Hat RADIUS eine maximale Paketgröße? Eine meiner Anwendungen erfordert ein signiertes biometrisches Bild, das zu Authentifizierungszwecken gesendet werden muss, und ich bin mir nicht sicher, ob Radius in der Lage sein wird, damit umzugehen.Maximale Paketgröße für Radius
Sie können diese Information im Authenticator-Abschnitt übergeben, der 16 Oktette (65k) lang ist.
Gemäß RFC 2865, das das RADIUS-Protokoll angibt, obwohl das Radius-Paketlängenfeld 2 Oktetts lang ist, ist die maximale Paketgröße auf 4096 Byte beschränkt (jemand anders kann den Grund dafür klären). Das Längenfeld pro Attribut ist 1 Oktett und daher sind Attribute auf 255 Bytes begrenzt.
RFC 6929 definiert 'Long' Attribute, die in 253 Byte Chunks fragmentiert sind (Länge Feld enthält Attribut und Länge Feld in der Länge). Also in diesem Fall und Attribut kann so lang wie das Paket sein. –
RFC7499 ermöglicht große Pakete basierend auf Fragment Reassembly, die den Inhalt mehrerer RADIUS-Pakete verkettet.
und erklärt die Gründe für die ursprüngliche Grenze als Sein:
UDP zu vermeiden Fragmentierung so viel wie möglich. Damals schien eine Größe von 4096 Bytes für jeden Zweck groß genug zu sein. Jetzt entstehen neue Szenarien , die den Austausch von Autorisierungsinformationen erfordern, die diese 4096-Byte-Grenze überschreiten.
Die neue Grenze ist nicht absolut. RFC7499 schlägt vor, dass 25 Roundtrips das Maximum sein sollten, und dass Pakete auf das Netzwerk PMTU beschränkt werden sollten.
16 Octets ist viel weniger als 65k! Außerdem ist der Authentifikator streng durch das Radius-Protokoll definiert und kann nicht für beliebige Daten verwendet werden. – artbristol
Für zukünftige Suche - Request Authenticator sollte zufällig, fälschungssicher Bitstring und Antwort Authenticator ist im Grunde eine Signatur. Außerdem sind es 128 Bit, was für "Bild" zu klein erscheint. Wenn dies nicht tatsächlich ein Bild, sondern eine Signatur ist, die vom Bild generiert wird, funktioniert es zwar, aber es ist eine gute Vorgehensweise, Änderungen im Protokoll nicht so weit zu machen, dass sowohl der Client als auch der Server geändert werden müssen. Normalerweise hätten Sie Ihren eigenen Server, der mit einem externen Authentifizierungsdienst integriert ist, der alles implementieren kann, was er will. –