W dniu 28 kwietnia 2008 10:39 użytkownik A.L.E.C alec@alec.pl napisał:
nigdzie nie znalazłem dokumentacji do tego community i ports, czy możesz rzucić jakiegoś linka? clients.conf o tym nie wspomina, więc przypuszczam że to jakiś dodatek a nie wymóg samego radiusa. Chciałbym usłyszeć uzasadnienie.
Witam to co znalazlem na szybko: http://wiki.freeradius.org/Dialup_admin#NAS_Information jak przygotujesz backend mysql dla radiusa zobaczysz ze standardowo bo zaimportowaniu struktury bazy radius, w tabeli nas masz pola ports i community, nawet w projekcie ASN Ara (do zarzadzania radiusem) mozna konfigurowac te opcje, ports jest zapewne po to aby nie zezwalac podłączenia więcej userom w jednym czasie niz ta wartosć, natomiast community jest bardzo ważne, standardowo do radiusa dostajesz skrypt checkrad, gyd dodajesz nasa wybieraasz typ nasa np cisco itp. Skrypt checkrad wtedy widzac ze to nas typu cisco łączy się poprzez snmp (wybiera z pola community społeczność dla snmp) i np odpytuje router, moze inaczej schemat autentykacji radiusa:
1. NAS zapytuje radiusa czy moze wpuscic do sieci poprzez ten właśnie nas usera o loginie test z haslem pass, radius sprawdza w tabeli radacct, czy taki user nie jest przypadkiem juz zalogowany w innym nasie, jezeli nie jest to wpuszcza go do sieci, jezeli tabela wykazuje ze jest wtedy przechodzi do kroku drugiego 2. Radius uruchamia skrypt radcheck, który to bierze community z tabeli nas z wiersza odpowiadajacego adresowi ip nasu (do ktorego wedlug tabeli radacct jest wlasnie teraz zalogowany user) łączy się przez snmp z uzyciem tego community i wyciaga z niego info czy user o tym loginie jest juz napenwo zalogowany, jezeli jest, to wysyła do nasa który zapytał się o autentykacje odmowe, jezeli nie jest poprawia wpis w bazie radacct (usuwa tzw "stale session") i dopuszcza usera do sieci.
Jest to barzdo ważny element, szczególnie jeśli ktoś realizuje sieć według starego planu gdzie ma się kilkanaście koncentratorów i w dodatku chce się dac userom mozliwosc mobilnosci, autentykacji do kazdego z nich, pozatym jest on uzywany do usuwania wlasnie starych sesji, dzieki czemu accounting staje sie wiarygodny, mozna go uzyc do rozliczania VoIP, czy tez nawet internetu na godziny.
Stale sessions powstaja wtedy gdy, NAS nie wysle do radiusa pakietu o zakonczeniu połączenia, lub gdy ten pakiet się zgubi, standardowa sytuacja gdy np nagle zabraknie prądu, userów rozłączy ale NAS nie powiadomi o tym radiusa, dzieki t emu wisi sesja, noi raz ma się burdel w księgowości, dwa nie można poprawnie wyeliminować podwójnych loginów, 3. gdy używa się ip pools w radiusie tak aby rozdawać dynamiczne ip z jednej pul na wszystki koncentratorach, wtedy gdy wisi taka sesja, radius nie zwalnia tego ip i gdy ludek na nowo się loguje dostaje nowe ip, w efekcie 2 ip z puli są zajete a powinno być tylko jedno.
Tak więc community jest bardzo ważne, i to nie jest moje widzi mi sie ;)
Pozdrawiam
!DSPAM:481599c189261804284693!