Werbung
Bild 7-2
• Challenge Handshake Authentication Protocol (CHAP)
CHAP verwendet ein ähnliches Verfahren wie PAP. Allerdings werden die Informationen, die
an den RADIUS-Client weitergeleitet werden, zu Beginn verschlüsselt.
Wenn ein Benutzer Zugriff anfordert, kombiniert sein Supplicant das Passwort des Benutzers
mit einer zufälligen Zahlenfolge (der Challenge), die er vom RADIUS-Client (SINEC OS)
empfängt. Diese Kombination wird von einer MD5-Hashfunktion verarbeitet, so dass sie
nicht mehr gelesen werden kann.
Benutzername, Challenge und MD5-Hashwert werden dann an den RADIUS-Client und
schließlich an den RADIUS-Server weitergeleitet.
Passwörter werden in diesem Fall unverschlüsselt in der Serverdatenbank gespeichert. Der
Server muss zunächst Challenge und MD5-Hashfunktion auf das gespeicherte Passwort
anwenden, er es mit dem empfangenen verschlüsselten Passwort vergleicht. Wenn die
Web User Interface (Web UI) SINEC OS v3.0
Projektierungshandbuch, 04/2024, C79000-G8900-C680-03
Supplicant
Zugriffsanfrage
1
RADIUS-Client
(SINEC OS)
Benutzername und Passwort
2
RADIUS-Server
Authentifizierungsanfrage
3
Datenbank
①
Der Supplicant leitet ein Zugriffs-Anfrage-Paket an den RADIUS-Client weiter, das den Benut‐
zernamen und das Passwort des Benutzers enthält.
②
Der RADIUS-Client leitet den Benutzernamen und das Passwort als Klartext an den RADIUS-
Server weiter.
③
Der RADIUS-Server fragt die RADIUS-Datenbank ab.
④
Die RADIUS-Datenbank leitet das gespeicherte Passwort an den Server weiter. Gespeicherte
Passwörter sind verschlüsselt.
⑤
Der RADIUS-Server verschlüsselt das empfangene Passwort und vergleicht es mit dem gespei‐
cherten Passwort.
⑥
Der RADIUS-Server sendet eine Gewähren-Nachricht oder Verweigern-Nachricht an den Cli‐
ent, abhängig vom Ergebnis des Vergleichs.
PAP-Authentifizierungsmethode
6
Passwortvergleich
5
4
Security
7.4 Benutzerauthentifizierung
205
Werbung
