Рассмотрим этапы процесса более детально.
NAS передает свой запрос Access-Request серверу-посреднику. Пересылающий сервер расшифровывает значение атрибута User-Password (если атрибут присутствует) с использованием известного ему разделяемого ключа для данного NAS. Если в пакете присутствует атрибут CHAP-Password и нет атрибута CHAP-Challenge, пересылающий сервер должен сохранить атрибут Request-Authenticator неизменным или скопировать его значение в атрибут CHAP-Challenge.
Пересылающий сервер может добавить в пакет атрибут Proxy-State, но добавление каких-либо других атрибутов недопустимо. При добавлении атрибута Proxy-State этот атрибут должен помещаться в пакет после всех имеющихся в пакете атрибутов Proxy-State. Для пересылающего сервера недопустимо изменение имеющихся в пакете атрибутов Proxy-State (сервер может отказаться от пересылки этих атрибутов, но менять их недопустимо). Также недопустимо для пересылающего сервера изменять порядок любых однотипных атрибутов, включая Proxy-State.
Пересылающий сервер шифрует User-Password (если этот атрибут присутствует) с использованием ключа, разделяемого с удаленным сервером, устанавливает значение поля Identifier и передает пакет Access-Request удаленному серверу.
Удаленный сервер (если он не является посредником) проверяет пользователя с помощью атрибутов User-Password, CHAP-Password или иных методов, которые могут появиться в будущих версиях, и возвращает серверу посреднику пакет Access-Accept, Access-Reject или Access-Challenge. В нашем примере передается отклик Access-Accept. Удаленный сервер должен скопировать из запроса Access-Request все атрибуты Proxy-State (и только Proxy-State) с сохранением их порядка.
Сервер-посредник проверяет Response Authenticator с использованием ключа, разделяемого с удаленным сервером, и при несоответствии отбрасывает пакет без уведомления. При успешной проверке пересылающий сервер удаляет последний атрибут Proxy-State (если он был добавлен), подписывает Response Authenticator с использованием ключа, разделяемого с NAS, восстанавливает Identifier в соответствии с исходным запросом от NAS и передает отклик Access-Accept серверу NAS.
Пересылающему серверу может потребоваться изменение атрибутов в соответствии с локальной политикой. Такие вопросы выходят за пределы данного документа, однако спецификация протокола вносит ряд ограничений на изменение атрибутов пересылающими серверами. Для серверов посредников недопустимо изменять существующие атрибуты Proxy-State, State, Class. Разработчикам таких серверов следует внимательно относиться к принимаемым сервером значениям атрибута Service-Type. Особая осторожность требуется для атрибута Service-Type со значениями NAS-Prompt или Administrative в пересылаемых пакетах Access-Accept и разработчики могут использовать механизмы блокирования таких сообщений, а также сообщений иных типов. Рассмотрение механизмов блокировки выходит за пределы настоящей спецификации.