Network Working Group D. Nelson
Request for Comments: 5607 Elbrys Networks, Inc.
Category: Standards Track G. Weber
Individual Contributor
July 2009
Remote Authentication Dial-In User Service (RADIUS) Authorization for Network Access Server (NAS) Management
リモート認証ダイヤルインユーザーサービスネットワークアクセスサーバー(NAS)管理用(RADIUS)認証
Abstract
抽象
This document specifies Remote Authentication Dial-In User Service (RADIUS) attributes for authorizing management access to a Network Access Server (NAS). Both local and remote management are supported, with granular access rights and management privileges. Specific provisions are made for remote management via Framed Management protocols and for management access over a secure transport protocol.
この文書では、リモート認証ダイヤルインユーザーサービス(RADIUS)は、ネットワークアクセスサーバ(NAS)への管理アクセスを許可するために属性を指定します。ローカルとリモートの両方の管理きめ細かいアクセス権と管理者権限で、サポートされています。具体的な規定は額縁管理プロトコル経由でセキュアなトランスポートプロトコルを介して管理アクセス用のリモート管理のために作られています。
Status of This Memo
このメモのステータス
This document specifies an Internet standards track protocol for the Internet community, and requests discussion and suggestions for improvements. Please refer to the current edition of the "Internet Official Protocol Standards" (STD 1) for the standardization state and status of this protocol. Distribution of this memo is unlimited.
この文書は、インターネットコミュニティのためのインターネット標準トラックプロトコルを指定し、改善のための議論と提案を要求します。このプロトコルの標準化状態と状態への「インターネット公式プロトコル標準」(STD 1)の最新版を参照してください。このメモの配布は無制限です。
Copyright Notice
著作権表示
Copyright (c) 2009 IETF Trust and the persons identified as the document authors. All rights reserved.
著作権(C)2009 IETF信託とドキュメントの作成者として特定の人物。全著作権所有。
This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents in effect on the date of publication of this document (http://trustee.ietf.org/license-info). Please review these documents carefully, as they describe your rights and restrictions with respect to this document.
この文書では、BCP 78と、この文書(http://trustee.ietf.org/license-info)の発行日に有効なIETFドキュメントに関連IETFトラストの法律の規定に従うものとします。彼らは、この文書に関してあなたの権利と制限を説明するように、慎重にこれらの文書を確認してください。
This document may contain material from IETF Documents or IETF Contributions published or made publicly available before November 10, 2008. The person(s) controlling the copyright in some of this material may not have granted the IETF Trust the right to allow modifications of such material outside the IETF Standards Process. Without obtaining an adequate license from the person(s) controlling the copyright in such materials, this document may not be modified outside the IETF Standards Process, and derivative works of it may not be created outside the IETF Standards Process, except to format it for publication as an RFC or to translate it into languages other than English.
この材料の一部がIETFトラストにこのような材料の変更を許可する権利を与えられていない可能性がありますにこの文書は、2008年、IETFドキュメントまたは11月10日以前に発行または公開さIETF貢献から著作権を支配する者(複数可)材料を含んでいてもよいですIETF標準化プロセスの外。そのような材料の著作権を管理者(単数または複数)から適切なライセンスを取得することなく、この文書は、IETF標準化過程の外側修正されないかもしれません、そして、それの派生物は、IETF標準化過程の外側に作成されない場合があり、それをフォーマットする以外出版RFCとして、英語以外の言語に翻訳します。
Table of Contents
目次
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . 3
2. Terminology . . . . . . . . . . . . . . . . . . . . . . . . . 4
3. Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
4. Domain of Applicability . . . . . . . . . . . . . . . . . . . 5
5. New Values for Existing RADIUS Attributes . . . . . . . . . . 6
5.1. Service-Type . . . . . . . . . . . . . . . . . . . . . . .6
6. New RADIUS Attributes . . . . . . . . . . . . . . . . . . . . 6
6.1. Framed-Management-Protocol . . . . . . . . . . . . . . . . 6
6.2. Management-Transport-Protection . . . . . . . . . . . . . 9
6.3. Management-Policy-Id . . . . . . . . . . . . . . . . . . . 11
6.4. Management-Privilege-Level . . . . . . . . . . . . . . . . 13
7. Use with Dynamic Authorization . . . . . . . . . . . . . . . . 15
8. Examples of Attribute Groupings . . . . . . . . . . . . . . . 15
9. Diameter Translation Considerations . . . . . . . . . . . . . 17
10. Table of Attributes . . . . . . . . . . . . . . . . . . . . . 18
11. IANA Considerations . . . . . . . . . . . . . . . . . . . . . 19
12. Security Considerations . . . . . . . . . . . . . . . . . . . 20
12.1. General Considerations . . . . . . . . . . . . . . . . . . 20
12.2. RADIUS Proxy Operation Considerations . . . . . . . . . . 22
13. Acknowledgments . . . . . . . . . . . . . . . . . . . . . . . 23
14. References . . . . . . . . . . . . . . . . . . . . . . . . . . 23
14.1. Normative References . . . . . . . . . . . . . . . . . . . 23
14.2. Informative References . . . . . . . . . . . . . . . . . . 23
RFC 2865 [RFC2865] defines the NAS-Prompt (7) and Administrative (6) values of the Service-Type (6) Attribute. Both of these values provide access to the interactive, text-based Command Line Interface (CLI) of the NAS, and were originally developed to control access to the physical console port of the NAS, most often a serial port.
RFC 2865 [RFC2865]は(7)NAS-プロンプトを定義し、管理サービスタイプの(6)の値(6)属性。これらの値の両方は、NASのインタラクティブ、テキストベースのコマンドラインインタフェース(CLI)へのアクセスを提供し、もともとNASの物理的なコンソールポート、ほとんどの場合、シリアルポートへのアクセスを制御するために開発されました。
Remote access to the CLI of the NAS has been available in NAS implementations for many years, using protocols such as Telnet, Rlogin, and the remote terminal service of the Secure SHell (SSH). In order to distinguish local, physical, console access from remote access, the NAS-Port-Type (61) Attribute is generally included in Access-Request and Access-Accept messages, along with the Service-Type (6) Attribute, to indicate the form of access. A NAS-Port-Type (61) Attribute with a value of Async (0) is used to signify a local serial port connection, while a value of Virtual (5) is used to signify a remote connection, via a remote terminal protocol. This usage provides no selectivity among the various available remote terminal protocols (e.g., Telnet, Rlogin, SSH, etc.).
NASのCLIへのリモートアクセスは、Telnetやrloginの、およびセキュアシェル(SSH)のリモートターミナルサービスなどのプロトコルを使用して、長年にわたってNASの実装に利用されています。リモートアクセスからローカル、物理的、コンソールアクセスを区別するために、NASポート型(61)項目は、一般的にアクセス要求及びアクセス承諾を示すために、サービスタイプ(6)項目と共に、メッセージに含まれていますアクセスのフォーム。 (0)は、ローカルシリアルポート接続を意味するために使用される非同期の値を持つNASポート型(61)項目、仮想の値一方(5)は、リモート端末プロトコルを介して、リモート接続を意味するために使用されます。この用法は、様々な利用可能なリモート端末プロトコル(例えば、のTelnet、rloginの、SSHなど)の間には選択性を提供しません。
Today, it is common for network devices to support more than the two privilege levels for management access provided by the Service-Type (6) Attribute with values of NAS-Prompt (7) (non-privileged) and Administrative (6) (privileged). Also, other management mechanisms may be used, such as Web-based management, the Simple Network Management Protocol (SNMP), and the Network Configuration Protocol (NETCONF). To provide support for these additional features, this specification defines attributes for Framed Management protocols, management protocol security, and management access privilege levels.
今日では、ネットワークデバイスは、NAS-プロンプト(7)(非特権)と管理(6)(特権の値とサービスタイプ(6)属性が提供する管理アクセス用の2つの権限レベル以上をサポートすることは一般的です)。また、他の管理メカニズムは、そのようなWebベースの管理として、簡易ネットワーク管理プロトコル(SNMP)、およびネットワーク構成プロトコル(NETCONF)を使用することができます。これらの追加機能のためのサポートを提供するために、この仕様は額縁管理プロトコル、管理プロトコル、セキュリティ、および管理アクセス特権レベルの属性を定義します。
Remote management via the command line is carried over protocols such as Telnet, Rlogin, and the remote terminal service of SSH. Since these protocols are primarily for the delivery of terminal or terminal emulation services, the term "Framed Management" is used to describe management protocols supporting techniques other than the command line. Typically, these mechanisms format management information in a binary or textual encoding such as HTML, XML, or ASN.1/BER. Examples include Web-based management (HTML over HTTP or HTTPS), NETCONF (XML over SSH or BEEP or SOAP), and SNMP (SMI over ASN.1/BER). Command line interface, menu interface, or other text-based (e.g., ASCII or UTF-8) terminal emulation services are not considered to be Framed Management protocols.
コマンドラインを介して遠隔管理は、Telnetを、rloginの、およびSSHのリモート端末サービスなどのプロトコルを介して搬送されます。これらのプロトコルは、端末または端末エミュレーション・サービスの提供のために主にしているので、用語「額縁の管理は、」コマンドライン以外の技術をサポートする管理プロトコルを記述するために使用されます。典型的には、このようなHTML、XML、またはASN.1 / BERなどのバイナリまたはテキスト符号化におけるこれらのメカニズムのフォーマット管理情報。例としては、Webベースの管理(HTMLオーバーHTTPまたはHTTPS)、NETCONF(SSHまたはBEEPまたはSOAP経由XML)、およびSNMP(ASN.1 / BERを超えるSMI)が含まれます。コマンドラインインターフェース、メニューインタフェース、または他のテキストベース(例えば、ASCIIまたはUTF-8)ターミナルエミュレーションサービスは、管理プロトコルに入れることとはみなされません。
The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in RFC 2119 [RFC2119].
この文書のキーワード "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", および "OPTIONAL" はRFC 2119 [RFC2119]に記載されているように解釈されます。
This document uses terminology from RFC 2865 [RFC2865], RFC 2866 [RFC2866], and RFC 5176 [RFC5176].
この文書は、RFC 2865 [RFC2865]、RFC 2866 [RFC2866]から用語を使用して、RFC 5176 [RFC5176]。
The term "integrity protection", as used in this document, is *not* the same as "authentication", as used in SNMP. Integrity protection requires the sharing of cryptographic keys, but it does not require authenticated principals. Integrity protection could be used, for example, with anonymous Diffie-Hellman key agreement. In SNMP, the proof of identity of the principals (authentication) is conflated with tamper-resistance of the protected messages (integrity). In this document, we assume that integrity protection and authentication are separate concerns. Authentication is part of the base RADIUS protocol.
この文書で使用される用語「完全性保護」は、SNMPで使用されるように、* *「認証」と同じではありません。完全性保護は、暗号鍵の共有が必要ですが、それは、認証プリンシパルを必要としません。完全性保護は、匿名のDiffie-Hellman鍵合意で、例えば、使用することができます。 SNMPでは、プリンシパル(認証)の身元の証明が保護されたメッセージの耐タンパ性(整合性)と融合しています。この文書では、我々は、完全性保護と認証が別々の関心事であることを前提としています。認証は、ベースRADIUSプロトコルの一部です。
SNMP uses the terms "auth" and "noAuth", as well as "priv" and "noPriv". There is no analog to auth or noAuth in this document. In this document, we are assuming that authentication always occurs when it is required, i.e., as a prerequisite to provisioning of access via an Access-Accept packet.
SNMPは、用語「認証」と「NOAUTH」のほか、「PRIV」と「NOPRIV」を使用しています。この文書にはのauthするアナログまたはNOAUTHはありません。この文書では、我々はそれが必要なときは常に、接続許可パケットを介したアクセスのプロビジョニングするための前提条件として、すなわち、発生する認証を想定しています。
To support the authorization and provisioning of Framed Management access to managed entities, this document introduces a new value for the Service-Type (6) Attribute [RFC2865] and one new attribute. The new value for the Service-Type (6) Attribute is Framed-Management (18), used for remote device management via a Framed Management protocol. The new attribute is Framed-Management-Protocol (133), the value of which specifies a particular protocol for use in the remote management session.
管理対象エンティティに額縁管理アクセスの認証とプロビジョニングをサポートするために、このドキュメントは、サービスタイプ(6)属性[RFC2865]と1つの新しい属性の新しい値を導入しています。サービスタイプの新しい値が(6)属性は、(18)マネジメント入れる入り管理プロトコルを介して遠隔デバイス管理のために使用されます。新しい属性が入り・マネージメント・プロトコル(133)、リモート管理セッションで使用するための特定のプロトコルを指定する値です。
Two new attributes are introduced in this document in support of granular management access rights or command privilege levels. The Management-Policy-Id (135) Attribute provides a text string specifying a policy name of local scope, that is assumed to have been pre-provisioned on the NAS. This use of an attribute to specify use of a pre-provisioned policy is similar to the Filter-Id (11) Attribute defined in [RFC2865] Section 5.11.
2つの新しい属性は、粒状の管理アクセス権またはコマンド特権レベルのサポートにこのドキュメントで紹介されています。経営・政策-ID(135)属性NAS上で事前にプロビジョニングされていると想定されるローカルスコープのポリシー名を指定するテキスト文字列を、提供します。事前プロビジョニングポリシーの使用を指定する属性の使用は[RFC2865]セクション5.11に定義したフィルタ-ID(11)項目と同様です。
The local application of the Management-Policy-Id (135) Attribute within the managed entity may take the form of (a) one of an enumeration of command privilege levels, (b) a mapping into an SNMP
管理エンティティ内の経営・政策-ID(135)属性のローカルアプリケーションは、コマンド特権レベルの列挙の(a)1種の形態をとることができる、SNMPに(b)のマッピング
Access Control Model, such as the View-Based Access Control Model (VACM) [RFC3415], or (c) some other set of management access policy rules that is mutually understood by the managed entity and the remote management application. Examples are given in Section 8.
そのようなビューベースアクセス制御モデル(VACM)[RFC3415]、または(c)相互に管理されたエンティティとリモート管理アプリケーションによって理解されている管理アクセスポリシールールのいくつかの他のセットのようなアクセス制御モデル、。例は、セクション8に記載されています。
The Management-Privilege-Level (136) Attribute contains an integer-valued management privilege level indication. This attribute serves to modify or augment the management permissions provided by the NAS-Prompt (7) value of the Service-Type (6) Attribute, and thus applies to CLI management.
管理特権レベル(136)属性は、整数値の管理権限レベルの表示を含みます。この属性は、サービスタイプ(6)項目のNAS-プロンプト(7)値によって提供される管理権限を変更または増強するのに役立つので、CLI管理に適用されます。
To enable management security requirements to be specified, the Management-Transport-Protection (134) Attribute is introduced. The value of this attribute indicates the minimum level of secure transport protocol protection required for the provisioning of NAS-Prompt (7), Administrative (6), or Framed-Management (18) service.
指定する管理セキュリティ要件を有効にするには、管理・輸送・保護(134)属性が導入されます。この属性の値は、NAS-プロンプト(7)、管理(6)、または入れるマネージメント(18)サービスのプロビジョニングに必要な安全な伝送プロトコル保護の最低レベルを示します。
Most of the RADIUS attributes defined in this document have broad applicability for provisioning local and remote management access to NAS devices. However, those attributes that provision remote access over Framed Management protocols and over secure transports have special considerations. This document does not specify the details of the integration of these protocols with a RADIUS client in the NAS implementation. However, there are functional requirements for correct application of Framed Management protocols and/or secure transport protocols that will limit the selection of such protocols that can be considered for use with RADIUS. Since the RADIUS user credentials are typically obtained by the RADIUS client from the secure transport protocol server or the Framed Management protocol server, the protocol, and its implementation in the NAS, MUST support forms of credentials that are compatible with the authentication methods supported by RADIUS.
この文書で定義されたRADIUS属性のほとんどは、NASデバイスへのローカルおよびリモート管理アクセスをプロビジョニングするための広範な適用性を持っています。しかし、それらの属性額縁管理プロトコル経由でセキュアなトランスポート上で当該規定のリモートアクセスには特別な配慮を持っています。この文書では、NASの実装ではRADIUSクライアントとこれらのプロトコルの統合の詳細を指定しません。しかし、RADIUSで使用するために考慮することができるようなプロトコルの選択を制限します額縁管理プロトコルおよび/またはセキュアなトランスポートプロトコルの正しい適用のための機能要件があります。 RADIUSユーザー資格情報は、典型的には、安全な伝送プロトコルサーバまたは入れる管理プロトコルサーバ、プロトコル、およびNASでの実装からRADIUSクライアントによって得られるので、RADIUSによってサポートされる認証方法と互換性のある資格情報の形式をサポートしなければなりません。
RADIUS currently supports the following user authentication methods, although others may be added in the future:
他の人が将来的に添加してもよいが、RADIUSは現在、次のユーザ認証方式をサポートしています。
o Password - RFC 2865
Oパスワード - RFC 2865
o CHAP (Challenge Handshake Authentication Protocol) - RFC 2865
入出力CHAP(チャレンジハンドシェイク認証プロトコル) - RFC 2865
o ARAP (Apple Remote Access Protocol) - RFC 2869
OのARAP(アップルリモートアクセスプロトコル) - RFC 2869
o EAP (Extensible Authentication Protocol) - RFC 2869, RFC 3579
RFC 2869、RFC 3579 - EAP(拡張認証プロトコル)O-
o HTTP Digest - RFC 5090
RFC 5090 - HTTPダイジェストO
The remote management protocols selected for use with the RADIUS remote NAS management sessions, for example, those described in Section 6.1, and the secure transport protocols selected to meet the protection requirements, as described in Section 6.2, obviously need to support user authentication methods that are compatible with those that exist in RADIUS. The RADIUS authentication methods most likely usable with these protocols are Password, CHAP, and possibly HTTP Digest, with Password being the distinct common denominator. There are many secure transports that support other, more robust, authentication mechanisms, such as public key. RADIUS has no support for public key authentication, except within the context of an EAP Method. The applicability statement for EAP indicates that it is not intended for use as an application-layer authentication mechanism, so its use with the mechanisms described in this document is NOT RECOMMENDED. In some cases, Password may be the only compatible RADIUS authentication method available.
RADIUSリモートNASの管理セッションで使用するために選択されたリモート管理プロトコルは、例えば、セクション6.1、および6.2節で説明したように、保護要件を満たすように選択されたセキュアなトランスポートプロトコルに記載されているものは、明らかにそのユーザの認証方法をサポートする必要がありますRADIUSに存在するものと互換性があります。最も可能性の高い使用可能なこれらのプロトコルとRADIUS認証方法は、パスワードが明確な共通分母であることで、パスワード、CHAP、およびおそらくHTTPダイジェストです。公開鍵などの他、より強固な認証メカニズムをサポートする多くのセキュアなトランスポートがあります。 RADIUSは、EAPメソッドのコンテキスト内を除き、公開鍵認証をサポートしていません。 EAPのための適用性ステートメントは、それはアプリケーション層の認証メカニズムとして使用するために意図されていないことを示しているので、この文書で説明したメカニズムとその使用は推奨されません。いくつかのケースでは、パスワードは、利用可能な唯一の互換性のRADIUS認証方法であってもよいです。
The Service-Type (6) Attribute is defined in Section 5.6 of RFC 2865 [RFC2865]. This document defines a new value of the Service-Type Attribute, as follows:
(6)項目サービスタイプは、RFC 2865 [RFC2865]のセクション5.6で定義されています。次のようにこの文書では、service-type属性の新しい値を定義します。
18 Framed-Management
18フレームを選ぶ-管理
The semantics of the Framed-Management service are as follows:
次のように額縁-Managementサービスの意味は以下のとおりです。
Framed-Management A Framed Management protocol session should be started on the NAS.
フレームを選ぶ-管理A額縁管理プロトコルセッションは、NAS上で開始する必要があります。
This document defines four new RADIUS attributes related to management authorization.
この文書では、管理の権限に関連する4つの新しいRADIUS属性を定義します。
The Framed-Management-Protocol (133) Attribute indicates the application-layer management protocol to be used for Framed Management access. It MAY be used in both Access-Request and Access-Accept packets. This attribute is used in conjunction with a Service-Type (6) Attribute with the value of Framed-Management (18).
額縁・マネージメント・プロトコル(133)属性入り管理アクセスのために使用されるアプリケーション層管理プロトコルを示します。これは、アクセス要求とアクセス - 受け入れパケットの両方で使用されるかもしれません。この属性は、額縁・マネージメント(18)の値とサービスタイプ(6)属性と組み合わせて使用されます。
It is RECOMMENDED that the NAS include an appropriately valued Framed-Management-Protocol (133) Attribute in an Access-Request packet, indicating the type of management access being requested. It is further RECOMMENDED that the NAS include a Service-Type (6) Attribute with the value Framed-Management (18) in the same Access-Request packet. The RADIUS server MAY use these attributes as a hint in making its authorization decision.
NASが適切に評価さ入れる・マネージメント・プロトコル要求されている管理アクセスのタイプを示すアクセス要求パケット内の(133)属性を含むことが推奨されます。さらに、NASは、同じアクセス要求パケット内の値入れるマネージメント(18)とサービスタイプ(6)属性を含めることが推奨されます。 RADIUSサーバは、その承認決定を行う際にヒントとしてこれらの属性を使用するかもしれません。
The RADIUS server MAY include a Framed-Management-Protocol (133) Attribute in an Access-Accept packet that also includes a Service-Type (6) Attribute with a value of Framed-Management (18), when the RADIUS server chooses to enforce a management access policy for the authenticated user that dictates one form of management access in preference to others.
RADIUSサーバは、RADIUSサーバが強制することを選択したサービスタイプ入れるマネージメント(18)の値と(6)属性を含むアクセス受諾パケットに入れる・マネージメント・プロトコル(133)属性を含むかもしれ他に優先して管理アクセスの一形態を指示する認証されたユーザの管理アクセスポリシー。
When a NAS receives a Framed-Management-Protocol (133) Attribute in an Access-Accept packet, it MUST deliver that specified form of management access or disconnect the session. If the NAS does not support the provisioned management application-layer protocol, or the management access protocol requested by the user does not match that of the Framed-Management-Protocol (133) Attribute in the Access-Accept packet, the NAS MUST treat the Access-Accept packet as if it had been an Access-Reject.
NASは、Access-受け入れパケット内のフレームを選ぶ-管理・プロトコル(133)属性を受信すると、管理アクセスの指定されたフォームを提供するか、セッションを切断しなければなりません。 NASは、プロビジョニング管理アプリケーション層のプロトコル、またはアクセス・受け入れパケット内のフレームを選ぶ-管理・プロトコル(133)属性のものと一致していないユーザーによって要求された管理アクセスプロトコルをサポートしていない場合、NASは扱わなければなりませんそれがアクセス拒否されていたかのようにパケットをアクセスは、受け入れます。
A summary of the Framed-Management-Protocol (133) Attribute format is shown below. The fields are transmitted from left to right.
額縁・マネージメント・プロトコル(133)は、属性のフォーマットの概要は以下に示されています。フィールドは左から右に送信されます。
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Type | Length | Value
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Value (cont) |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Type
タイプ
133 for Framed-Management-Protocol.
額縁・マネージメント・プロトコルのための133。
Length
長さ
6
6
Value
値
The Value field is a four-octet enumerated value.
値フィールドは4オクテットの列挙値です。
1 SNMP 2 Web-based 3 NETCONF 4 FTP 5 TFTP 6 SFTP 7 RCP 8 SCP
1つのSNMP 2ウェブベース3 NETCONF 4 FTP 5 TFTP 6 SFTP 7 RCP 8 SCP
All other values are reserved for IANA allocation subject to the provisions of Section 11.
他のすべての値は、セクション11の規定にIANA割り当て対象のために予約されています。
The acronyms used in the above table expand as follows:
次のように上の表で使用される略語は、展開します。
o SNMP: Simple Network Management Protocol [RFC3411], [RFC3412], [RFC3413], [RFC3414], [RFC3415], [RFC3416], [RFC3417], [RFC3418].
O SNMP:簡易ネットワーク管理プロトコル[RFC3411]、[RFC3412]、[RFC3413]、[RFC3414]、[RFC3415]、[RFC3416]、[RFC3417]、[RFC3418]。
o Web-based: Use of an embedded web server in the NAS for management via a generic web browser client. The interface presented to the administrator may be graphical, tabular, or textual. The protocol is HTML over HTTP. The protocol may optionally be HTML over HTTPS, i.e., using HTTP over TLS [HTML] [RFC2616].
O Webベース:一般的なWebブラウザクライアントを介した管理のためのNASの内蔵Webサーバーの使用。管理者に提示インタフェースは、グラフィカル、表形式、またはテキストかもしれません。プロトコルはHTTP経由HTMLです。プロトコルは、必要に応じてTLS [HTML] [RFC2616]の上にHTTPを使用して、すなわち、HTTPS上にHTMLであってもよいです。
o NETCONF: Management via the NETCONF protocol using XML over supported transports (e.g., SSH, BEEP, SOAP). As secure transport profiles are defined for NETCONF, the list of transport options may expand [RFC4741], [RFC4742], [RFC4743], [RFC4744].
O NETCONF:サポートされているトランスポート(例えば、SSH、BEEP、SOAP)を介してXMLを使用して、NETCONFプロトコルを介して管理。セキュアなトランスポート・プロファイルがNETCONFのために定義されているとおり、輸送オプションのリストは、[RFC4741]、[RFC4742]、[RFC4743]、[RFC4744]を展開することがあります。
o FTP: File Transfer Protocol, used to transfer configuration files to and from the NAS [RFC0959].
O FTP:にし、NAS [RFC0959]から設定ファイルを転送するために使用されるファイル転送プロトコル、。
o TFTP: Trivial File Transfer Protocol, used to transfer configuration files to and from the NAS [RFC1350].
OのTFTP:トリビアルファイル転送プロトコルは、NAS [RFC1350]にしてから設定ファイルを転送するために使用されます。
o SFTP: SSH File Transfer Protocol, used to securely transfer configuration files to and from the NAS. SFTP uses the services of SSH [SFTP]. See also Section 3.7, "SSH and File Transfers" of [SSH]. Additional information on the "sftp" program may typically be found in the online documentation ("man" pages) of Unix systems.
O SFTP:SSHファイル転送プロトコルは、安全にNASへとから設定ファイルを転送するために使用されます。 SFTPはSSH [SFTP]のサービスを使用しています。また、[SSH]の第3.7項「SSHおよびファイル転送」を参照してください。 「SFTP」プログラムに関する追加情報は、典型的には、Unixシステムのオンラインドキュメント(「男性」ページ)で見ることができます。
o RCP: Remote CoPy file copy utility (Unix-based), used to transfer configuration files to and from the NAS. See Section 3.7, "SSH and File Transfers", of [SSH]. Additional information on the "rcp" program may typically be found in the online documentation ("man" pages) of Unix systems.
O RCP:リモートコピーのファイルコピーユーティリティは、(Unixベース)、NASへとから設定ファイルを転送するために使用されます。 [SSH]のセクション3.7、 "SSHおよびファイル転送" を参照してください。 「RCP」プログラムに関する追加情報は、典型的には、Unixシステムのオンラインドキュメント(「男性」ページ)で見ることができます。
o SCP: Secure CoPy file copy utility (Unix-based), used to transfer configuration files to and from the NAS. The "scp" program is a simple wrapper around SSH. It's basically a patched BSD Unix "rcp", which uses ssh to do the data transfer (instead of using "rcmd"). See Section 3.7, "SSH and File Transfers", of [SSH]. Additional information on the "scp" program may typically be found in the online documentation ("man" pages) of Unix systems.
O SCP:セキュアコピーファイルコピーユーティリティは、(Unixベース)、NASへとから設定ファイルを転送するために使用されます。 「SCP」プログラムは、SSHの周りに単純なラッパーです。これは、(代わりに「RCMD」を使用しての)データ転送を行うためにSSHを使用した、基本的にパッチを適用BSD Unixの「RCP」です。 [SSH]のセクション3.7、 "SSHおよびファイル転送" を参照してください。 「SCP」プログラムに関する追加情報は、典型的には、Unixシステムのオンラインドキュメント(「男性」ページ)で見ることができます。
The Management-Transport-Protection (134) Attribute specifies the minimum level of protection that is required for a protected transport used with the Framed or non-Framed Management access session. The protected transport used by the NAS MAY provide a greater level of protection, but MUST NOT provide a lower level of protection.
管理・輸送・保護(134)属性は、額縁または非フレームを選ぶ管理アクセスセッションで使用する保護された輸送のために必要とされる保護の最低レベルを指定します。 NASで使用される保護の輸送は、保護のより高いレベルを提供することができるが、防御の低いレベルを提供してはなりません。
When a secure form of non-Framed Management access is specified, it means that the remote terminal session is encapsulated in some form of protected transport, or tunnel. It may also mean that an explicit secure mode of operation is required, when the Framed Management protocol contains an intrinsic secure mode of operation. The Management-Transport-Protection (134) Attribute does not apply to CLI access via a local serial port, or other non-remote connection.
非入れる管理アクセスの安全な形式を指定する場合は、リモート端末セッションが保護されたトランスポート、またはトンネルの何らかの形で封入されていることを意味します。また、額縁管理プロトコルが操作の本質的な安全モードが含まれている場合の動作を明示的に安全なモードは、必要とされることを意味します。管理・輸送・保護(134)属性は、ローカルシリアルポート、または他の非リモート接続を介してCLIへのアクセスには適用されません。
When a secure form of Framed Management access is specified, it means that the application-layer management protocol is encapsulated in some form of protected transport, or tunnel. It may also mean that an explicit secure mode of operation is required, when the Framed Management protocol contains an intrinsic secure mode of operation.
入り管理アクセスの安全な形式を指定する場合は、アプリケーション層管理プロトコルは、いくつかの保護された輸送の形態、またはトンネルにカプセル化されることを意味します。また、額縁管理プロトコルが操作の本質的な安全モードが含まれている場合の動作を明示的に安全なモードは、必要とされることを意味します。
A value of "No Protection (1)" indicates that a secure transport protocol is not required, and that the NAS SHOULD accept a connection over any transport associated with the application-layer management protocol. The definitions of management application to transport bindings are defined in the relevant documents that specify those management application protocols. The same "No Protection" semantics are conveyed by omitting this attribute from an Access-Accept packet.
値が「いいえ保護は、(1)」安全なトランスポートプロトコルが必要とされないことを示し、NASは、アプリケーション層管理プロトコルに関連した任意のトランスポート上の接続を受け入れる必要があること。バインディングを輸送する管理アプリケーションの定義は、それらの管理アプリケーションプロトコルを指定し、関連するドキュメントで定義されています。同じ「保護なし」のセマンティクスが、接続許可パケットから、この属性を省略して搬送されます。
Specific protected transport protocols, cipher suites, key agreement methods, or authentication methods are not specified by this attribute. Such provisioning is beyond the scope of this document.
具体的な保護されたトランスポートプロトコル、暗号スイート、キー合意方式、または認証方法は、この属性で指定されていません。このようなプロビジョニングは、このドキュメントの範囲を超えています。
It is RECOMMENDED that the NAS include an appropriately valued Management-Transport-Protection (134) Attribute in an Access-Request packet, indicating the level of transport protection for the management access being requested, when that information is available to the RADIUS client. The RADIUS server MAY use this attribute as a hint in making its authorization decision.
NASは、その情報がRADIUSクライアントに利用可能になったとき、要求されている管理アクセスのための輸送保護のレベルを示す、アクセス要求パケットで適切に評価さマネージメント・トランスポート保護(134)属性を含めることをお勧めします。 RADIUSサーバは、その承認決定を行う際にヒントとして、この属性を使用するかもしれません。
The RADIUS server MAY include a Management-Transport-Protection (134) Attribute in an Access-Accept packet that also includes a Service-Type (6) Attribute with a value of Framed-Management (18), when the RADIUS server chooses to enforce a management access security policy for the authenticated user that dictates a minimum level of transport security.
RADIUSサーバは、RADIUSサーバが強制することを選択したサービスタイプ入れるマネージメント(18)の値と(6)属性を含むアクセス受諾パケットのマネジメント・トランスポート・プロテクション(134)属性を含むかもしれトランスポート・セキュリティの最小レベルを規定する認証されたユーザの管理アクセスセキュリティポリシー。
When a NAS receives a Management-Transport-Protection (134) Attribute in an Access-Accept packet, it MUST deliver the management access over a transport with equal or better protection characteristics or disconnect the session. If the NAS does not support protected management transport protocols, or the level of protection available does not match that of the Management-Transport-Protection (134) Attribute in the Access-Accept packet, the NAS MUST treat the response packet as if it had been an Access-Reject.
NASは、Access-受け入れパケット内の管理・輸送・保護(134)属性を受信すると、同等以上の保護特性を持つトランスポートを介して管理アクセスを提供するか、セッションを切断しなければなりません。 NASは、保護管理トランスポートプロトコルをサポートしていない、または利用可能な保護のレベルはアクセス-受け入れパケット内の管理・輸送・保護(134)の属性と一致しない、それが持っていたかのように、NASは、応答パケットを処理しなければならない場合してアクセス拒否。
A summary of the Management-Transport-Protection (134) Attribute format is shown below. The fields are transmitted from left to right.
マネジメント・トランスポート・プロテクション(134)は、属性のフォーマットの概要は以下に示されています。フィールドは左から右に送信されます。
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Type | Length | Value
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Value (cont) |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Type
タイプ
134 for Management-Transport-Protection.
管理・輸送・保護のための134。
Length
長さ
6
6
Value
値
The Value field is a four-octet enumerated value.
値フィールドは4オクテットの列挙値です。
1 No-Protection 2 Integrity-Protection 3 Integrity-Confidentiality-Protection
1無保護2整合性 - 保護3整合性、機密性、保護
All other values are reserved for IANA allocation subject to the provisions of Section 11.
他のすべての値は、セクション11の規定にIANA割り当て対象のために予約されています。
The names used in the above table are elaborated as follows:
次のように上記の表で使用される名前は詳述されています。
o No-Protection: No transport protection is required. Accept connections via any supported transport.
無保護○:トランスポート保護は必要ありません。すべてのサポートされているトランスポートを介した接続を受け入れます。
o Integrity-Protection: The management transport MUST provide Integrity Protection, i.e., protection from unauthorized modification, using a cryptographic checksum.
O整合-保護:管理輸送は、暗号チェックサムを使用して、すなわち完全性保護、不正改変からの保護を提供しなければなりません。
o Integrity-Confidentiality-Protection: The management transport MUST provide both Integrity Protection and Confidentiality Protection, i.e., protection from unauthorized modification, using a cryptographic checksum, and protection from unauthorized disclosure, using encryption.
O整合-機密-保護:管理輸送が完全性保護及び暗号化を使用して、不正な開示から機密性保護、即ち、不正な変更から保護、暗号チェックサムを使用して、保護の両方を提供しなければなりません。
The configuration or negotiation of acceptable algorithms, modes, and credentials for the cryptographic protection mechanisms used in implementing protected management transports is outside the scope of this document. Many such mechanisms have standardized methods of configuration and key management.
保護管理トランスポートを実施する際に使用される暗号保護機構のために許容されるアルゴリズム、モード、および資格情報の構成やネゴシエーションは、この文書の範囲外です。多くのこのようなメカニズムには、構成と鍵管理の方法を標準化してきました。
The Management-Policy-Id (135) Attribute indicates the name of the management access policy for this user. Zero or one Management-Policy-Id (135) Attributes MAY be sent in an Access-Accept packet. Identifying a policy by name allows the policy to be used on different NASes without regard to implementation details.
経営・政策-ID(135)属性このユーザーの管理アクセスポリシーの名前を示します。ゼロまたは1つの管理・ポリシー-ID(135)は、接続許可パケットで送信することができる属性。名前でポリシーを識別することは、ポリシーが実装の詳細に関係なく、別のNASで使用することができます。
Multiple forms of management access rules may be expressed by the underlying named policy, the definition of which is beyond the scope of this document. The management access policy MAY be applied contextually, based on the nature of the management access method. For example, some named policies may only be valid for application to NAS-Prompt (7) services and some other policies may only be valid for SNMP.
管理アクセスルールの複数の形態は、本文書の範囲外で定義そのうち、基礎となるというポリシーで表すことができます。管理アクセスポリシーは、管理アクセス方法の性質に基づいて、文脈的に適用することもできます。例えば、いくつかの名前のポリシーは、のみのみSNMPのために有効であるNAS-プロンプト(7)サービスや他のいくつかの政策への適用のために有効です。
The management access policy named in this attribute, received in an Access-Accept packet, MUST be applied to the session authorized by the Access-Accept. If the NAS supports this attribute, but the policy name is unknown, or if the RADIUS client is able to determine that the policy rules are incorrectly formatted, the NAS MUST treat the Access-Accept packet as if it had been an Access-Reject.
アクセス - 受け入れパケットで受信し、この属性で指定された管理アクセスポリシーは、アクセス・受け入れが許可したセッションに適用されなければなりません。 NASは、この属性をサポートしていますが、ポリシー名が不明である、またはRADIUSクライアントはポリシールールが正しくフォーマットされていることを決定することができる場合ならば、アクセス拒否されていたかのように、NASは、接続許可パケットを扱わなければなりません。
No precedence relationship is defined for multiple occurrences of the Management-Policy-Id (135) Attribute. NAS behavior in such cases is undefined. Therefore, two or more occurrences of this attribute SHOULD NOT be included in an Access-Accept or CoA-Request (Change-of-Authorization). In the absence of further specification defining some sort of precedence relationship, it is not possible to guarantee multi-vendor interoperability when using multiple instances of this attribute in a single Access-Accept or CoA-Request packet.
いかなる優先順位の関係が管理・ポリシー-ID(135)属性の複数の発生のために定義されていません。このような場合のNASの動作は未定義です。したがって、この属性の2つの以上の発生は、接続許可またはCoAのリクエスト(チェンジ・オブ・認証)に含まれるべきではありません。優先順位の関係のいくつかの並べ替えを定義し、さらに仕様がない場合には、シングル受け入れるAccessまたはアシルCoA-Requestパケットでこの属性の複数のインスタンスを使用した場合、マルチベンダーの相互運用性を保証することはできません。
The content of the Management-Policy-Id (135) Attribute is expected to be the name of a management access policy of local significance to the NAS, within a namespace of significance to the NAS. In this regard, the behavior is similar to that for the Filter-Id (11) Attribute. The policy names and rules are committed to the local configuration data-store of the NAS, and are provisioned by means beyond the scope of this document, such as via SNMP, NETCONF, or CLI.
経営・政策-ID(135)属性の内容は、NASに意義の名前空間の中に、NASへのローカルの意味の管理アクセスポリシーの名前であることが予想されます。この点に関して、動作は、フィルタID(11)属性の場合と同様です。ポリシー名とルールは、NASのローカルコンフィギュレーション・データ・ストアにコミットしている、そのようなSNMP、NETCONF、またはCLIを介したとして、この文書の範囲外の手段によってプロビジョニングされています。
The namespace used in the Management-Policy-Id (135) Attribute is simple and monolithic. There is no explicit or implicit structure or hierarchy. For example, in the text string "example.com", the "." (period or dot) is just another character. It is expected that text string matching will be performed without parsing the text string into any sub-fields.
経営・政策-ID(135)属性で使用される名前空間は、シンプルでモノリシックです。明示的または暗黙的な構造または階層はありません。たとえば、テキスト文字列「example.com」で、「」 (ピリオドまたはドット)は、ちょうど別の文字です。テキスト文字列マッチングは、任意のサブフィールドにテキスト文字列を解析することなく実行されることが期待されます。
Overloading or subdividing this simple name with multi-part specifiers (e.g., Access=remote, Level=7) is likely to lead to poor multi-vendor interoperability and SHOULD NOT be utilized. If a simple, unstructured policy name is not sufficient, it is RECOMMENDED that a Vendor Specific (26) Attribute be used instead, rather than overloading the semantics of Management-Policy-Id.
過負荷またはマルチパート指定子と、この単純な名前を細分化(例えば、アクセス=リモート、レベル= 7)劣悪マルチベンダーの相互運用性をもたらす可能性があると利用するべきではありません。シンプルな、非構造化ポリシー名が十分でない場合には、ベンダー固有の(26)属性ではなく経営・政策-IDのセマンティクスをオーバーロードするよりも、代わりに使用することをお勧めします。
A summary of the Management-Policy-Id (135) Attribute format is shown below. The fields are transmitted from left to right.
経営・政策-ID(135)属性のフォーマットの概要は以下の通りです。フィールドは左から右に送信されます。
0 1 2
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-
| Type | Length | Text ...
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-
Type
タイプ
135 for Management-Policy-Id.
経営・政策-IDのための135。
Length
長さ
>= 3
>= 3
Text
テキスト
The Text field is one or more octets, and its contents are implementation dependent. It is intended to be human readable and the contents MUST NOT be parsed by the receiver; the contents can only be used to look up locally defined policies. It is RECOMMENDED that the message contain UTF-8 encoded 10646 [RFC3629] characters.
テキストフィールドは1オクテット以上で、その内容は実装に依存しています。人間が読むことができるように意図されており、内容は受信機によって解析されてはなりません。内容は、ローカルでのみ定義されたポリシーをルックアップするために使用することができます。メッセージがUTF-8が10646 [RFC3629]の文字が符号化された含んでいることが推奨されます。
The Management-Privilege-Level (136) Attribute indicates the integer-valued privilege level to be assigned for management access for the authenticated user. Many NASes provide the notion of differentiated management privilege levels denoted by an integer value. The specific access rights conferred by each value are implementation dependent. It MAY be used in both Access-Request and Access-Accept packets.
管理特権レベル(136)属性は、認証されたユーザのための管理アクセスのために割り当てられる整数値の特権レベルを示しています。多くのNASは、整数値で表さ差別管理特権レベルの概念を提供しています。各値によって与え特定のアクセス権は、実装に依存しています。これは、アクセス要求とアクセス - 受け入れパケットの両方で使用されるかもしれません。
The mapping of integer values for this attribute to specific collections of management access rights or permissions on the NAS is vendor and implementation specific. Such mapping is often a user-configurable feature. It's RECOMMENDED that greater numeric values imply greater privilege. However, it would be a mistake to assume that this recommendation always holds.
NAS上の管理アクセス権や権限の特定のコレクションにこの属性の整数値のマッピングは、ベンダーおよび実装固有のものです。このようなマッピングは、多くの場合、ユーザが設定可能な機能です。より大きな数値が大きい特権を意味することをお勧めします。しかし、この勧告を常に保持していると仮定するの間違いだろう。
The management access level indicated in this attribute, received in an Access-Accept packet, MUST be applied to the session authorized by the Access-Accept. If the NAS supports this attribute, but the privilege level is unknown, the NAS MUST treat the Access-Accept packet as if it had been an Access-Reject.
アクセス - 受け入れパケットで受信し、この属性で示された管理アクセスレベルは、アクセス・受け入れが許可したセッションに適用されなければなりません。 NASは、この属性をサポートしていますが、特権レベルが不明な場合は、アクセス拒否されていたかのように、NASは、接続許可パケットを扱わなければなりません。
A summary of the Management-Privilege-Level (136) Attribute format is show below. The fields are transmitted from left to right.
管理特権レベル(136)属性のフォーマットの概要は以下を示しています。フィールドは左から右に送信されます。
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Type | Length | Value
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Value (cont) |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Type
タイプ
136 for Management-Privilege-Level.
管理特権レベルのための136。
Length
長さ
6
6
Value
値
The Value field is a four-octet Integer, denoting a management privilege level.
Valueフィールドは、管理権限レベルを示す、4オクテットの整数です。
It is RECOMMENDED to limit use of the Management-Privilege-Level (136) Attribute to sessions where the Service-Type (6) Attribute has a value of NAS-Prompt (7) (not Administrative). Typically, NASes treat NAS-Prompt as the minimal privilege CLI service and Administrative as full privilege. Using the Management-Privilege-Level (136) Attribute with a Service-Type (6) Attribute having a value of NAS-Prompt (7) will have the effect of increasing the minimum privilege level. Conversely, it is NOT RECOMMENDED to use this attribute with a Service-Type (6) Attribute with a value of Administrative (6), which may require decreasing the maximum privilege level.
管理特権レベル(6)属性は、NAS-プロンプト(7)(行政ではない)の値を持つサービスタイプのセッションに(136)属性の使用を制限することをお勧めします。一般的に、のNASは、完全な特権として、最小限の特権のCLIサービスや行政などのNAS-プロンプトを扱います。サービスタイプと管理 - 特権レベル(136)属性を使用すると、(6)NAS-プロンプトの値を持つ属性は、(7)最小特権レベルを増加させる効果を持つことになります。逆に、最大特権レベルを低下させる必要ができる管理の値を有するサービスタイプ(6)項目(6)と、この属性を使用することが推奨されていません。
It is NOT RECOMMENDED to use the Management-Privilege-Level (136) Attribute in combination with a Management-Policy-Id (135) Attribute or for management access methods other than interactive CLI. The behavior resulting from such an overlay of management access control provisioning is not defined by this document, and in the absence of further specification, is likely to lead to unexpected behaviors, especially in multi-vendor environments.
経営・政策-ID(135)属性またはインタラクティブCLI以外の管理アクセス方法のためとの組み合わせで管理、特権レベル(136)属性を使用することが推奨されていません。管理アクセス制御プロビジョニングのようなオーバーレイに起因する動作は、この文書で定義され、さらに本明細書の非存在下で、特にマルチベンダー環境において、予期しない動作につながる可能性が高いされていません。
It is entirely OPTIONAL for the NAS management authorization attributes specified in this document to be used in conjunction with Dynamic Authorization extensions to RADIUS [RFC5176]. When such usage occurs, those attributes MAY be used as listed in the Table of Attributes in Section 10.
この文書で指定されたNAS管理の許可属性はRADIUS [RFC5176]にダイナミックな承認拡張と併せて使用されることは完全にオプションです。このような使用が発生した場合、セクション10内の属性の表に示すように、これらの属性を使用してもよいです。
Some guidance on how to identify existing management sessions on a NAS for the purposes of Dynamic Authorization is useful. The primary session identifiers SHOULD be User-Name (1) and Service-Type (6). To accommodate instances when that information alone does not uniquely identify a session, a NAS supporting Dynamic Authorization SHOULD maintain one or more internal session identifiers that can be represented as RADIUS attributes. Examples of such attributes include Acct-Session-Id (44), Acct-Multi-Session-Id (50), NAS-Port (5), or NAS-Port-Id (87). In the case of a remote management session, common identifier values might include things such as the remote IP address and remote TCP port number, or the file descriptor value for use with the open socket. Any such identifier is obviously transient in nature, and implementations SHOULD take care to avoid and/or properly handle duplicate or stale values.
ダイナミックな承認のためにNAS上の既存の管理セッションを識別する方法についていくつかのガイダンスが便利です。プライマリセッション識別子は、ユーザ名でなければなりません(1)とサービスタイプ(6)。単独でその情報がセッションを一意に識別しないときのインスタンスを収容するために、NAS支持動的認可は、RADIUS属性として表現することができる1つ以上の内部セッション識別子を維持しなければなりません。このような属性の例には、アカウンティング・セッションId(44)、ACCT-マルチセッションID(50)、NASポート(5)、またはNAS-ポートID(87)を含みます。リモート管理セッションの場合には、共通の識別子値は、リモートIPアドレスおよびリモートのTCPポート番号、または開いたソケットで使用するためのファイルディスクリプタ値のようなものが含まれます。任意のこのような識別子は、自然の中で明らかに一時的なものであり、実装は避けおよび/または適切に複製または古い値を処理するために世話をする必要があります。
In order for the session identification attributes to be available to the Dynamic Authorization Client, a NAS supporting Dynamic Authorization for management sessions SHOULD include those session identification attributes in the Access-Request message for each such session. Additional discussion of session identification attribute usage may be found in Section 3 of [RFC5176].
セッション識別ために動的認可クライアントが使用される属性、管理セッションのための動的認可をサポートするNASは、これらのセッション識別は、そのような各セッションのためのAccess-Requestメッセージに属性を含めるべきです。セッション識別属性の使用のさらなる議論は[RFC5176]のセクション3に見出すことができます。
1. Unprotected CLI access, via the local console, to the "super-user" access level:
ローカルコンソールを介した、「スーパーユーザー」のアクセスレベルへ1.保護されていないCLIへのアクセス、:
* Service-Type (6) = Administrative (6)
*サービスタイプ(6)=管理(6)
* NAS-Port-Type (61) = Async (0)
* NASポート型(61)=非同期(0)
* Management-Transport-Protection (134) = No-Protection (1)
*管理・輸送・保護(134)=無保護しない(1)
2. Unprotected CLI access, via a remote console, to the "super-user" access level:
リモートコンソールを介した、「スーパーユーザー」のアクセスレベル2.保護されていないCLIへのアクセス、:
* Service-Type (6) = Administrative (6)
*サービスタイプ(6)=管理(6)
* NAS-Port-Type (61) = Virtual (5)
* NASポート型(61)=仮想(5)
* Management-Transport-Protection (134) = No-Protection (1)
*管理・輸送・保護(134)=無保護しない(1)
3. CLI access, via a fully protected secure remote terminal service to the non-privileged user access level:
非特権ユーザーのアクセスレベルに完全に保護されたセキュアなリモートターミナルサービスを介して3. CLIへのアクセス、:
* Service-Type (6) = NAS-Prompt (7)
*サービスタイプ(6)= NAS-プロンプト(7)
* NAS-Port-Type (61) = Virtual (5)
* NASポート型(61)=仮想(5)
* Management-Transport-Protection (134) = Integrity-Confidentiality-Protection (3)
*管理・輸送・保護(134)=整合性 - 機密性-保護(3)
4. CLI access, via a fully protected secure remote terminal service, to a custom management access level, defined by a policy:
ポリシーで定義されたカスタム管理アクセスレベルに完全に保護されたセキュアなリモートターミナルサービス経由4. CLIへのアクセス、、、:
* Service-Type (6) = NAS-Prompt (7)
*サービスタイプ(6)= NAS-プロンプト(7)
* NAS-Port-Type (61) = Virtual (5)
* NASポート型(61)=仮想(5)
* Management-Transport-Protection (134) = Integrity-Confidentiality-Protection (3)
*管理・輸送・保護(134)=整合性 - 機密性-保護(3)
* Management-Policy-Id (135) = "Network Administrator"
*経営・政策-ID(135)= "ネットワーク管理者"
5. CLI access, via a fully protected secure remote terminal service, with a management privilege level of 15:
15の管理権限レベルで完全に保護された安全なリモートターミナルサービスを介して5 CLIへのアクセス、:
* Service-Type (6) = NAS-Prompt (7)
*サービスタイプ(6)= NAS-プロンプト(7)
* NAS-Port-Type (61) = Virtual (5)
* NASポート型(61)=仮想(5)
* Management-Transport-Protection (134) = Integrity-Confidentiality-Protection (3)
*管理・輸送・保護(134)=整合性 - 機密性-保護(3)
* Management-Privilege-Level (136) = 15
*管理特権レベル(136)= 15
6. SNMP access, using an Access Control Model specifier, such as a custom VACM View, defined by a policy:
そのようなポリシーで定義されたカスタムVACMビュー、などアクセス制御モデル指定子を使用して、6 SNMPアクセス、:
* Service-Type (6) = Framed-Management (18)
*サービスタイプ(6)=額縁・マネージメント(18)
* NAS-Port-Type (61) = Virtual (5)
* NASポート型(61)=仮想(5)
* Framed-Management-Protocol (133) = SNMP (1)
*額縁・マネージメント・プロトコル(133)= SNMP(1)
* Management-Policy-Id (135) = "SNMP Network Administrator View"
*経営・政策-ID(135)= "SNMPネットワーク管理者ビュー"
There is currently no standardized way of implementing this management policy mapping within SNMP. Such mechanisms are the topic of current research.
SNMP内でこの管理ポリシーマッピングを実装するための標準化方法はありません。このようなメカニズムは、現在の研究の話題です。
* Service-Type (6) = Framed-Management (18)
*サービスタイプ(6)=額縁・マネージメント(18)
* NAS-Port-Type (61) = Virtual (5)
* NASポート型(61)=仮想(5)
* Framed-Management-Protocol (133) = SNMP (1)
*額縁・マネージメント・プロトコル(133)= SNMP(1)
* Management-Transport-Protection (134) = Integrity-Confidentiality-Protection (3)
*管理・輸送・保護(134)=整合性 - 機密性-保護(3)
* Service-Type (6) = Framed-Management (18)
*サービスタイプ(6)=額縁・マネージメント(18)
* NAS-Port-Type (61) = Virtual (5)
* NASポート型(61)=仮想(5)
* Framed-Management-Protocol (133) = Web-based (2)
*入れる・マネージメント・プロトコル(133)= Webベース(2)
9. Secure web access, using a custom management access level, defined by a policy:
9.セキュアなWebアクセスは、カスタム管理アクセスレベルを使用して、ポリシーで定義されました:
* Service-Type (6) = Framed-Management (18)
*サービスタイプ(6)=額縁・マネージメント(18)
* NAS-Port-Type (61) = Virtual (5)
* NASポート型(61)=仮想(5)
* Framed-Management-Protocol (133) = Web-based (2)
*入れる・マネージメント・プロトコル(133)= Webベース(2)
* Management-Transport-Protection (134) = Integrity-Confidentiality-Protection (3)
*管理・輸送・保護(134)=整合性 - 機密性-保護(3)
* Management-Policy-Id (135) = "Read-only web access"
*経営・政策-ID(135)= "読み取り専用Webアクセス"
When used in Diameter, the attributes defined in this specification can be used as Diameter attribute-value pairs (AVPs) from the Code space 1-255 (RADIUS attribute compatibility space). No additional Diameter Code values are therefore allocated. The data types and flag rules for the attributes are as follows:
直径が使用される場合、本明細書で定義された属性は、コード空間1-255(RADIUS属性互換空間)から直径属性値ペア(AVPの)として使用することができます。追加直径コード値は、したがって、割り当てられていません。次のように属性のデータ型とフラグのルールは以下のとおりです。
+---------------------+
| AVP Flag rules |
|----+-----+----+-----|----+
| | SHOULD MUST| |
Attribute Name Value Type |MUST| MAY | NOT| NOT|Encr|
---------------------------------|----+-----+----+-----|----|
Service-Type | | | | | |
Enumerated | M | P | | V | Y |
Framed-Management-Protocol | | | | | |
Enumerated | M | P | | V | Y |
Management-Transport-Protection | | | | | |
Enumerated | M | P | | V | Y |
Management-Policy-Id | | | | | |
UTF8String | M | P | | V | Y |
Management-Privilege-Level | | | | | |
Integer | M | P | | V | Y |
---------------------------------|----+-----+----+-----|----|
The attributes in this specification have no special translation requirements for Diameter to RADIUS or RADIUS to Diameter gateways; they are copied as is, except for changes relating to headers, alignment, and padding. See also [RFC3588], Section 4.1, and [RFC4005], Section 9.
この仕様の属性は、DiameterゲートウェイへのRADIUSまたはRADIUSの直径のための特別な翻訳要件を持っていません。彼らは、ヘッダー、位置合わせ、及びパディングに関連する変更点を除いて、そのままコピーされます。また、[RFC3588]、セクション4.1、および[RFC4005]、セクション9を参照してください。
What this specification says about the applicability of the attributes for RADIUS Access-Request packets applies in Diameter to AA-Request [RFC4005].
何この仕様は、AA-要求[RFC4005]に直径が適用されるRADIUSアクセス要求パケットの属性の適用可能性について述べています。
What is said about Access-Accept applies in Diameter to AA-Answer messages that indicate success.
言われて何成功を示すAA-回答メッセージに直径が適用されるアクセス - 受け入れます。
The following table provides a guide to which attributes may be found in which kinds of packets, and in what quantity.
以下の表は、属性パケットの種類のもので、どのような量で見出されてもよいためのガイドを提供します。
Access Messages
Request Accept Reject Challenge # Attribute
---------------------------------------------------------------------
0-1 0-1 0 0 133 Framed-Management-Protocol
0-1 0-1 0 0 134 Management-Transport-Protection
0 0-1 0 0 135 Management-Policy-Id
0 0-1 0 0 136 Management-Privilege-Level
Accounting Messages
Request Response # Attribute
---------------------------------------------------------------------
0-1 0 133 Framed-Management-Protocol
0-1 0 134 Management-Transport-Protection
0-1 0 135 Management-Policy-Id
0-1 0 136 Management-Privilege-Level
Change-of-Authorization Messages
Request ACK NAK # Attribute
--------------------------------------------------------------------
0 0 0 133 Framed-Management-Protocol
0 0 0 134 Management-Transport-Protection
0-1 0 0 135 Management-Policy-Id (Note 1)
0-1 0 0 136 Management-Privilege-Level (Note 1)
Disconnect Messages
Request ACK NAK # Attribute
---------------------------------------------------------------------
0 0 0 133 Framed-Management-Protocol
0 0 0 134 Management-Transport-Protection
0 0 0 135 Management-Policy-Id
0 0 0 136 Management-Privilege-Level
(Note 1) When included within a CoA-Request, these attributes represent an authorization change request. When one of these attributes is omitted from a CoA-Request, the NAS assumes that the attribute value is to remain unchanged. Attributes included in a CoA-Request replace all existing values of the same attribute(s).
(注1)のCoA - 要求内に含まれる場合、これらの属性は、承認変更要求を表します。これらの属性のいずれかがCoAをリクエストから省略された場合、NASは、属性値が変更されないままであることを前提としています。 CoA-Requestに含まれる属性は、同じ属性(複数可)のすべての既存の値を置き換えます。
The following table defines the meaning of the above table entries.
次の表は、上記テーブルエントリの意味を定義します。
0 This attribute MUST NOT be present in a packet.
0+ Zero or more instances of this attribute MAY be present in
a packet.
0-1 Zero or one instance of this attribute MAY be present in
a packet.
1 Exactly one instance of this attribute MUST be present in
a packet.
The following numbers have been assigned in the RADIUS Attribute Types registry.
次の番号は、RADIUS属性タイプレジストリに割り当てられています。
o New enumerated value for the existing Service-Type Attribute:
O新規、既存のservice-type属性の値を列挙しました:
* Framed-Management (18)
*額縁・マネージメント(18)
o New RADIUS Attribute Types:
O新しいRADIUS属性の型:
* Framed-Management-Protocol (133)
*額縁・マネージメント・プロトコル(133)
* Management-Transport-Protection (134)
*管理・輸送・保護(134)
* Management-Policy-Id (135)
*経営・政策-ID(135)
* Management-Privilege-Level (136)
*管理特権レベル(136)
The enumerated values of the newly assigned RADIUS Attribute Types as defined in this document were assigned at the same time as the new Attribute Types.
この文書で定義されるように新たに割り当てられたRADIUSの列挙値は、属性の型は、新しい属性タイプと同じ時に割り当てられました。
For the Framed-Management-Protocol Attribute:
額縁・マネージメント・プロトコル属性の場合:
1 SNMP
2 Web-based
3 NETCONF
4 FTP
5 TFTP
6 SFTP
7 RCP
8 SCP
For the Management-Transport-Protection Attribute:
管理・輸送・保護属性の場合:
1 No-Protection
2 Integrity-Protection
3 Integrity-Confidentiality-Protection
Assignments of additional enumerated values for the RADIUS attributes defined in this document are to be processed as described in [RFC3575], subject to the additional requirement of a published specification.
この文書で定義されたRADIUS属性のための追加の列挙値の割り当ては、[RFC3575]に記載されているように公開された仕様の追加要件を条件として、処理されます。
This specification describes the use of RADIUS and Diameter for purposes of authentication, authorization, and accounting for management access to devices within networks. RADIUS threats and security issues for this application are described in [RFC3579] and
この仕様は、ネットワーク内のデバイスへの管理アクセスのための認証、許可、アカウンティングの目的のためにRADIUSを使用すると直径を説明しています。このアプリケーションのためのRADIUSの脅威とセキュリティの問題は、[RFC3579]で説明されており、
[RFC3580]; security issues encountered in roaming are described in [RFC2607]. For Diameter, the security issues relating to this application are described in [RFC4005] and [RFC4072].
[RFC3580]。ローミング中に遭遇したセキュリティ問題は[RFC2607]で説明されています。直径に対して、このアプリケーションに関連するセキュリティ問題は[RFC4005]及び[RFC4072]に記載されています。
This document specifies new attributes that can be included in existing RADIUS packets, which may be protected as described in [RFC3579] and [RFC5176]. In Diameter, the attributes are protected as specified in [RFC3588]. See those documents for a more detailed description.
この文書では、[RFC3579]と[RFC5176]で説明したように保護することができ、既存のRADIUSパケットに含めることができ、新たな属性を指定します。直径は、属性は[RFC3588]で指定されるように保護されます。より詳細な説明については、それらのドキュメントを参照してください。
The security mechanisms supported in RADIUS and Diameter are focused on preventing an attacker from spoofing packets or modifying packets in transit. They do not prevent an authorized RADIUS/Diameter server or proxy from inserting attributes with malicious intent.
RADIUS直径サポートされるセキュリティメカニズムは、なりすましパケットから攻撃を予防または輸送中のパケットを修正するに焦点を当てています。彼らは、悪意と属性を挿入するから認可RADIUS / Diameterサーバやプロキシを防ぐことはできません。
A legacy NAS may not recognize the attributes in this document that supplement the provisioning of CLI management access. If the value of the Service-Type Attribute is NAS-Prompt or Administrative, the legacy NAS may silently discard such attributes, while permitting the user to access the CLI management interface(s) of the NAS. This can lead to users improperly receiving authorized management access to the NAS, or access with greater levels of access rights than were intended. RADIUS servers SHOULD attempt to ascertain whether or not the NAS supports these attributes before sending them in an Access-Accept message that provisions CLI access.
レガシーNASは、CLI管理アクセスのプロビジョニングを補足するこの文書の属性を認識しない場合があります。 service-type属性の値は、NAS-プロンプトまたは管理者である場合、NASのCLI管理インターフェース(複数可)にアクセスするユーザを許容しつつ、従来のNASは静かに、そのような属性を破棄してもよいです。これは、不適切に意図していたよりも、アクセス権のより高いレベルの認可管理NASへのアクセス、またはアクセスを受けたユーザーにつながることができます。 RADIUSサーバはAccess-Acceptメッセージ条項のCLIアクセスでそれらを送信する前に、NASは、これらの属性をサポートしているかどうかを確認しようとすべきです。
It is possible that certain NAS implementations may not be able to determine the protection properties of the underlying transport protocol as specified by the Management-Transport-Protection Attribute. This may be a limitation of the standard application programming interface of the underlying transport implementation or of the integration of the transport into the NAS implementation. In either event, NASes conforming to this specification, which cannot determine the protection state of the remote management connection, MUST treat an Access-Accept message containing a Management-Transport-Protection Attribute containing a value other than No-Protection (1) as if it were an Access-Reject message, unless specifically overridden by local policy configuration.
特定のNASの実装が管理・トランスポート保護属性で指定された基礎となるトランスポートプロトコルの保護特性を決定することができない可能性があります。これは、基礎となるトランスポート実装のまたはNAS実装への輸送の統合の標準アプリケーション・プログラミング・インターフェースの制限であってもよいです。いずれの場合においても、NASのリモート管理接続の保護状態を判断できないこの仕様に準拠し、無保護以外の値を含む管理・輸送・保護属性を含むAccess-Acceptメッセージを扱わなければなりません(1)の場合のように具体的には、ローカルポリシー設定によりオーバーライドされない限り、それは、アクセス拒否メッセージでした。
Use of the No-Protection (1) option for the Management-Transport-Protection (134) Attribute is NOT RECOMMENDED in any deployment where secure management or configuration is required.
無保護の使用は、(1)管理・輸送・保護(134)属性のオプションは、安全な管理や設定が必要とされるあらゆる展開にはお勧めしません。
The device management access authorization attributes presented in this document present certain considerations when used in RADIUS proxy environments. These considerations are not different from those that exist in RFC 2865 [RFC2865] with respect to the Service-Type Attribute values of Administrative and NAS-Prompt.
RADIUSプロキシ環境で使用する場合、この文書で提示デバイス管理アクセス許可の属性は、特定の考慮事項を提示します。これらの考慮事項は、管理およびNAS-プロンプトのservice-type属性の値に関してRFC 2865 [RFC2865]に存在しているものとは異なるではありません。
Most RADIUS proxy environments are also multi-party environments. In multi-party proxy environments it is important to distinguish which entities have the authority to provision management access to the edge devices, i.e., NASes, and which entities only have authority to provision network access services of various sorts.
ほとんどのRADIUSプロキシ環境では、マルチパーティ環境です。マルチパーティのプロキシ環境では、エッジデバイスに提供管理アクセスする権限を持っている事業体を区別することが重要である、すなわち、NASの、そして唯一の様々な種類の提供するネットワークアクセスサービスへの権限を持っている事業体。
It may be important that operators of the NAS are able to ensure that access to the CLI, or other management interfaces of the NAS, is only provisioned to their own employees or contractors. One way for the NAS to enforce this requirement is to use only local, non-proxy RADIUS servers for management access requests. Proxy RADIUS servers could be used for non-management access requests, based on local policy. This "bifurcation" of RADIUS authentication and authorization is a simple case of separate administrative realms. The NAS may be designed so as to maintain separate lists of RADIUS servers for management AAA use and for non-management AAA use.
NASのオペレーターがCLIへのアクセス、またはNASの他の管理インタフェースは、唯一の自分の従業員や請負業者にプロビジョニングされていることを確認することができることが重要であろう。 NASは、この要件を強制するための一つの方法は、管理アクセス要求に対してのみローカル、非プロキシRADIUSサーバを使用することです。プロキシRADIUSサーバは、ローカルポリシーに基づいて、非管理アクセス要求のために使用することができます。 RADIUS認証と認可のこの「分岐は、」個別の管理のレルムの単純なケースです。管理AAA用にと非管理AAA用にRADIUSサーバの別々のリストを維持するようにNASを設計することができます。
An alternate method of enforcing this requirement would be for the first-hop RADIUS proxy server, operated by the owner of the NAS, to filter out any RADIUS attributes that provision management access rights that originate from "up-stream" proxy servers not operated by the NAS owner. Access-Accept messages that provision such locally unauthorized management access MAY be treated as if they were an Access-Reject by the first-hop proxy server.
この要件を強制する別の方法は、任意のRADIUSをフィルタリングするために、NASの所有者が運営するファーストホップRADIUSプロキシサーバー、ためになることで動作していない「アップストリーム」のプロキシサーバから発信その規定の管理アクセス権を属性NASの所有者。彼らは最初のホッププロキシサーバによってアクセスが拒否であるかのように規定なローカル不正管理アクセスを処理することができるメッセージのアクセスは、受け入れます。
An additional exposure present in proxy deployments is that sensitive user credentials, e.g., passwords, are likely to be available in cleartext form at each of the proxy servers. Encrypted or hashed credentials are not subject to this risk, but password authentication is a very commonly used mechanism for management access authentication, and in RADIUS passwords are only protected on a hop-by-hop basis. Malicious proxy servers could misuse this sensitive information.
プロキシの展開に存在する追加の露出が敏感なユーザーの資格情報、例えば、パスワードは、プロキシサーバのそれぞれでクリアテキスト形式で利用可能である可能性が高いということです。暗号化またはハッシュ化された資格情報は、このリスクの対象ではありませんが、パスワード認証は、管理アクセス認証のための非常に一般的に使用される機構であり、RADIUSにパスワードが唯一のホップバイホップベースで保護されています。悪意のあるプロキシサーバは、この機密情報を悪用することができます。
These issues are not of concern when all the RADIUS servers, local and proxy, used by the NAS are under the sole administrative control of the NAS owner.
NASで使用されるローカルおよびプロキシすべてのRADIUSサーバは、NASの所有者の唯一の管理制御下にあるとき、これらの問題が懸念さではありません。
Many thanks to all reviewers, including Bernard Aboba, Alan DeKok, David Harrington, Mauricio Sanchez, Juergen Schoenwaelder, Hannes Tschofenig, Barney Wolff, and Glen Zorn.
バーナードAboba、アランDeKok、デヴィッド・ハリントン、マウリシオサンチェス、ユルゲンSchoenwaelder、ハンネスTschofenig、バーニー・ウルフ、そしてグレンツォルンを含むすべてのレビュー、に感謝します。
[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.
[RFC2119]ブラドナーの、S.、 "要件レベルを示すためにRFCsにおける使用のためのキーワード"、BCP 14、RFC 2119、1997年3月。
[RFC2865] Rigney, C., Willens, S., Rubens, A., and W. Simpson, "Remote Authentication Dial In User Service (RADIUS)", RFC 2865, June 2000.
[RFC2865] Rigney、C.、ウィレンス、S.、ルーベン、A.、およびW.シンプソン、RFC 2865、2000年6月 "ユーザーサービス(RADIUS)でリモート認証ダイヤル"。
[RFC3629] Yergeau, F., "UTF-8, a transformation format of ISO 10646", STD 63, RFC 3629, November 2003.
[RFC3629] Yergeau、F.、 "UTF-8、ISO 10646の変換フォーマット"、STD 63、RFC 3629、2003年11月。
[HTML] Raggett, D., Le Hors, A., and I. Jacobs, "The HTML 4.01 Specification, W3C", December 1999.
[HTML] Raggett、D.、ル・オードブル、A.、およびI.ジェイコブス、 "HTML 4.01の仕様、W3C"、1999年12月。
[RFC0959] Postel, J. and J. Reynolds, "File Transfer Protocol", STD 9, RFC 959, October 1985.
[RFC0959]ポステル、J.、およびJ.レイノルズ、 "ファイル転送プロトコル"、STD 9、RFC 959、1985年10月。
[RFC1350] Sollins, K., "The TFTP Protocol (Revision 2)", STD 33, RFC 1350, July 1992.
[RFC1350] Sollins、K.、 "TFTPプロトコル(改訂第2版)"、STD 33、RFC 1350、1992年7月。
[RFC2607] Aboba, B. and J. Vollbrecht, "Proxy Chaining and Policy Implementation in Roaming", RFC 2607, June 1999.
[RFC2607] Aboba、B.、およびJ. Vollbrecht、 "ローミング中のプロキシ連鎖とポリシー実装"、RFC 2607、1999年6月。
[RFC2616] Fielding, R., Gettys, J., Mogul, J., Frystyk, H., Masinter, L., Leach, P., and T. Berners-Lee, "Hypertext Transfer Protocol -- HTTP/1.1", RFC 2616, June 1999.
[RFC2616]フィールディング、R.、ゲティス、J.、モーグル、J.、Frystyk、H.、Masinter、L.、リーチ、P.、およびT.バーナーズ - リー、 "ハイパーテキスト転送プロトコル - HTTP / 1.1" 、RFC 2616、1999年6月。
[RFC2866] Rigney, C., "RADIUS Accounting", RFC 2866, June 2000.
[RFC2866] Rigney、C.、 "RADIUSアカウンティング"、RFC 2866、2000年6月。
[RFC3411] Harrington, D., Presuhn, R., and B. Wijnen, "An Architecture for Describing Simple Network Management Protocol (SNMP) Management Frameworks", STD 62, RFC 3411, December 2002.
[RFC3411]ハリントン、D.、Presuhn、R.、およびB. Wijnenの、 "簡易ネットワーク管理プロトコル(SNMP)管理フレームワークを記述するためのアーキテクチャ"、STD 62、RFC 3411、2002年12月。
[RFC3412] Case, J., Harrington, D., Presuhn, R., and B. Wijnen, "Message Processing and Dispatching for the Simple Network Management Protocol (SNMP)", STD 62, RFC 3412, December 2002.
[RFC3412]ケース、J.、ハリントン、D.、Presuhn、R.、およびB. Wijnenの、 "メッセージ処理と簡単なネットワーク管理プロトコル(SNMP)のための派遣"、STD 62、RFC 3412、2002年12月。
[RFC3413] Levi, D., Meyer, P., and B. Stewart, "Simple Network Management Protocol (SNMP) Applications", STD 62, RFC 3413, December 2002.
[RFC3413]レビ、D.、マイヤー、P.、およびB.スチュワート、 "簡易ネットワーク管理プロトコル(SNMP)アプリケーション"、STD 62、RFC 3413、2002年12月。
[RFC3414] Blumenthal, U. and B. Wijnen, "User-based Security Model (USM) for version 3 of the Simple Network Management Protocol (SNMPv3)", STD 62, RFC 3414, December 2002.
、STD 62、RFC 3414、2002年12月 "簡易ネットワーク管理プロトコル(SNMPv3の)のバージョン3のためのユーザベースセキュリティモデル(USM)" [RFC3414]ブルーメンソール、U.とB. Wijnenの、。
[RFC3415] Wijnen, B., Presuhn, R., and K. McCloghrie, "View-based Access Control Model (VACM) for the Simple Network Management Protocol (SNMP)", STD 62, RFC 3415, December 2002.
[RFC3415] Wijnenの、B.、Presuhn、R.、およびK. McCloghrie、 "簡易ネットワーク管理プロトコルのためのビューベースアクセス制御モデル(VACM)(SNMP)"、STD 62、RFC 3415、2002年12月。
[RFC3416] Presuhn, R., "Version 2 of the Protocol Operations for the Simple Network Management Protocol (SNMP)", STD 62, RFC 3416, December 2002.
[RFC3416] Presuhn、R.、STD 62、RFC 3416、2002年12月 "簡易ネットワーク管理プロトコル(SNMP)のためのプロトコル操作のバージョン2"。
[RFC3417] Presuhn, R., "Transport Mappings for the Simple Network Management Protocol (SNMP)", STD 62, RFC 3417, December 2002.
[RFC3417] Presuhn、R.、 "簡易ネットワーク管理プロトコルのためのマッピングを輸送します(SNMP)"、STD 62、RFC 3417、2002年12月。
[RFC3418] Presuhn, R., "Management Information Base (MIB) for the Simple Network Management Protocol (SNMP)", STD 62, RFC 3418, December 2002.
、STD 62、RFC 3418、2002年12月 "簡易ネットワーク管理プロトコル(SNMP)管理情報ベース(MIB)" [RFC3418] Presuhn、R.、。
[RFC3575] Aboba, B., "IANA Considerations for RADIUS (Remote Authentication Dial In User Service)", RFC 3575, July 2003.
[RFC3575] Aboba、B.、 "RADIUSのためのIANAの考慮事項(ユーザサービスにおけるリモート認証ダイヤル)"、RFC 3575、2003月。
[RFC3579] Aboba, B. and P. Calhoun, "RADIUS (Remote Authentication Dial In User Service) Support For Extensible Authentication Protocol (EAP)", RFC 3579, September 2003.
[RFC3579] Aboba、B.およびP.カルフーン、 "RADIUS(ユーザサービスにおけるリモート認証ダイヤル)拡張認証プロトコル(EAP)のサポート"、RFC 3579、2003年9月。
[RFC3580] Congdon, P., Aboba, B., Smith, A., Zorn, G., and J. Roese, "IEEE 802.1X Remote Authentication Dial In User Service (RADIUS) Usage Guidelines", RFC 3580, September 2003.
[RFC3580] Congdon氏、P.、Aboba、B.、スミス、A.、ゾルン、G.、およびJ.レーゼ、 "IEEE 802.1Xのリモート認証ダイヤルインユーザーサービス(RADIUS)使用上のガイドライン"、RFC 3580、2003年9月。
[RFC3588] Calhoun, P., Loughney, J., Guttman, E., Zorn, G., and J. Arkko, "Diameter Base Protocol", RFC 3588, September 2003.
[RFC3588]カルフーン、P.、Loughney、J.、ガットマン、E.、ゾルン、G.、およびJ. Arkko、 "直径ベースプロトコル"、RFC 3588、2003年9月。
[RFC4005] Calhoun, P., Zorn, G., Spence, D., and D. Mitton, "Diameter Network Access Server Application", RFC 4005, August 2005.
[RFC4005]カルフーン、P.、ツォルン、G.、スペンス、D.、およびD.ミトン、 "直径ネットワークアクセスサーバーアプリケーション"、RFC 4005、2005年8月。
[RFC4072] Eronen, P., Hiller, T., and G. Zorn, "Diameter Extensible Authentication Protocol (EAP) Application", RFC 4072, August 2005.
[RFC4072] Eronen、P.、ヒラー、T.、およびG.ゾルン、 "直径拡張認証プロトコル(EAP)アプリケーション"、RFC 4072、2005年8月。
[RFC4741] Enns, R., "NETCONF Configuration Protocol", RFC 4741, December 2006.
[RFC4741]エンス、R.、 "NETCONF構成プロトコル"、RFC 4741、2006年12月。
[RFC4742] Wasserman, M. and T. Goddard, "Using the NETCONF Configuration Protocol over Secure SHell (SSH)", RFC 4742, December 2006.
[RFC4742]ワッサーマン、M.とT.ゴダード、 "セキュアシェル上でNETCONF構成プロトコルを使用して(SSH)"、RFC 4742、2006年12月。
[RFC4743] Goddard, T., "Using NETCONF over the Simple Object Access Protocol (SOAP)", RFC 4743, December 2006.
[RFC4743]ゴダード、T.、RFC 4743、2006年12月 "簡易オブジェクトアクセスプロトコル(SOAP)の上にNETCONFを使用します"。
[RFC4744] Lear, E. and K. Crozier, "Using the NETCONF Protocol over the Blocks Extensible Exchange Protocol (BEEP)", RFC 4744, December 2006.
[RFC4744]リア、E.およびK.クロージャー、 "ブロック拡張可能交換プロトコル(BEEP)の上にNETCONFプロトコルの使用"、RFC 4744、2006年12月。
[RFC5176] Chiba, M., Dommety, G., Eklund, M., Mitton, D., and B. Aboba, "Dynamic Authorization Extensions to Remote Authentication Dial In User Service (RADIUS)", RFC 5176, January 2008.
、RFC 5176、2008年1月[RFC5176]千葉、M.、Dommety、G.、エクランド、M.、ミトン、D.、およびB. Aboba、 "ユーザーサービス(RADIUS)でリモート認証ダイヤルへのダイナミックな承認拡張機能"。
[SFTP] Galbraith, J. and O. Saarenmaa, "SSH File Transfer Protocol", Work in Progress, July 2006.
[SFTP]ガルブレイス、J.およびO. Saarenmaa、 "SSHのファイル転送プロトコル"、進歩、2006年7月での作業。
[SSH] Barrett, D., Silverman, R., and R. Byrnes, "SSH, the Secure Shell: The Definitive Guide, Second Edition, O'Reilly and Associates", May 2005.
[SSH]バレット、D.、シルバー、R.、およびR.バーンズ、 "SSH、セキュアシェル:Definitive Guideの、第2版、オライリーアンドアソシエイツ"、2005年5月。
Authors' Addresses
著者のアドレス
David B. Nelson Elbrys Networks, Inc. 282 Corporate Drive Portsmouth, NH 03801 USA
デビッド・B・ネルソンElbrysネットワークス株式会社282コーポレート・ドライブポーツマス、ニューハンプシャー03801 USA
EMail: dnelson@elbrysnetworks.com
メールアドレス:dnelson@elbrysnetworks.com
Greg Weber Individual Contributor Knoxville, TN 37932 USA
グレッグ・ウェーバー投稿者ノックスビル、TN 37932 USA
EMail: gdweber@gmail.com
メールアドレス:gdweber@gmail.com