Я работаю с сервером RADIUS (исходного кода которого у меня нет), чей ответ на запрос аутентификации RADIUS также содержит атрибуты, отправленные с запросом.
Однако я просматривал исходный код tinyradius, и, похоже, он не копирует все атрибуты из пакета запроса при создании пакета ответа. Он копирует только атрибут номер 33 (атрибут STATE), если он существует.
RadiusClients, похоже, принимает любой ответ. Что делать правильно?
Нет, ответы RADIUS не должны содержать все атрибуты запроса.
Состояние является особенным, его можно использовать для связывания нескольких раундов запросов/ответов вместе.
Двумя основными вариантами использования состояния являются аутентификация OTP, при которой пароль и код OTP отправляются в течение двух или более циклов, или аутентификация EAP, которая также выполняется в течение нескольких раундов.
NAS RADIUS
--- ------
# Password round
Access-Request ->
<- Access-Challenge
[Generates random state 0x01]
# OTP round
Access-Request
[Copies state 0x01] ->
Access-Accept/Reject
Без атрибута состояния невозможно связать Access-Challenge и последующий Access-Request вместе.
Примечание. Не указано, что делать с состоянием, оно просто используется для связывания пакетов. В FreeRADIUS мы поддерживаем список атрибутов «состояния сеанса», которые доступны для политик на всех этапах многоэтапной попытки аутентификации.
