17-04-08, tdabek@go2.pl tdabek@go2.pl napisał(a):
- Opcja konfiguracyjna w UI (radius_enable = 0/1 [?]) albo nawet cala
sekcja [radius] gdzie ustawialoby sie rozne opcje potrzebne do dzialania radiusa (to chyba lepsze rozwiazanie). Jesli "radius_enable = 1" to pojawiaja sie dodatkowe powiedzmy checkboxy na karcie komputera konkretnego klienta, m.in. czy pomoze logowac sie z wielu NASow, jakies dodatkowe propozycje checkboxow?
Mysle ze sekcja radius to świetny pomysł, nie bedzie wprowadzac zamentu ludziom ktorzy nie uzywaja radiusa.
- Urzadzenia:
a. "ptaszek" jesli ma byc NAS + pole na porty lub, jesli tego beda wymagac inne rzeczy, stworzona cala grupa NAS i tam urzadzenie dodane.
+ pole na secret, + pole na type + pole na community Generalizowanie nasów do jednej grupy ma swoje wady i zalety, bo niby wiekszosc i tak uzywa tych samych ustawień z drugiej strony, standardem jest mozliwosc ustawiania roznych typow secretow i ilosci portow, wiec mysle ze te pola musiałyby pojawić się na karcie ip urzadzenia (tabela nodes)
+metoda autentykacji na danym urzadzeniu jesli inna niż ogolne, albo może dać tą opcje na kartach komputerów, już sam nie wiem, ja i tak stosuje tylko pppoe ;p, bo moze byc ktos kto autoryzuje klientow radiowych po macu a pozniej jeszcze robi tunel pppoe (chociaż to skrajna przypadłość zapomnijcie o tym co powiedziałem )
b. "ptaszek" mikrotik_rate_limit w przypadku gdy chcemy aby zaraz na mikrotiku zakladane byly kolejki dla komputera brane z taryfy klienta (mysle ze Michal moglby dorobicw tym przypadku narzedzie do czytania tego i ladowania do MT?)
Nie ma co dorabiać, MT sam się tym zajmuje wystarczy dostarczyć radiusowi odpowiedni słownik atrybutów (od którejs tam wersji freeradiusa juz jest w standardzie), wszystko co trzeba zrobić to w tabeli radreply obok framed-ip-address dodać kolejny atrybut mikrotik-rate-limit (który bedzie pobierany z taryf ;) ) i chyba (nie wiem bo nie doprowadzałem tego do końca) zmienić zapytanie w sql.conf, (miedzy innymi dlatego właśnie chciałem aby standardowa struktura radiusa pozostała)
Co do tego tez nie jestem pewien czy nie powinno to być na każdym kompie również, może zdarzyć się sytuacja że któremuś kompowi nie będziemy chcieli tak zrobić, z róznych względów, ale można by zrobić grupe dla komputerów która by wykluczała dany komputer z opcji mikrotik-rate-limit lub coś w tym stylu, właściwie można by zrobić taką samą stała grupe dla tych kompów których np nie chcemy autoryzować w ogóle
Uwierzytelnianie: wedlug propozycji Dariusza:
po mac adresie bo to sie o dziwo może niektórym jeszcze przydać
802.1x + EAP-(PEAP/EAP-MSCHAPv2)lub EAP-TTLS
2. po ludzku ;), uwierzytelnianie login/password lub certyfikat ogolny/osobny dla każdego usera (nie wgłębiałem się w to, ale chyba były jeszcze certyfikaty dla nasów), nie wiem ale myśle, że jeśli nikt z tego nie korzysta moglibyśmy sobie to odpuścić tym razem, z tego względu że to troche roboty, jakby chciało się to do porządku zrobić (trzeba by nie wiem dorobić typ dokumentu, certyfikat czy cos takiego), a co za tym idzie więcej kasy dla Alka
To tyle, o czyms zapomnialem?
Teraz opcje konfiguracyjne jesli bedzie sekcja [radius] w UI:
- simultaneous_use = 0/1
wtedy nalezy kazdemu userowi przypisac ten atrybut lub kazdego usera przywiazac do jakiejs grupy, a grupie dac simula (radiusowa tabela usergroup)
- NAS_port = (jesli nie na karcie dla urzadzenia tylko globalnie dla
wszystkich NASow)
tryb autentykacji jesli nie na karcie urządzenia ;)
jakies dodatkowe pomysly?
Co do tabel to raddacct taki jak w oryginale freeradiusowy ze wzgledu na dzialanie checkrad
również tabela bad users, co z tabela usergroup?
To takze do rozwazenia.
No fajnie by było
Pozdrawiam
!DSPAM:48073c40145216491211187!