RAA)メッセージに変換する必要があります。
If the gateway receives a RADIUS CoA-NAK response containing a Service-Type Attribute with value "Authorize Only" and an Error-Cause Attribute with value "Request Initiated", this indicates an extended exchange request per [RADDynAuth] section 3.2, note 6.
ゲートウェイが、値「Authorize Only」のService-Type属性と値「Request Initiated」のエラー原因属性を含むRADIUS CoA-NAK応答を受信した場合、これは[RADDynAuth]セクション3.2、注6ごとの拡張交換要求を示します。 。
The response is translated to a Diameter Re-Auth-Answer (RAA) with a Result-Code AVP of "DIAMETER_LIMITED_SUCCESS" sent to the AAA server.
応答は、AAAサーバーに送信された「DIAMETER_LIMITED_SUCCESS」の結果コードAVPを持つDiameter Re-Auth-Answer(RAA)に変換されます。
Subsequently, the gateway should receive a RADIUS Access-Request from the NAS, with a Service-Type of "Authorize Only". This is translated into a Diameter AA-Request with an Auth-Request-Type AVP of AUTHORIZE_ONLY and sent to the AAA server. The AAA server will then reply with a Diameter AA-Answer, which is translated into a RADIUS Access-Accept or Access-Reject, depending on the value of the Result-Code AVP.
その後、ゲートウェイはNASからRADIUS Access-Requestを受け取り、Service-Typeを「Authorize Only」に設定する必要があります。 これは、AUTHORIZE_ONLYのAuth-Request-Type AVPを持つDiameter AA-Requestに変換され、AAAサーバーに送信されます。 AAAサーバーはDiameter AA-Answerで応答し、Result-Code AVPの値に応じてRADIUS Access-AcceptまたはAccess-Rejectに変換されます。
A Diameter Abort-Session-Request (ASR) message [BASE] received by the gateway will be translated into a RADIUS Disconnect-Request and sent to the RADIUS client. The RADIUS client should respond with a
ゲートウェイが受信したDiameter Abort-Session-Request(ASR)メッセージ[BASE]は、RADIUS Disconnect-Requestに変換され、RADIUSクライアントに送信されます。 RADIUSクライアントは、
Disconnect-ACK or Disconnect-NAK message, which the gateway should translate into an Abort-Session-Answer (ASA) message.
ゲートウェイがAbort-Session-Answer(ASA)メッセージに変換するDisconnect-ACKまたはDisconnect-NAKメッセージ。
If the gateway receives a RADIUS Disconnect-NAK response containing a Service-Type Attribute with value "Authorize Only" and an Error-Cause Attribute with value "Request Initiated", the Disconnect-NAK response is translated into a Diameter Abort-Session-Answer (ASA) with a Result-Code AVP of "DIAMETER_LIMITED_SUCCESS" sent to the AAA server.
ゲートウェイが、値「Authorize Only」のService-Type属性と値「Request Initiated」のエラー原因属性を含むRADIUS Disconnect-NAK応答を受信した場合、Disconnect-NAK応答はDiameter Abort-Session-Answerに変換されます (ASA)AAAサーバーに送信された「DIAMETER_LIMITED_SUCCESS」の結果コードAVPを持つ。
Subsequently, the gateway should receive a RADIUS Access-Request from the NAS, with a Service-Type of "Authorize Only". This is translated into a Diameter AA-Request with an Auth-Request-Type AVP of AUTHORIZE_ONLY and sent to the AAA server. The AAA server will then reply with a Diameter AA-Answer, which is translated into a RADIUS Access-Accept or Access-Reject, depending on the value of the Result-Code AVP.
その後、ゲートウェイはNASからRADIUS Access-Requestを受け取り、Service-Typeを「Authorize Only」に設定する必要があります。 これは、AUTHORIZE_ONLYのAuth-Request-Type AVPを持つDiameter AA-Requestに変換され、AAAサーバーに送信されます。 AAAサーバーはDiameter AA-Answerで応答し、Result-Code AVPの値に応じてRADIUS Access-AcceptまたはAccess-Rejectに変換されます。
The AVPs defined in this section SHOULD only be used for backwards compatibility when a Diameter/RADIUS translation function is invoked and are not typically originated by Diameter systems during normal operations.
このセクションで定義されているAVPは、Diameter / RADIUS変換関数が呼び出され、通常の動作中にDiameterシステムによって通常生成されない場合、下位互換性のためにのみ使用される必要があります。
+---------------------+
| AVP Flag rules |
|----+-----+----+-----|----+
AVP Section | | |SHLD| MUST| |
Attribute Name Code Defined Value Type |MUST| MAY | NOT| NOT|Encr|
-----------------------------------------|----+-----+----+-----|----|
NAS-Identifier 32 9.3.1 UTF8String | M | P | | V | Y |
NAS-IP-Address 4 9.3.2 OctetString| M | P | | V | Y |
NAS-IPv6-Address 95 9.3.3 OctetString| M | P | | V | Y |
State 24 9.3.4 OctetString| M | P | | V | Y |
Termination- 295 9.3.5 Enumerated | M | P | | V | Y |
Cause | | | | | |
Origin-AAA- 408 9.3.6 Enumerated | M | P | | V | Y |
Protocol | | | | | |
-----------------------------------------|----+-----+----+-----|----|
The NAS-Identifier AVP (AVP Code 32) [RADIUS] is of type UTF8String and contains the identity of the NAS providing service to the user. This AVP SHOULD only be added by a RADIUS/Diameter Translation Agent. When this AVP is present, the Origin-Host AVP identifies the NAS providing service to the user.
NAS-Identifier AVP(AVP Code 32)[RADIUS]は、UTF8String型であり、ユーザーにサービスを提供するNASのIDを含んでいます。 このAVPは、RADIUS / Diameter Translation Agentによってのみ追加される必要があります。 このAVPが存在する場合、Origin-Host AVPはユーザーにサービスを提供するNASを識別します。
In RADIUS it would be possible for a rogue NAS to forge the NAS-Identifier attribute. Diameter/RADIUS translation agents SHOULD attempt to check a received NAS-Identifier attribute against the source address of the RADIUS packet, by doing an A/AAAA RR query. If the NAS-Identifier attribute contains an FQDN, then such a query would resolve to an IP address matching the source address. However, the NAS-Identifier attribute is not required to contain an FQDN, so such a query could fail. If it fails, an error should be logged, but no action should be taken, other than a reverse lookup on the source address and insert the resulting FQDN into the Route-Record AVP.
RADIUSでは、不正なNASがNAS-Identifier属性を偽造する可能性があります。 Diameter / RADIUS変換エージェントは、A / AAAA RRクエリを実行することにより、受信したNAS-Identifier属性をRADIUSパケットの送信元アドレスに対してチェックしようとする必要があります。 NAS-Identifier属性にFQDNが含まれている場合、そのようなクエリはソースアドレスと一致するIPアドレスに解決されます。 ただし、NAS-Identifier属性にはFQDNを含める必要がないため、このようなクエリは失敗する可能性があります。 失敗した場合、エラーをログに記録する必要がありますが、送信元アドレスでの逆ルックアップおよび結果のFQDNをRoute-Record AVPに挿入する以外、アクションは実行されません。
Diameter agents and servers SHOULD check whether a NAS-Identifier AVP corresponds to an entry in the Route-Record AVP. If no match is found, then an error is logged, but no other action is taken.
Diameterエージェントとサーバーは、NAS-Identifier AVPがRoute-Record AVPのエントリに対応するかどうかを確認する必要があります。 一致するものが見つからない場合、エラーがログに記録されますが、他のアクションは実行されません。
The NAS-IP-Address AVP (AVP Code 4) [RADIUS] is of type OctetString and contains the IP Address of the NAS providing service to the user. This AVP SHOULD only be added by a RADIUS/Diameter Translation Agent. When this AVP is present, the Origin-Host AVP identifies the NAS providing service to the user.
NAS-IP-Address AVP(AVPコード4)[RADIUS]はOctetStringタイプで、ユーザーにサービスを提供するNASのIPアドレスが含まれています。 このAVPは、RADIUS / Diameter Translation Agentによってのみ追加される必要があります。 このAVPが存在する場合、Origin-Host AVPはユーザーにサービスを提供するNASを識別します。
In RADIUS it would be possible for a rogue NAS to forge the NAS-IP-Address attribute value. Diameter/RADIUS translation agents MUST check a received NAS-IP-Address or NAS-IPv6-Address attribute against the source address of the RADIUS packet. If they do not match and the Diameter/RADIUS translation agent does not know whether the packet was sent by a RADIUS proxy or NAS (e.g., no Proxy-State attribute), then by default it is assumed that the source address corresponds to a RADIUS proxy, and that the NAS Address is behind that proxy, potentially with some additional RADIUS proxies in between. The Diameter/RADIUS translation agent MUST insert entries in the Route-Record AVP corresponding to the apparent route. This implies doing a reverse lookup on the source address and NAS-IP-Address or NAS-IPv6-Address attributes to determine the corresponding FQDNs.
RADIUSでは、不正なNASがNAS-IP-Address属性値を偽造する可能性があります。 Diameter / RADIUS翻訳エージェントは、受信したNAS-IP-AddressまたはNAS-IPv6-Address属性をRADIUSパケットのソースアドレスと照合する必要があります。 それらが一致せず、Diameter / RADIUS変換エージェントがパケットがRADIUSプロキシまたはNASによって送信されたかどうかを知らない場合(たとえば、Proxy-State属性がない場合)、デフォルトでは送信元アドレスがRADIUSに対応すると想定されます プロキシ、およびNASアドレスがそのプロキシの背後にあり、潜在的に追加のRADIUSプロキシが間にあること。 Diameter / RADIUS翻訳エージェントは、見かけのルートに対応するRoute-Record AVPにエントリを挿入する必要があります。 これは、ソースアドレスとNAS-IP-AddressまたはNAS-IPv6-Address属性で逆ルックアップを実行して、対応するFQDNを決定することを意味します。
If the source address and the NAS-IP-Address or NAS-IPv6-Address do not match, and the Diameter/RADIUS translation agent knows that it is talking directly to the NAS (e.g., there are no RADIUS proxies between it and the NAS), then the error should be logged, and the packet MUST be discarded.
ソースアドレスとNAS-IP-AddressまたはNAS-IPv6-Addressが一致せず、Diameter / RADIUS変換エージェントがNASと直接通信していることを認識している場合(たとえば、RADIUSプロキシがNASとNASの間にない場合) )、エラーを記録する必要があり、パケットを破棄する必要があります。
Diameter agents and servers MUST check whether the NAS-IP-Address AVP corresponds to an entry in the Route-Record AVP. This is done by doing a reverse lookup (PTR RR) for the NAS-IP-Address to retrieve the corresponding FQDN, and by checking for a match with the Route-
Diameterエージェントとサーバーは、NAS-IP-Address AVPがRoute-Record AVPのエントリに対応するかどうかを確認する必要があります。 これは、NAS-IP-Addressの逆ルックアップ(PTR RR)を実行して対応するFQDNを取得し、Route-
Record AVP. If no match is found, then an error is logged, but no other action is taken.
AVPを記録します。 一致するものが見つからない場合、エラーがログに記録されますが、他のアクションは実行されません。
The NAS-IPv6-Address AVP (AVP Code 95) [RADIUSIPv6] is of type OctetString and contains the IPv6 Address of the NAS providing service to the user. This AVP SHOULD only be added by a RADIUS/Diameter Translation Agent. When this AVP is present, the Origin-Host AVP identifies the NAS providing service to the user.
NAS-IPv6-Address AVP(AVP Code 95)[RADIUSIPv6]はOctetStringタイプで、ユーザーにサービスを提供するNASのIPv6アドレスが含まれています。 このAVPは、RADIUS / Diameter Translation Agentによってのみ追加される必要があります。 このAVPが存在する場合、Origin-Host AVPはユーザーにサービスを提供するNASを識別します。
In RADIUS it would be possible for a rogue NAS to forge the NAS-IPv6-Address attribute. Diameter/RADIUS translation agents MUST check a received NAS-IPv6-Address attribute against the source address of the RADIUS packet. If they do not match and the Diameter/RADIUS translation agent does not know whether the packet was sent by a RADIUS proxy or NAS (e.g., no Proxy-State attribute), then by default it is assumed that the source address corresponds to a RADIUS proxy, and that the NAS-IPv6-Address is behind that proxy, potentially with some additional RADIUS proxies in between. The Diameter/RADIUS translation agent MUST insert entries in the Route-Record AVP corresponding to the apparent route. This implies doing a reverse lookup on the source address and NAS-IPv6-Address attributes to determine the corresponding FQDNs.
RADIUSでは、不正なNASがNAS-IPv6-Address属性を偽造する可能性があります。 Diameter / RADIUS翻訳エージェントは、受信したNAS-IPv6-Address属性をRADIUSパケットのソースアドレスと照合する必要があります。 それらが一致せず、Diameter / RADIUS変換エージェントがパケットがRADIUSプロキシまたはNASによって送信されたかどうかを知らない場合(たとえば、Proxy-State属性がない場合)、デフォルトでは送信元アドレスがRADIUSに対応すると想定されます プロキシ、およびNAS-IPv6-Addressがそのプロキシの背後にあり、間にいくつかの追加のRADIUSプロキシがある可能性があります。 Diameter / RADIUS翻訳エージェントは、見かけのルートに対応するRoute-Record AVPにエントリを挿入する必要があります。 これは、ソースアドレスとNAS-IPv6-Address属性で逆ルックアップを実行して、対応するFQDNを決定することを意味します。
If the source address and the NAS-IPv6-Address do not match, and the Diameter/RADIUS translation agent knows that it is talking directly to the NAS (e.g., there are no RADIUS proxies between it and the NAS), then the error should be logged, and the packet MUST be discarded.
ソースアドレスとNAS-IPv6-Addressが一致せず、Diameter / RADIUS変換エージェントがNASと直接通信していることを認識している場合(たとえば、RADIUSプロキシがNASとNASの間にない場合)、エラーは ログに記録され、パケットは破棄されなければなりません。
Diameter agents and servers MUST check whether the NAS-IPv6-Address AVP corresponds to an entry in the Route-Record AVP. This is done by doing a reverse lookup (PTR RR) for the NAS-IPv6-Address to retrieve the corresponding FQDN, and by checking for a match with the Record-Route AVP. If no match is found, then an error is logged, but no other action is taken.
Diameterエージェントとサーバーは、NAS-IPv6-Address AVPがRoute-Record AVPのエントリに対応するかどうかを確認する必要があります。 これは、NAS-IPv6-Addressの逆ルックアップ(PTR RR)を実行して対応するFQDNを取得し、Record-Route AVPとの一致を確認することにより行われます。 一致するものが見つからない場合、エラーがログに記録されますが、他のアクションは実行されません。
The State AVP (AVP Code 24) [RADIUS] is of type OctetString and has two uses in the Diameter NAS application.
State AVP(AVP Code 24)[RADIUS]はOctetStringタイプで、Diameter NASアプリケーションで2つの用途があります。
The State AVP MAY be sent by a Diameter Server to a NAS in an AA-Response command that contains a Result-Code of DIAMETER_MULTI_ROUND_AUTH. If so, the NAS MUST return it unmodified in the subsequent AA-Request command.
状態AVPは、DIAMETER_MULTI_ROUND_AUTHの結果コードを含むAA-Responseコマンドで、DiameterサーバーからNASに送信される場合があります。 その場合、NASは後続のAA-Requestコマンドで変更せずにそれを返さなければなりません。
The State AVP MAY also be sent by a Diameter Server to a NAS in an AA-Response command that also includes a Termination-Action AVP with the value of AA-REQUEST. If the NAS performs the Termination-Action by sending a new AA-Request command upon termination of the current service, it MUST return the State AVP unmodified in the new request command.
また、State AVPは、AA-REQUESTの値を持つTermination-Action AVPも含むAA-ResponseコマンドでDiameter ServerからNASに送信される場合があります。 NASが現在のサービスの終了時に新しいAA-Requestコマンドを送信してTermination-Actionを実行する場合、新しいリクエストコマンドで変更されていない状態AVPを返さなければなりません。
In either usage, the NAS MUST NOT interpret the AVP locally. Usage of the State AVP is implementation dependent.
どちらの使用法でも、NASはAVPをローカルで解釈してはなりません。 State AVPの使用は実装に依存します。
This section defines a mapping between Termination-Cause AVP code values and RADIUS Acct-Terminate-Cause attribute code values from RFC 2866 [RADIUSAcct] and [RADIUSTypes], thereby allowing a RADIUS/Diameter Translation Agent to convert between the attribute and AVP values. This section thus extends the definitions in the "Termination-Cause AVP" section of the Base Diameter specification.
このセクションは、RFC 2866 [RADIUSAcct]および[RADIUSTypes]からのTermination-Cause AVPコード値とRADIUS Acct-Terminate-Cause属性コード値の間のマッピングを定義し、RADIUS / Diameter Translation Agentが属性とAVP値の間で変換できるようにします。 したがって、このセクションは、Base Diameter仕様の「Termination-Cause AVP」セクションの定義を拡張します。
The table in this section defines the mapping between Termination-Cause AVP and RADIUS Acct-Terminate-Cause causes.
このセクションの表は、Termination-Cause AVPとRADIUS Acct-Terminate-Causeの原因間のマッピングを定義しています。
+-----------------------+
| Value |
+-----------+-----------+
Cause Value Name | RADIUS | Diameter |
------------------------------|-----------+-----------+
User Request | 1 | 11 |
Lost Carrier | 2 | 12 |
Lost Service | 3 | 13 |
Idle Timeout | 4 | 14 |
Session Timeout | 5 | 15 |
Admin Reset | 6 | 16 |
Admin Reboot | 7 | 17 |
Port Error | 8 | 18 |
NAS Error | 9 | 19 |
NAS Request | 10 | 20 |
NAS Reboot | 11 | 21 |
Port Unneeded | 12 | 22 |
Port Preempted | 13 | 23 |
Port Suspended | 14 | 24 |
Service Unavailable | 15 | 25 |
Callback | 16 | 26 |
User Error | 17 | 27 |
Host Request | 18 | 28 |
Supplicant Restart | 19 | 29 | [RAD802.1X]
Reauthentication Failure | 20 | 30 | [RAD802.1X]
Port Reinit | 21 | 31 | [RAD802.1X]
Port Disabled | 22 | 32 | [RAD802.1X]
------------------------------|-----------+-----------+
From RFC 2866, the termination causes are as follows:
RFC 2866から、終了の原因は次のとおりです。
User Request User requested termination of service, for example with LCP Terminate or by logging out.
ユーザーリクエストユーザーがサービスの終了を要求しました。たとえば、LCP Terminateを使用したり、ログアウトしたりします。
Lost Carrier DCD was dropped on the port.
Lost Carrier DCDがポートでドロップされました。
Lost Service Service can no longer be provided; for example, user's connection to a host was interrupted.
Lost Serviceサービスは提供できなくなりました。 たとえば、ユーザーのホストへの接続が中断されました。
Idle Timeout Idle timer expired.
アイドルタイムアウトアイドルタイマーの期限が切れました。
Session Timeout Maximum session length timer expired.
セッションタイムアウト最大セッション長のタイマーが期限切れになりました。
Admin Reset Administrator reset the port or session.
管理者リセット管理者はポートまたはセッションをリセットします。
Admin Reboot Administrator is ending service on the NAS, for example, prior to rebooting the NAS.
Admin Reboot Administratorは、たとえばNASを再起動する前に、NASのサービスを終了しています。
Port Error NAS detected an error on the port that required ending the session.
ポートエラーNASは、セッションの終了が必要なポートでエラーを検出しました。
NAS Error NAS detected an error (other than on the port) that required ending the session.
NASエラーNASは、セッションの終了を必要とするエラー(ポート以外)を検出しました。
NAS Request NAS ended the session for a non-error reason not otherwise listed here.
NASリクエストNASは、ここにリストされていないエラー以外の理由でセッションを終了しました。
NAS Reboot NAS ended the session to reboot non-administratively ("crash").
NASの再起動NASはセッションを終了して非管理的に再起動しました(「クラッシュ」)。
Port Unneeded NAS ended the session because resource usage fell below a low-water mark (for example, if a bandwidth-on-demand algorithm decided that the port was no longer needed).
リソースの使用量が最低水準を下回ったため、Port Unneeded NASはセッションを終了しました(たとえば、帯域幅オンデマンドアルゴリズムがポートが不要になったと判断した場合)。
Port Preempted NAS ended the session to allocate the port to a higher priority use.
Port Preempted NASはセッションを終了し、ポートを優先度の高い使用に割り当てました。
Port Suspended NAS ended the session to suspend a virtual session.
Port Suspended NASは仮想セッションを一時停止するためにセッションを終了しました。
Service Unavailable NAS was unable to provide requested service.
Service Unavailable NASは要求されたサービスを提供できませんでした。
Callback NAS is terminating the current session to perform callback for a new session.
コールバックNASは現在のセッションを終了して、新しいセッションのコールバックを実行しています。
User Error Input from user is in error, causing session termination.
ユーザーエラーユーザーからの入力にエラーがあり、セッションが終了しました。
Host Request Login Host terminated session normally.
ホスト要求ログインホストはセッションを正常に終了しました。
The Origin-AAA-Protocol AVP (AVP Code 408) is of the type Enumerated and should be inserted in a Diameter message translated by a gateway system from another AAA protocol, such as RADIUS. It identifies the source protocol of the message to the Diameter system receiving the message.
Origin-AAA-Protocol AVP(AVP Code 408)は列挙型であり、RADIUSなどの別のAAAプロトコルからゲートウェイシステムによって変換されたDiameterメッセージに挿入する必要があります。 メッセージを受信するDiameterシステムに対して、メッセージのソースプロトコルを識別します。
The supported values are:
サポートされている値は次のとおりです。
1 RADIUS
1 RADIUS
The following RADIUS attributes MUST NOT appear in a Diameter message. Instead, they are translated to other Diameter AVPs or handled in some special manner. The rules for the treatment of the attributes are discussed in sections 9.1, 9.2, and 9.6.
次のRADIUS属性は、Diameterメッセージに表示してはいけません(MUST NOT)。 代わりに、他のDiameter AVPに変換されるか、何らかの特別な方法で処理されます。 属性の処理の規則については、セクション9.1、9.2、および9.6で説明します。
Attribute Description Defined Nearest Diameter AVP
-----------------------------------------------------------------
3 CHAP-Password RFC 2865 CHAP-Auth Group
26 Vendor-Specific RFC 2865 Vendor Specific AVP
29 Termination-Action RFC 2865 Authorization-Lifetime
40 Acct-Status-Type RFC 2866 Accounting-Record-Type
42 Acct-Input-Octets RFC 2866 Accounting-Input-Octets
43 Acct-Output-Octets RFC 2866 Accounting-Output-Octets
47 Acct-Input-Packets RFC 2866 Accounting-Input-Packets
48 Acct-Output-Packets RFC 2866 Accounting-Output-Packets
49 Acct-Terminate-Cause RFC 2866 Termination-Cause
52 Acct-Input-Gigawords RFC 2869 Accounting-Input-Octets
53 Acct-Output-Gigawords RFC 2869 Accounting-Output-Octets
80 Message-Authenticator RFC 2869 none - check and discard
In general, Diameter AVPs that are not RADIUS compatible have code values greater than 255. The table in the section above shows the AVPs that can be converted into RADIUS attributes.
一般に、RADIUS互換性のないDiameter AVPのコード値は255を超えています。上記のセクションの表は、RADIUS属性に変換できるAVPを示しています。
Another problem may occur with Diameter AVP values that may be more than 253 octets in length. Some RADIUS attributes (including but not limited to (8)Reply-Message, (79)EAP-Message, and (77)Connect-Info) allow concatenation of multiple instances to overcome this limitation. If this is not possible, a Result-Code of DIAMETER_INVALID_AVP_LENGTH should be returned.
長さが253オクテット以上のDiameter AVP値で別の問題が発生する場合があります。 一部のRADIUS属性((8)Reply-Message、(79)EAP-Message、および(77)Connect-Infoを含むがこれらに限定されない)では、複数のインスタンスを連結してこの制限を克服できます。 これが不可能な場合、DIAMETER_INVALID_AVP_LENGTHの結果コードが返されます。
RADIUS supports the inclusion of Vendor Specific Attributes (VSAs) through the use of attribute 26. The recommended format [RADIUS] of the attribute data field includes a 4 octet vendor code followed by a one octet vendor type field and a one octet length field. The last two fields MAY be repeated.
RADIUSは、属性26の使用によるベンダー固有属性(VSA)の包含をサポートします。属性データフィールドの推奨形式[RADIUS]には、4オクテットベンダーコードとそれに続く1オクテットベンダータイプフィールドと1オクテット長フィールドが含まれます。 最後の2つのフィールドは繰り返される場合があります。
A system communicating between Diameter and RADIUS MAY have specific knowledge of vendor formats, and MAY be able to translate between the two formats. However, given the deployment of many RADIUS vendor formats that do not follow the example format in RFC 2865 [RADIUS], (e.g., those that use a longer vendor type code) the translations in the next two sections will not work in general for those VSAs. RFC 2865 states that a robust implementation SHOULD support the field as undistinguished octets.
DiameterとRADIUSの間で通信するシステムは、ベンダー形式に関する特定の知識を持ち、2つの形式間で変換できる場合があります。 ただし、RFC 2865 [RADIUS]のサンプル形式に従わない多くのRADIUSベンダー形式(たとえば、より長いベンダータイプコードを使用するもの)の展開を考えると、次の2つのセクションの変換は一般的に機能しません。 VSA。 RFC 2865は、堅牢な実装は、区別されていないオクテットとしてフィールドをサポートする必要があると述べています。
Systems that don't have vendor format knowledge MAY discard such attributes without knowing a suitable translation. An alternative format is under consideration [VSA], which proposes encodings that would preserve the native information and not require vendor knowledge in the gateway system.
ベンダー形式の知識を持たないシステムは、適切な翻訳を知らずにそのような属性を破棄する場合があります。 別の形式が検討中です[VSA]。これは、ネイティブ情報を保持し、ゲートウェイシステムのベンダーの知識を必要としないエンコーディングを提案します。
The following sections are an example for translating RADIUS VSAs that use the example RADIUS format, and Diameter VSAs that have type codes less than 255, and value field lengths less than 252.
次のセクションは、サンプルRADIUS形式を使用するRADIUS VSA、255未満のタイプコード、および252未満の値フィールド長を持つDiameter VSAを変換するための例です。
For Type codes less than 255, the value field length MUST be less than 252 or the AVP will be discarded. The RADIUS VSA attribute should consist of the following fields;
タイプコードが255未満の場合、値フィールドの長さは252未満である必要があります。そうでない場合、AVPは破棄されます。 RADIUS VSA属性は、次のフィールドで構成される必要があります。
RADIUS Type = 26, Vendor Specific Attribute RADIUS Length = total length of attribute (header + data) RADIUS Vendor code = Diameter Vendor code RADIUS Vendor type code = low order byte of Diameter AVP code RADIUS Vendor data length = length of Diameter data
RADIUSタイプ= 26、ベンダー固有の属性RADIUS長さ=属性の全長(ヘッダー+データ)RADIUSベンダーコード= DiameterベンダーコードRADIUSベンダータイプコード= Diameter AVPコードの下位バイトRADIUSベンダーデータ長= Diameterデータの長さ
If the Diameter AVP code is greater than 255, then the RADIUS speaking code may use a Vendor specific field coding, if it knows one for that vendor. Otherwise, the AVP will be ignored. If it is flagged as Mandatory, a "DIAMETER_AVP_UNSUPPORTED" Result-Code will be returned, and the RADIUS message will not be sent.
Diameter AVPコードが255より大きい場合、RADIUS話すコードは、ベンダー固有のフィールドコーディングを使用できます(そのベンダーのコードがわかっている場合)。 それ以外の場合、AVPは無視されます。 必須のフラグが付いている場合、「DIAMETER_AVP_UNSUPPORTED」結果コードが返され、RADIUSメッセージは送信されません。
The Diameter AVP will consist of the following fields:
Diameter AVPは、次のフィールドで構成されます。
Diameter Flags: V=1, M=0, P=0 Diameter Vendor code = RADIUS VSA Vendor code Diameter AVP code = RADIUS VSA Vendor type code Diameter AVP length = length of AVP (header + data) Diameter Data = RADIUS VSA vendor data
Diameterフラグ:V = 1、M = 0、P = 0 Diameterベンダーコード= RADIUS VSAベンダーコードDiameter AVPコード= RADIUS VSAベンダータイプコードDiameter AVP長さ= AVPの長さ(ヘッダー+データ)Diameterデータ= RADIUS VSAベンダーデータ
Note that the VSAs are considered optional by RADIUS rules, and this specification does not set the Mandatory flag. If an implementor desires a VSA be made mandatory because it represents a required service policy, the RADIUS gateway should have a process to set the bit on the Diameter side.
VSAはRADIUSルールによってオプションと見なされ、この仕様は必須フラグを設定しないことに注意してください。 実装者が必要なサービスポリシーを表すためにVSAを必須にする場合、RADIUSゲートウェイにはDiameter側のビットを設定するプロセスが必要です。
If the RADIUS receiving code knows of vendor specific field interpretations for the specific vendor, it may employ them to parse an extended AVP code or data length. Otherwise the recommended standard fields will be used.
RADIUS受信コードが特定のベンダーのベンダー固有のフィールドの解釈を知っている場合、それらを使用して拡張AVPコードまたはデータ長を解析できます。 それ以外の場合は、推奨される標準フィールドが使用されます。
Nested Multiple vendor data fields MUST be expanded into multiple Diameter AVPs.
ネストされた複数のベンダーデータフィールドは、複数のDiameter AVPに展開する必要があります。
The following tables present the AVPs used by NAS applications in NAS messages and specify in which Diameter messages they MAY or MAY NOT be present. [BASE] messages and AVPs are not described in this document. Note that AVPs that can only be present within a Grouped AVP are not represented in this table.
次の表は、NASメッセージでNASアプリケーションによって使用されるAVPを示し、それらが存在する場合と存在しない場合があるDiameterメッセージを指定します。 [BASE]メッセージとAVPは、このドキュメントでは説明されていません。 グループ化されたAVP内にのみ存在できるAVPは、このテーブルには表されていないことに注意してください。
The table uses the following symbols:
この表では、次の記号を使用しています。
0 The AVP MUST NOT be present in the message. 0+ Zero or more instances of the AVP MAY be present in the message. 0-1 Zero or one instance of the AVP MAY be present in the message. 1 One instance of the AVP MUST be present in the message.
0メッセージにAVPが存在してはなりません。 0+ AVPのゼロ以上のインスタンスがメッセージに存在する場合があります。 0-1 AVPのゼロまたは1つのインスタンスがメッセージに存在する場合があります。 1 AVPの1つのインスタンスがメッセージに存在しなければなりません。
The table in this section is limited to the Command Codes defined in this specification.
このセクションの表は、この仕様で定義されているコマンドコードに限定されています。
+-----------+
| Command |
|-----+-----+
Attribute Name | AAR | AAA |
------------------------------|-----+-----+
Acct-Interim-Interval | 0 | 0-1 |
ARAP-Challenge-Response | 0 | 0-1 |
ARAP-Features | 0 | 0-1 |
ARAP-Password | 0-1 | 0 |
ARAP-Security | 0-1 | 0-1 |
ARAP-Security-Data | 0+ | 0+ |
ARAP-Zone-Access | 0 | 0-1 |
Auth-Application-Id | 1 | 1 |
Auth-Grace-Period | 0-1 | 0-1 |
Auth-Request-Type | 1 | 1 |
Auth-Session-State | 0-1 | 0-1 |
Authorization-Lifetime | 0-1 | 0-1 |
------------------------------|-----+-----+
+-----------+
| Command |
|-----+-----+
Attribute Name | AAR | AAA |
------------------------------|-----+-----+
Callback-Id | 0 | 0-1 |
Callback-Number | 0-1 | 0-1 |
Called-Station-Id | 0-1 | 0 |
Calling-Station-Id | 0-1 | 0 |
CHAP-Auth | 0-1 | 0 |
CHAP-Challenge | 0-1 | 0 |
Class | 0 | 0+ |
Configuration-Token | 0 | 0+ |
Connect-Info | 0+ | 0 |
Destination-Host | 0-1 | 0 |
Destination-Realm | 1 | 0 |
Error-Message | 0 | 0-1 |
Error-Reporting-Host | 0 | 0-1 |
Failed-AVP | 0+ | 0+ |
Filter-Id | 0 | 0+ |
Framed-Appletalk-Link | 0 | 0-1 |
Framed-Appletalk-Network | 0 | 0+ |
Framed-Appletalk-Zone | 0 | 0-1 |
Framed-Compression | 0+ | 0+ |
Framed-Interface-Id | 0-1 | 0-1 |
Framed-IP-Address | 0-1 | 0-1 |
Framed-IP-Netmask | 0-1 | 0-1 |
Framed-IPv6-Prefix | 0+ | 0+ |
Framed-IPv6-Pool | 0 | 0-1 |
Framed-IPv6-Route | 0 | 0+ |
Framed-IPX-Network | 0 | 0-1 |
Framed-MTU | 0-1 | 0-1 |
Framed-Pool | 0 | 0-1 |
Framed-Protocol | 0-1 | 0-1 |
Framed-Route | 0 | 0+ |
Framed-Routing | 0 | 0-1 |
Idle-Timeout | 0 | 0-1 |
Login-IP-Host | 0+ | 0+ |
Login-IPv6-Host | 0+ | 0+ |
Login-LAT-Group | 0-1 | 0-1 |
Login-LAT-Node | 0-1 | 0-1 |
Login-LAT-Port | 0-1 | 0-1 |
Login-LAT-Service | 0-1 | 0-1 |
Login-Service | 0 | 0-1 |
Login-TCP-Port | 0 | 0-1 |
Multi-Round-Time-Out | 0 | 0-1 |
------------------------------|-----+-----+
+-----------+
| Command |
|-----+-----+
Attribute Name | AAR | AAA |
------------------------------|-----+-----+
NAS-Filter-Rule | 0 | 0+ |
NAS-Identifier | 0-1 | 0 |
NAS-IP-Address | 0-1 | 0 |
NAS-IPv6-Address | 0-1 | 0 |
NAS-Port | 0-1 | 0 |
NAS-Port-Id | 0-1 | 0 |
NAS-Port-Type | 0-1 | 0 |
Origin-AAA-Protocol | 0-1 | 0-1 |
Origin-Host | 1 | 1 |
Origin-Realm | 1 | 1 |
Origin-State-Id | 0-1 | 0-1 |
Originating-Line-Info | 0-1 | 0 |
Password-Retry | 0 | 0-1 |
Port-Limit | 0-1 | 0-1 |
Prompt | 0 | 0-1 |
Proxy-Info | 0+ | 0+ |
QoS-Filter-Rule | 0 | 0+ |
Re-Auth-Request-Type | 0 | 0-1 |
Redirect-Host | 0 | 0+ |
Redirect-Host-Usage | 0 | 0-1 |
Redirect-Max-Cache-Time | 0 | 0-1 |
Reply-Message | 0 | 0+ |
Result-Code | 0 | 1 |
Route-Record | 0+ | 0+ |
Service-Type | 0-1 | 0-1 |
Session-Id | 1 | 1 |
Session-Timeout | 0 | 0-1 |
State | 0-1 | 0-1 |
Tunneling | 0+ | 0+ |
User-Name | 0-1 | 0-1 |
User-Password | 0-1 | 0 |
------------------------------|-----+-----+
The tables in this section are used to show which AVPs defined in this document are to be present and used in NAS application Accounting messages. These AVPs are defined in this document, as well as in [BASE] and [RADIUSAcct].
このセクションの表は、このドキュメントで定義されているどのAVPがNASアプリケーションアカウンティングメッセージに存在し使用されるかを示すために使用されます。 これらのAVPは、このドキュメントと[BASE]および[RADIUSAcct]で定義されています。
The table in this section is used when the Service-Type specifies Framed Access.
このセクションの表は、Service-TypeでFramed Accessが指定されている場合に使用されます。
+-----------+
| Command |
|-----+-----+
Attribute Name | ACR | ACA |
---------------------------------------|-----+-----+
Accounting-Auth-Method | 0-1 | 0 |
Accounting-Input-Octets | 1 | 0 |
Accounting-Input-Packets | 1 | 0 |
Accounting-Output-Octets | 1 | 0 |
Accounting-Output-Packets | 1 | 0 |
Accounting-Record-Number | 0-1 | 0-1 |
Accounting-Record-Type | 1 | 1 |
Accounting-Realtime-Required | 0-1 | 0-1 |
Accounting-Sub-Session-Id | 0-1 | 0-1 |
Acct-Application-Id | 0-1 | 0-1 |
Acct-Session-Id | 1 | 0-1 |
Acct-Multi-Session-Id | 0-1 | 0-1 |
Acct-Authentic | 1 | 0 |
Acct-Delay-Time | 0-1 | 0 |
Acct-Interim-Interval | 0-1 | 0-1 |
Acct-Link-Count | 0-1 | 0 |
Acct-Session-Time | 1 | 0 |
Acct-Tunnel-Connection | 0-1 | 0 |
Acct-Tunnel-Packets-Lost | 0-1 | 0 |
Authorization-Lifetime | 0-1 | 0 |
Callback-Id | 0-1 | 0 |
Callback-Number | 0-1 | 0 |
Called-Station-Id | 0-1 | 0 |
Calling-Station-Id | 0-1 | 0 |
Class | 0+ | 0+ |
Connection-Info | 0+ | 0 |
Destination-Host | 0-1 | 0 |
Destination-Realm | 1 | 0 |
Event-Timestamp | 0-1 | 0-1 |
Error-Message | 0 | 0-1 |
Error-Reporting-Host | 0 | 0-1 |
Failed-AVP | 0 | 0+ |
---------------------------------------|-----+-----+
+-----------+
| Command |
|-----+-----+
Attribute Name | ACR | ACA |
---------------------------------------|-----+-----+
Framed-AppleTalk-Link | 0-1 | 0 |
Framed-AppleTalk-Network | 0-1 | 0 |
Framed-AppleTalk-Zone | 0-1 | 0 |
Framed-Compression | 0-1 | 0 |
Framed-IP-Address | 0-1 | 0 |
Framed-IP-Netmask | 0-1 | 0 |
Framed-IPv6-Prefix | 0+ | 0 |
Framed-IPv6-Pool | 0-1 | 0 |
Framed-IPX-Network | 0-1 | 0 |
Framed-MTU | 0-1 | 0 |
Framed-Pool | 0-1 | 0 |
Framed-Protocol | 0-1 | 0 |
Framed-Route | 0-1 | 0 |
Framed-Routing | 0-1 | 0 |
NAS-Filter-Rule | 0+ | 0 |
NAS-Identifier | 0-1 | 0-1 |
NAS-IP-Address | 0-1 | 0-1 |
NAS-IPv6-Address | 0-1 | 0-1 |
NAS-Port | 0-1 | 0-1 |
NAS-Port-Id | 0-1 | 0-1 |
NAS-Port-Type | 0-1 | 0-1 |
Origin-AAA-Protocol | 0-1 | 0-1 |
Origin-Host | 1 | 1 |
Origin-Realm | 1 | 1 |
Origin-State-Id | 0-1 | 0-1 |
Originating-Line-Info | 0-1 | 0 |
Proxy-Info | 0+ | 0+ |
QoS-Filter-Rule | 0+ | 0 |
Route-Record | 0+ | 0+ |
Result-Code | 0 | 1 |
Service-Type | 0-1 | 0-1 |
Session-Id | 1 | 1 |
Termination-Cause | 0-1 | 0-1 |
Tunnel-Assignment-Id | 0-1 | 0 |
Tunnel-Client-Endpoint | 0-1 | 0 |
Tunnel-Medium-Type | 0-1 | 0 |
Tunnel-Private-Group-Id | 0-1 | 0 |
Tunnel-Server-Endpoint | 0-1 | 0 |
Tunnel-Type | 0-1 | 0 |
User-Name | 0-1 | 0-1 |
Vendor-Specific-Application-Id | 0-1 | 0-1 |
---------------------------------------|-----+-----+
The table in this section is used when the Service-Type specifies Non-Framed Access.
このセクションの表は、Service-Typeで非フレームアクセスが指定されている場合に使用されます。
+-----------+
| Command |
|-----+-----+
Attribute Name | ACR | ACA |
---------------------------------------|-----+-----+
Accounting-Auth-Method | 0-1 | 0 |
Accounting-Input-Octets | 1 | 0 |
Accounting-Output-Octets | 1 | 0 |
Accounting-Record-Type | 1 | 1 |
Accounting-Record-Number | 0-1 | 0-1 |
Accounting-Realtime-Required | 0-1 | 0-1 |
Accounting-Sub-Session-Id | 0-1 | 0-1 |
Acct-Application-Id | 0-1 | 0-1 |
Acct-Session-Id | 1 | 0-1 |
Acct-Multi-Session-Id | 0-1 | 0-1 |
Acct-Authentic | 1 | 0 |
Acct-Delay-Time | 0-1 | 0 |
Acct-Interim-Interval | 0-1 | 0-1 |
Acct-Link-Count | 0-1 | 0 |
Acct-Session-Time | 1 | 0 |
Authorization-Lifetime | 0-1 | 0 |
Callback-Id | 0-1 | 0 |
Callback-Number | 0-1 | 0 |
Called-Station-Id | 0-1 | 0 |
Calling-Station-Id | 0-1 | 0 |
Class | 0+ | 0+ |
Connection-Info | 0+ | 0 |
Destination-Host | 0-1 | 0 |
Destination-Realm | 1 | 0 |
Event-Timestamp | 0-1 | 0-1 |
Error-Message | 0 | 0-1 |
Error-Reporting-Host | 0 | 0-1 |
Failed-AVP | 0 | 0+ |
Login-IP-Host | 0+ | 0 |
Login-IPv6-Host | 0+ | 0 |
Login-LAT-Service | 0-1 | 0 |
Login-LAT-Node | 0-1 | 0 |
Login-LAT-Group | 0-1 | 0 |
Login-LAT-Port | 0-1 | 0 |
Login-Service | 0-1 | 0 |
Login-TCP-Port | 0-1 | 0 |
---------------------------------------|-----+-----+
+-----------+
| Command |
|-----+-----+
Attribute Name | ACR | ACA |
---------------------------------------|-----+-----+
NAS-Identifier | 0-1 | 0-1 |
NAS-IP-Address | 0-1 | 0-1 |
NAS-IPv6-Address | 0-1 | 0-1 |
NAS-Port | 0-1 | 0-1 |
NAS-Port-Id | 0-1 | 0-1 |
NAS-Port-Type | 0-1 | 0-1 |
Origin-AAA-Protocol | 0-1 | 0-1 |
Origin-Host | 1 | 1 |
Origin-Realm | 1 | 1 |
Origin-State-Id | 0-1 | 0-1 |
Originating-Line-Info | 0-1 | 0 |
Proxy-Info | 0+ | 0+ |
QoS-Filter-Rule | 0+ | 0 |
Route-Record | 0+ | 0+ |
Result-Code | 0 | 1 |
Session-Id | 1 | 1 |
Service-Type | 0-1 | 0-1 |
Termination-Cause | 0-1 | 0-1 |
User-Name | 0-1 | 0-1 |
Vendor-Specific-Application-Id | 0-1 | 0-1 |
---------------------------------------|-----+-----+
This section provides guidance to the Internet Assigned Numbers Authority (IANA) regarding registration of values related to the Diameter protocol, in accordance with BCP 26 [IANAConsid].
このセクションは、BCP 26 [IANAConsid]に従って、Diameterプロトコルに関連する値の登録に関するInternet Assigned Numbers Authority(IANA)にガイダンスを提供します。
This document defines values in the namespaces that have been created and defined in the Diameter Base [BASE]. The IANA Considerations section of that document details the assignment criteria. Values assigned in this document, or by future IANA action, must be coordinated within this shared namespace.
このドキュメントは、Diameter Base [BASE]で作成および定義されたネームスペースの値を定義します。 そのドキュメントのIANAの考慮事項セクションでは、割り当て基準について詳しく説明しています。 このドキュメントで、または将来のIANAアクションによって割り当てられた値は、この共有ネームスペース内で調整する必要があります。
This specification assigns the value 265 from the Command Code namespace defined in [BASE]. See sections 3.1 and 3.2 for the assignment of the namespace in this specification.
この仕様は、[BASE]で定義されたコマンドコード名前空間から値265を割り当てます。 この仕様の名前空間の割り当てについては、セクション3.1および3.2を参照してください。
This specification assigns the values 363 - 366 and 400 - 408 from the AVP Code namespace defined in [BASE]. See sections 4 and 5 for the assignment of the namespace in this specification. Note that the values 363 - 366 are jointly, but consistently, assigned in [DiamMIP]. This document also creates one new namespace to be managed by IANA, as described in section 11.5.
この仕様は、[BASE]で定義されたAVP Code名前空間から値363-366および400-408を割り当てます。 この仕様の名前空間の割り当てについては、セクション4および5を参照してください。 値363-366は、[DiamMIP]で一緒に、しかし一貫して割り当てられることに注意してください。 このドキュメントは、セクション11.5で説明されているように、IANAによって管理される1つの新しいネームスペースも作成します。
This specification also specifies the use of AVPs in the 0 - 255 range, which are defined in [RADIUSTypes]. These values are assigned by the policy in RFC 2865 section 6 [RADIUS] and are amended by RFC 3575 [RADIUSIANA].
また、この仕様は、[RADIUSTypes]で定義される0〜255の範囲のAVPの使用を指定します。 これらの値は、RFC 2865セクション6 [RADIUS]のポリシーによって割り当てられ、RFC 3575 [RADIUSIANA]によって修正されます。
This specification uses the value one (1) in the Application Identifier namespace as assigned in [BASE]. See section 1.2 above for more information.
この仕様では、[BASE]で割り当てられたApplication Identifier名前空間の値1を使用します。 詳細については、上記のセクション1.2を参照してください。
As defined in section 5.5, the CHAP-Algorithm AVP (AVP Code 403) uses the values of the "PPP AUTHENTICATION ALGORITHMS" namespace defined in [PPPCHAP].
セクション5.5で定義されているように、CHAPアルゴリズムAVP(AVPコード403)は、[PPPCHAP]で定義された「PPP AUTHENTICATION ALGORITHMS」名前空間の値を使用します。
As defined in section 8.6, the Accounting-Auth-Method AVP (AVP Code 406) defines the values 1 - 5. All remaining values are available for assignment via IETF Consensus [IANA].
セクション8.6で定義されているように、Accounting-Auth-Method AVP(AVP Code 406)は1〜5の値を定義します。残りのすべての値は、IETFコンセンサス[IANA]を介した割り当てに利用できます。
As defined in section 9.3.6, the Origin-AAA-Protocol AVP (AVP Code 408) defines the value 1. All remaining values are available for assignment with a "Specification Required" policy [IANAConsid].
セクション9.3.6で定義されているように、Origin-AAA-Protocol AVP(AVP Code 408)は値1を定義します。残りのすべての値は、「Specification Required」ポリシー[IANAConsid]で割り当てることができます。
This document describes the extension of Diameter for the NAS application. The security considerations of the Diameter protocol itself have been discussed in [BASE]. Use of this application of Diameter MUST take into consideration the security issues and requirements of the Base protocol.
このドキュメントでは、NASアプリケーションのDiameterの拡張について説明します。 Diameterプロトコル自体のセキュリティに関する考慮事項は、[BASE]で説明されています。 Diameterのこのアプリケーションの使用は、Baseプロトコルのセキュリティ問題と要件を考慮しなければなりません。
This document does not contain a security protocol but does discuss how PPP authentication protocols can be carried within the Diameter protocol. The PPP authentication protocols described are PAP and CHAP.
このドキュメントにはセキュリティプロトコルは含まれていませんが、PPP認証プロトコルをDiameterプロトコル内でどのように実行できるかについて説明しています。 説明されているPPP認証プロトコルは、PAPおよびCHAPです。
The use of PAP SHOULD be discouraged, as it exposes users' passwords to possibly non-trusted entities. However, PAP is also frequently used for use with One-Time Passwords, which do not expose a security risk.
PAPの使用は、ユーザーのパスワードを信頼できない可能性のあるエンティティに公開するため、推奨されません。 ただし、PAPは、ワンタイムパスワードでの使用にも頻繁に使用されます。ワンタイムパスワードはセキュリティリスクを露呈しません。
This document also describes how CHAP can be carried within the Diameter protocol, which is required for RADIUS backward compatibility. The CHAP protocol, as used in a RADIUS environment, facilitates authentication replay attacks.
このドキュメントでは、RADIUSの下位互換性に必要なDiameterプロトコル内でCHAPを実行する方法についても説明します。 RADIUS環境で使用されるCHAPプロトコルは、認証リプレイ攻撃を促進します。
The use of the EAP authentication protocols described in [DiamEAP] can offer better security, given a method suitable for the circumstances.
[DiamEAP]で説明されているEAP認証プロトコルの使用は、状況に適した方法を考えると、より優れたセキュリティを提供できます。
[BASE] Calhoun, P., Loughney, J., Guttman, E., Zorn, G., and J. Arkko, "Diameter Base Protocol", RFC 3588, September 2003.
[ベース]カルホーン、P。、ローニー、J。、ガットマン、E。、ゾーン、G。、およびJ.アルコ、「直径ベースプロトコル」、RFC 3588、2003年9月。
[DiamTrans] Aboba, B. and J. Wood, "Authentication, Authorization and Accounting (AAA) Transport Profile", RFC 3539, June 2003.
[DiamTrans] Aboba、B。、およびJ. Wood、「Authentication、Authorization and Accounting(AAA)Transport Profile」、RFC 3539、2003年6月。
[RADIUS] Rigney, C., Willens, S., Rubens, A., and W. Simpson, "Remote Authentication Dial In User Service (RADIUS)", RFC 2865, June 2000.
[RADIUS]リグニー、C。、ウィレンス、S。、ルーベンス、A。、およびW.シンプソン、「リモート認証ダイヤルインユーザーサービス(RADIUS)」、RFC 2865、2000年6月。
[RADIUSTypes] IANA, "RADIUS Types", URL: <http://www.iana.org/assignments/radius-types>
[RADIUSTypes] IANA、「RADIUS Types」、URL:<http://www.iana.org/assignments/radius-types>
[RADIUSIPv6] Aboba, B., Zorn, G., and D. Mitton, "RADIUS and IPv6", RFC 3162, August 2001.
[RADIUSIPv6] Aboba、B.、Zorn、G。、およびD. Mitton、「RADIUS and IPv6」、RFC 3162、2001年8月。
[IPv6Addr] Nerenberg, L., "IMAP4 Binary Content Extension", RFC 3516, April 2003.
[IPv6Addr] Nerenberg、L。、「IMAP4 Binary Content Extension」、RFC 3516、2003年4月。
[PPPCHAP] Simpson, W., "PPP Challenge Handshake Authentication Protocol (CHAP)", RFC 1994, August 1996.
[PPPCHAP]シンプソン、W。、「PPPチャレンジハンドシェイク認証プロトコル(CHAP)」、RFC 1994、1996年8月。
[IANAConsid] Narten, T. and H. Alvestrand, "Guidelines for Writing an IANA Considerations Section in RFCs", BCP 26, RFC 2434, October 1998.
[IANAConsid] Narten、T。、およびH. Alvestrand、「RFCでIANA考慮事項セクションを記述するためのガイドライン」、BCP 26、RFC 2434、1998年10月。
[IANA] IANA Assigned Numbers Database, URL: <http://www.iana.org/numbers.html>
[IANA] IANA Assigned Numbers Database、URL:<http://www.iana.org/numbers.html>
[Keywords] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.
[キーワード] Bradner、S。、「要件レベルを示すためにRFCで使用するキーワード」、BCP 14、RFC 2119、1997年3月。
[ANITypes] NANPA Number Resource Info, ANI Assignments, URL: <http://www.nanpa.com/number_resource_info/ ani_ii_assignments.html>
[ANITypes] NANPA番号リソース情報、ANI割り当て、URL:<http://www.nanpa.com/number_resource_info/ ani_ii_assignments.html>
[RADIUSAcct] Rigney, C., "RADIUS Accounting", RFC 2866, June 2000.
[RADIUSAcct]リグニー、C。、「RADIUS Accounting」、RFC 2866、2000年6月。
[RADIUSExt] Rigney, C., Willats, W., and P. Calhoun, "RADIUS Extensions", RFC 2869, June 2000.
[RADIUSExt]リグニー、C。、ウィラット、W。、およびP.カルホーン、「RADIUS拡張」、RFC 2869、2000年6月。
[RADTunnels] Zorn, G., Leifer, D., Rubens, A., Shriver, J., Holdrege, M., and I. Goyret, "RADIUS Attributes for Tunnel Protocol Support", RFC 2868, June 2000.
[RADTunnels] Zorn、G.、Leifer、D.、Rubens、A.、Shriver、J.、Holdrege、M。、およびI. Goyret、「トンネルプロトコルサポートのためのRADIUS属性」、RFC 2868、2000年6月。
[RADTunlAcct] Zorn, G., Aboba, B., and D. Mitton, "RADIUS Accounting Modifications for Tunnel Protocol Support", RFC 2867, June 2000.
[RADTunlAcct] Zorn、G.、Aboba、B。、およびD. Mitton、「トンネルプロトコルサポートのためのRADIUSアカウンティング修正」、RFC 2867、2000年6月。
[RADDynAuth] Chiba, M., Dommety, G., Eklund, M., Mitton, D., and B. Aboba, "Dynamic Authorization Extensions to Remote Authentication Dial In User Service (RADIUS)", RFC 3576, July 2003.
[RADDynAuth] Chiba、M.、Dommety、G.、Eklund、M.、Mitton、D。、およびB. Aboba、「リモート認証ダイヤルインユーザーサービス(RADIUS)への動的許可拡張」、RFC 3576、2003年7月。
[RADIUSIANA] Aboba, B., "IANA Considerations for RADIUS (Remote Authentication Dial In User Service)", RFC 3575, July 2003.
[RADIUSIANA] Aboba、B。、「RADIUS(リモート認証ダイヤルインユーザーサービス)に関するIANAの考慮事項」、RFC 3575、2003年7月。
[NASModel] Mitton, D. and M. Beadles, "Network Access Server Requirements Next Generation (NASREQNG) NAS Model", RFC 2881, July 2000.
[NASModel] Mitton、D。、およびM. Beadles、「ネットワークアクセスサーバー要件次世代(NASREQNG)NASモデル」、RFC 2881、2000年7月。
[NASCriteria] Beadles, M. and D. Mitton, "Criteria for Evaluating Network Access Server Protocols", RFC 3169, September 2001.
[NASCriteria] Beadles、M。およびD. Mitton、「ネットワークアクセスサーバープロトコルの評価基準」、RFC 3169、2001年9月。
[AAACriteria] Aboba, B., Calhoun, P., Glass, S., Hiller, T., McCann, P., Shiino, H., Zorn, G., Dommety, G., Perkins, C., Patil, B., Mitton, D., Manning, S., Beadles, M., Walsh, P., Chen, X., Sivalingham, S., Hameed, A., Munson, M., Jacobs, S., Lim, B., Hirschman, B., Hsu, R., Xu, Y., Campbell, E., Baba, S., and E. Jaques, "Criteria for Evaluating AAA Protocols for Network Access", RFC 2989, November 2000.
[AAACriteria] Aboba、B.、Calhoun、P.、Glass、S.、Hiller、T.、McCann、P.、Shiino、H.、Zorn、G.、Dommety、G.、Perkins、C.、Patil、 B.、Mitton、D.、Manning、S.、Beadles、M.、Walsh、P.、Chen、X.、Sivalingham、S.、Hameed、A.、Munson、M.、Jacobs、S.、Lim、 B.、Hirschman、B.、Hsu、R.、Xu、Y.、Campbell、E.、Baba、S。、およびE.Jaques、「ネットワークアクセスのためのAAAプロトコルを評価するための基準」、RFC 2989、2000年11月
[DiamEAP] Eronen, P., "Diameter EAP Application", Work in Progress, May 2004.
[DiamEAP] Eronen、P。、「Diameter EAP Application」、Work in Progress、2004年5月。
[DiamCMS] Calhoun, P., Bulley, W., and S. Farrell, "Diameter CMS Security Application", Work in Progress, March 2002.
[DiamCMS] Calhoun、P.、Bulley、W。、およびS. Farrell、「Diameter CMS Security Application」、Work in Progress、2002年3月。
[DiamMIP] Calhoun, P., Johansson, T., Perkins, C., Hiller, T., and P. McCann "Diameter Mobile IPv4 Application", RFC 4004, August 2005.
[DiamMIP]カルホーン、P。、ヨハンソン、T。、パーキンス、C。、ヒラー、T。、およびP.マッキャン「直径モバイルIPv4アプリケーション」、RFC 4004、2005年8月。
[VSA] Mitton, D., "Diameter/RADIUS Vendor Specific AVP Translation", Work in Progress, April 2005.
[VSA] Mitton、D。、「Diameter / RADIUS Vendor Specific AVP Translation」、Work in Progress、2005年4月。
[RAD802.1X] Congdon, P., Aboba, B., Smith, A., Zorn, G., and J. Roese, "IEEE 802.1X Remote Authentication Dial In User Service (RADIUS) Usage Guidelines", RFC 3580, September 2003.
[RAD802.1X] Congdon、P.、Aboba、B.、Smith、A.、Zorn、G。、およびJ. Roese、「IEEE 802.1Xリモート認証ダイヤルインユーザーサービス(RADIUS)使用ガイドライン」、RFC 3580、 2003年9月。
[CDMA2000] 3GPP2 "P.S0001-B", Wireless IP Network Standard, October 2002. http://www.3gpp2.com/Public_html/specs/P.S0001- B_v1.0.pdf
[CDMA2000] 3GPP2 "P.S0001-B"、ワイヤレスIPネットワーク標準、2002年10月。http://www.3gpp2.com/Public_html/specs/P.S0001- B_v1.0.pdf
[AppleTalk] Sidhu, Gursharan; Andrews, Richard F. & Oppenheimer, Alan B. "Inside AppleTalk", Second Edition, Apple Computer., 1990
[AppleTalk]シドゥ、グルシャラン。 アンドリュース、リチャードF.&オッペンハイマー、アランB.「Inside AppleTalk」、第2版、Apple Computer、1990年
[ARAP] Apple Remote Access Protocol (ARAP) Version 2.0 External Reference Specification", Apple Computer, September 1994, R0612LL/B
[ARAP] Apple Remote Access Protocol(ARAP)バージョン2.0外部参照仕様」、Apple Computer、1994年9月、R0612LL / B
[IPX] Novell, Inc., "NetWare System Technical Interface Overview", June 1989, # 883-000780-001
[IPX] Novell、Inc。、「NetWare System Technical Interface Overview」、1989年6月、#883-000780-001
[LAT] Local Area Transport (LAT) Specification V5.0, Digital Equipment Corp., AA-NL26A-TE, June 1989
[LAT]ローカルエリアトランスポート(LAT)仕様V5.0、Digital Equipment Corp.、AA-NL26A-TE、1989年6月
[DIFFSERV] Nichols, K., Blake, S., Baker, F., and D. Black, "Definition of the Differentiated Services Field (DS Field) in the IPv4 and IPv6 Headers", RFC 2474, December 1998.
[DIFFSERV]ニコルズ、K。、ブレイク、S。、ベイカー、F。、およびD.ブラック、「IPv4およびIPv6ヘッダーのDiffServフィールド(DSフィールド)の定義」、RFC 2474、1998年12月。
[DIFFSERVAF] Heinanen, J., Baker, F., Weiss, W., and J. Wroclawski, "Assured Forwarding PHB Group", RFC 2597, June 1999.
[DIFFSERVAF] Heinanen、J.、Baker、F.、Weiss、W。、およびJ. Wroclawski、「Assured Forwarding PHB Group」、RFC 2597、1999年6月。
[DIFFSERVEF] Davie, B., Charny, A., Bennet, J.C., Benson, K., Le Boudec, J., Courtney, W., Davari, S., Firoiu, V., and D. Stiliadis, "An Expedited Forwarding PHB (Per-Hop Behavior)", RFC 3246, March 2002.
[DIFFSERVEF]デイビー、B。、チャーニー、A。、ベネット、JC、ベンソン、K。、ルブーデック、J。、コートニー、W。、ダヴァリ、S。、フィロイウ、V.、D。スティリアディス、「An Expedited Forwarding PHB(Per-Hop Behavior)」、RFC 3246、2002年3月。
[UTF-8] Yergeau, F., "UTF-8, a transformation format of ISO 10646", STD 63, RFC 3629, November 2003.
[UTF-8] Yergeau、F。、「UTF-8、ISO 10646の変換フォーマット」、STD 63、RFC 3629、2003年11月。
[ISOLatin] ISO 8859. International Standard -- Information Processing -- 8-bit Single-Byte Coded Graphic Character Sets -- Part 1: Latin Alphabet No. 1, ISO 8859-1:1987. URL: <http://www.iso.ch/cate/d16338.html>
[ISOLatin] ISO8859。国際標準-情報処理-8ビットシングルバイトコード化グラフィック文字セット-パート1:ラテンアルファベットNo. 1、ISO 8859-1:1987。 URL:<http://www.iso.ch/cate/d16338.html>
[PPP] Simpson, W., "The Point-to-Point Protocol (PPP)", STD 51, RFC 1661, July 1994.
[PPP]シンプソン、W。、「ポイントツーポイントプロトコル(PPP)」、STD 51、RFC 1661、1994年7月。
[PAP] Lloyd, B. and W. Simpson, "PPP Authentication Protocols", RFC 1334, October 1992.
[PAP]ロイド、B。およびW.シンプソン、「PPP認証プロトコル」、RFC 1334、1992年10月。
[L2TP] Townsley, W., Valencia, A., Rubens, A., Pall, G., Zorn, G., and B. Palter, "Layer Two Tunneling Protocol "L2TP"", RFC 2661, August 1999.
[L2TP] Townsley、W。、バレンシア、A.、Rubens、A.、Pall、G.、Zorn、G。、およびB. Palter、「Layer Two Tunneling Protocol "L2TP"」、RFC 2661、1999年8月。
[PPPMP] Sklower, K., Lloyd, B., McGregor, G., Carr, D., and T. Coradetti, "The PPP Multilink Protocol (MP)", RFC 1990, August 1996.
[PPPMP] Sklower、K.、Lloyd、B.、McGregor、G.、Carr、D。、およびT. Coradetti、「PPP Multilink Protocol(MP)」、RFC 1990、1996年8月。
[PPTP] Hamzeh, K., Pall, G., Verthein, W., Taarud, J., Little, W., and G. Zorn, "Point-to-Point Tunneling Protocol", RFC 2637, July 1999.
[PPTP] Hamzeh、K.、Pall、G.、Verthein、W.、Taarud、J.、Little、W。、およびG. Zorn、「Point-to-Pointトンネリングプロトコル」、RFC 2637、1999年7月。
[IEEE 802.11F] IEEE, "Trial-Use Recommended Practice for Multi-Vendor Access Point Interoperability via an Inter-Access Point Protocol Across Distribution Systems Supporting IEEE 802.11 Operation", IEEE 802.11F-2003, June 2003.
[IEEE 802.11F] IEEE、「IEEE 802.11動作をサポートする配布システム間でのアクセスポイント間プロトコルを介したマルチベンダーアクセスポイントの相互運用性の試行使用推奨プラクティス」、IEEE 802.11F-2003、2003年6月。
The authors would like to thank Carl Rigney, Allan C. Rubens, William Allen Simpson, and Steve Willens for their work on the original RADIUS [RADIUS], from which many of the concepts in this specification were derived. Thanks, also, to Carl Rigney for [RADIUSAcct] and [RADIUSExt]; Ward Willats for [RADIUSExt]; Glen Zorn, Bernard Aboba, and Dave Mitton for [RADTunlAcct] and [RADIUSIPv6]; and Dory Leifer, John Shriver, Matt Holdrege, and Ignacio Goyret for their work on [RADTunnels]. This document stole text and concepts from both [RADTunnels] and [RADIUSExt]. Thanks go to Carl Williams for providing IPv6-specific text.
著者は、この仕様の概念の多くが由来したオリジナルのRADIUS [RADIUS]に関する彼らの仕事について、Carl Rigney、Allan C. Rubens、William Allen Simpson、およびSteve Willensに感謝します。 また、[RADIUSAcct]と[RADIUSExt]のCarl Rigneyにも感謝します。 [RADIUSExt]のワードウィラット。 [RADTunlAcct]および[RADIUSIPv6]のGlen Zorn、Bernard Aboba、およびDave Mitton。 [RADTunnels]の作業については、Dory Leifer、John Shriver、Matt Holdrege、およびIgnacio Goyretがいます。 このドキュメントは、[RADTunnels]と[RADIUSExt]の両方からテキストと概念を盗みました。 IPv6固有のテキストを提供してくれたCarl Williamsに感謝します。
The authors would also like to acknowledge the following people for their contributions in the development of the Diameter protocol: Bernard Aboba, Jari Arkko, William Bulley, Kuntal Chowdhury, Daniel C. Fox, Lol Grant, Nancy Greene, Jeff Hagg, Peter Heitman, Paul Krumviede, Fergal Ladley, Ryan Moats, Victor Muslin, Kenneth Peirce, Sumit Vakil, John R. Vollbrecht, and Jeff Weisberg.
著者は、Diameterプロトコルの開発における貢献について、次の人々にも感謝します。BernardAboba、Jari Arkko、William Bulley、Kuntal Chowdhury、Daniel C. Fox、Lol Grant、Nancy Greene、Jeff Hagg、Peter Heitman、 ポール・クルムビード、フェルガル・ラドリー、ライアン・モーツ、ビクター・モスリン、ケネス・パース、スミット・バキル、ジョン・R・ボルブレヒト、ジェフ・ワイズバーグ。
Finally, Pat Calhoun would like to thank Sun Microsystems, as most of the effort put into this document was done while he was in their employ.
最後に、Pat CalhounはSun Microsystemsに感謝したいと思います。このドキュメントに費やしたほとんどの努力は彼が雇用されている間に行われたためです。
Authors' Addresses
著者のアドレス
Pat Calhoun Cisco Systems, Inc. 170 West Tasman Drive San Jose, CA 95134 USA
Pat Calhoun Cisco Systems、Inc. 170 West Tasman Drive San Jose、CA 95134 USA
Phone: +1 408-853-5269 EMail: pcalhoun@cisco.com
電話:+1 408-853-5269電子メール:pcalhoun@cisco.com
Glen Zorn Cisco Systems, Inc. 500 108th Avenue N.E., Suite 500 Bellevue, WA 98004 USA
Glen Zorn Cisco Systems、Inc. 500 108th Avenue N.E.、Suite 500 Bellevue、WA 98004 USA
Phone: 1 425-471-4861 EMail: gwz@cisco.com
電話:1 425-471-4861メール:gwz@cisco.com
David Spence 3259 Bluett Rd. Ann Arbor, MI 48105 USA
David Spence 3259 Bluett Rd。 アナーバー、MI 48105 USA
Phone: +1 734 834 6481 EMail: dspence@computer.org
電話:+1 734 834 6481メール:dspence@computer.org
David Mitton Circular Networks 733 Turnpike St #154 North Andover, MA 01845
David Mitton Circular Networks 733 Turnpike St#154 North Andover、MA 01845
EMail: dmitton@circularnetworks.com
メール:dmitton@circularnetworks.com
Full Copyright Statement
完全な著作権表示
Copyright (C) The Internet Society (2005).
著作権(C)インターネット協会(2005)。
This document is subject to the rights, licenses and restrictions contained in BCP 78, and except as set forth therein, the authors retain all their rights.
この文書は、BCP 78に含まれる権利、ライセンス、制限の対象となります。また、そこに記載されている場合を除き、著者はすべての権利を保持します。
This document and the information contained herein are provided on an "AS IS" basis and THE CONTRIBUTOR, THE ORGANIZATION HE/SHE REPRESENTS OR IS SPONSORED BY (IF ANY), THE INTERNET SOCIETY AND THE INTERNET ENGINEERING TASK FORCE DISCLAIM ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
本書および本書に含まれる情報は「現状のまま」提供され、寄稿者、代表者または代表者(もしあれば)、インターネット協会、インターネットエンジニアリングタスクフォースはすべての保証を放棄します 黙示的であるが、ここに記載されている情報の使用が商品性または特定の目的への適合性の黙示的保証を侵害しないという保証に限定されない。
Intellectual Property
知的財産
The IETF takes no position regarding the validity or scope of any Intellectual Property Rights or other rights that might be claimed to pertain to the implementation or use of the technology described in this document or the extent to which any license under such rights might or might not be available; nor does it represent that it has made any independent effort to identify any such rights. Information on the procedures with respect to rights in RFC documents can be found in BCP 78 and BCP 79.
IETFは、本書に記載されている技術の実装または使用に関連すると主張される可能性のある知的財産権またはその他の権利の有効性または範囲、またはそのような権利の下でのライセンスの有無に関して、立場をとりません。 利用可能 また、そのような権利を特定するための独立した努力を行ったことを表すものでもありません。 RFC文書の権利に関する手順に関する情報は、BCP 78およびBCP 79に記載されています。
Copies of IPR disclosures made to the IETF Secretariat and any assurances of licenses to be made available, or the result of an attempt made to obtain a general license or permission for the use of such proprietary rights by implementers or users of this specification can be obtained from the IETF on-line IPR repository at http://www.ietf.org/ipr.
IETF事務局に行われたIPR開示のコピーおよび利用可能になるライセンスの保証、またはこの仕様の実装者またはユーザーによる一般的なライセンスまたはそのような所有権の使用許可の取得を試みた結果を取得できます。 IETFオンラインIPRリポジトリ(http://www.ietf.org/ipr)から。
The IETF invites any interested party to bring to its attention any copyrights, patents or patent applications, or other proprietary rights that may cover technology that may be required to implement this standard. Please address the information to the IETF at ietf-ipr@ietf.org.
IETFは、この標準を実装するために必要な技術を対象とする著作権、特許、特許出願、またはその他の所有権に関心を寄せるよう、あらゆる利害関係者を招待します。 IETFのietf-ipr@ietf.orgに情報を送信してください。
Acknowledgement
謝辞
Funding for the RFC Editor function is currently provided by the Internet Society.
RFC Editor機能の資金は、現在インターネット協会によって提供されています。