Witam, czy posiada ktoś skrypty które wykonają: - reset w bazie radius'a nie zakończonych sesji - tworzenie pliku "traffic.log" na podstawie bazy radius'a - zaznaczenie aktywnych/włączonych komputerów z bazy radius'a płatność za ww jest jak najbardziej zrozumiała, nie jestem zainteresowany rozwiązaniem wprowadzającym zmiany w samym lms'ie.
Pozdrawiam Marcin
!DSPAM:47f8975464151243476951!
06-04-08, Marcin o2. pl bartmarian@o2.pl napisał(a):
Witam, czy posiada ktoś skrypty które wykonają:
- reset w bazie radius'a nie zakończonych sesji
- tworzenie pliku "traffic.log" na podstawie bazy radius'a
- zaznaczenie aktywnych/włączonych komputerów z bazy radius'a
płatność za ww jest jak najbardziej zrozumiała, nie jestem zainteresowany rozwiązaniem wprowadzającym zmiany w samym lms'ie.
Pozdrawiam Marcin
mam pierwszza i trzecia pozycje :), mozemy sie dogaac, druga pozycje napisze wolnej chwili :)trzecia pozycja polega na tym zeradius aktualizuje pola w bazie lms lastonline
Pozdrawiam
lms mailing list lms@lists.lms.org.pl http://lists.lms.org.pl/mailman/listinfo/lms
!DSPAM:47f8b83d129095962586004!
Witam!
W liście datowanym 6 kwietnia 2008 (13:47:03) napisano:
06-04-08, Marcin o2. pl bartmarian@o2.pl napisał(a):
Witam, czy posiada ktoś skrypty które wykonają:
- reset w bazie radius'a nie zakończonych sesji
- tworzenie pliku "traffic.log" na podstawie bazy radius'a
- zaznaczenie aktywnych/włączonych komputerów z bazy radius'a
płatność za ww jest jak najbardziej zrozumiała, nie jestem zainteresowany rozwiązaniem wprowadzającym zmiany w samym lms'ie.
Pozdrawiam Marcin
mam pierwszza i trzecia pozycje :), mozemy sie dogaac, druga pozycje napisze wolnej chwili :)trzecia pozycja polega na tym zeradius aktualizuje pola w bazie lms lastonline
Pozdrawiam
lms mailing list lms@lists.lms.org.pl http://lists.lms.org.pl/mailman/listinfo/lms
lms mailing list lms@lists.lms.org.pl http://lists.lms.org.pl/mailman/listinfo/lms
mnie interesuje troche pelne rozwiazanie lms+radius+pppoe
09-04-08, SoNiC sonic@sonic.idl.pl napisał(a):
mnie interesuje troche pelne rozwiazanie lms+radius+pppoe
Jak pełne rozwiń myśl, może coś dla ciebie znajde :)
Pozdrawiam
!DSPAM:47fc55ee120981886019037!
Witam!
W liście datowanym 9 kwietnia 2008 (07:36:39) napisano:
09-04-08, SoNiC sonic@sonic.idl.pl napisał(a):
mnie interesuje troche pelne rozwiazanie lms+radius+pppoe
Jak pełne rozwiń myśl, może coś dla ciebie znajde :)
Pozdrawiam
lms mailing list lms@lists.lms.org.pl http://lists.lms.org.pl/mailman/listinfo/lms
Widzisz w LMSie jak do tej pory brak mozliwosci spiecia z Radiusem jest. Mozna rozwiazac to tylko laczac Radiusa z Mysqlem, w chwili obecnej zastanawiam sie gdzie bedzie koncentrator, czy na Mikrotiku czy na serwerze. Tak samo zastanawiam sie jak zachowaja sie moje skrypty pod PPPoE jak i sama siec. Chodzi tez tutaj o liste aktywnych komputerow w LMSie z Radiusa, mozliwosc zobaczenia aktywnych polaczen i ich resetowania. Bzdetki ale czuje ze beda mnie kosztowac, a mam mala siec 15 osob ktora wiecznie jest przez 'lewusow' atakowana. Z nimi sobie radze ale ile mozna ludzi namierzac z antena w reku pukajac do drzwi i mowiac ze to nielegalne to co robia ;|.
09-04-08, SoNiC sonic@sonic.idl.pl napisał(a):
Widzisz w LMSie jak do tej pory brak mozliwosci spiecia z Radiusem
[...]
ciekawe ;) jakos tego nie widze od 3 lat mam wlasne rozwiazanie ;)
Witam!
W liście datowanym 10 kwietnia 2008 (20:01:18) napisano:
09-04-08, SoNiC sonic@sonic.idl.pl napisał(a):
Widzisz w LMSie jak do tej pory brak mozliwosci spiecia z Radiusem
[...]
ciekawe ;) jakos tego nie widze od 3 lat mam wlasne rozwiazanie ;)
Dobrze, moze tak, czy masz gdzies w dokumentacji badz w samym LMSie wzmianke na temat Radiusa? NIE. Wiec po co ta dyskusja.
10-04-08, SoNiC sonic@sonic.idl.pl napisał(a):
Dobrze, moze tak, czy masz gdzies w dokumentacji badz w samym LMSie wzmianke na temat Radiusa? NIE. Wiec po co ta dyskusja.
nie zmieniaj tematu.
Widzisz w LMSie jak do tej pory brak mozliwosci spiecia z Radiusem
[...]
no wiec mozliwosc jest i to wymaga totalnych podstaw mysqla (viewsy )
pozdr.
Wojciech Ziniewicz pisze:
10-04-08, SoNiC sonic@sonic.idl.pl napisał(a):
Dobrze, moze tak, czy masz gdzies w dokumentacji badz w samym LMSie wzmianke na temat Radiusa? NIE. Wiec po co ta dyskusja.
nie zmieniaj tematu.
Widzisz w LMSie jak do tej pory brak mozliwosci spiecia z Radiusem
[...]
no wiec mozliwosc jest i to wymaga totalnych podstaw mysqla (viewsy )
pozdr.
Coś się tak uparł :) Ludziom chodzi pewnie o to, że nie da się zrobić tak, że ściągasz LMS "pudełkowy" i nagle masz w sieci ppoe na radiusie...
pozdrawiam, Dawid Widyna
!DSPAM:47fe6c3d271851436614547!
Witam!
W liście datowanym 10 kwietnia 2008 (21:36:28) napisano:
Wojciech Ziniewicz pisze:
10-04-08, SoNiC sonic@sonic.idl.pl napisał(a):
Dobrze, moze tak, czy masz gdzies w dokumentacji badz w samym LMSie wzmianke na temat Radiusa? NIE. Wiec po co ta dyskusja.
nie zmieniaj tematu.
Widzisz w LMSie jak do tej pory brak mozliwosci spiecia z Radiusem
[...]
no wiec mozliwosc jest i to wymaga totalnych podstaw mysqla (viewsy )
pozdr.
Coś się tak uparł :) Ludziom chodzi pewnie o to, że nie da się zrobić tak, że ściągasz LMS "pudełkowy" i nagle masz w sieci ppoe na radiusie...
pozdrawiam, Dawid Widyna
lms mailing list lms@lists.lms.org.pl http://lists.lms.org.pl/mailman/listinfo/lms
owszem :P trzeba umiec, i napisac wlasny skrypt. Udostepniles go do lms-contrib? chyba nie wiec czemu taki problem?
SoNiC pisze:
Coś się tak uparł :) Ludziom chodzi pewnie o to, że nie da się zrobić tak, że ściągasz LMS "pudełkowy" i nagle masz w sieci ppoe na radiusie...
owszem :P trzeba umiec, i napisac wlasny skrypt. Udostepniles go do lms-contrib? chyba nie wiec czemu taki problem?
Jeżeli nie umiesz tego (freeradius+LMS+MySQL+MT) poskładać do kupy (co wcale nie jest jakimś karkołomnym zadaniem) - zatrudnij admina (takiego prawdziewgo) , a sam zajmij się czymś ciekawszym , zapewne masz jakieśtam hobby ;)
!DSPAM:47fe7492283371436614547!
Witam!
W liście datowanym 10 kwietnia 2008 (22:10:33) napisano:
SoNiC pisze:
Coś się tak uparł :) Ludziom chodzi pewnie o to, że nie da się zrobić tak, że ściągasz LMS "pudełkowy" i nagle masz w sieci ppoe na radiusie...
owszem :P trzeba umiec, i napisac wlasny skrypt. Udostepniles go do lms-contrib? chyba nie wiec czemu taki problem?
Jeżeli nie umiesz tego (freeradius+LMS+MySQL+MT) poskładać do kupy (co wcale nie jest jakimś karkołomnym zadaniem) - zatrudnij admina (takiego prawdziewgo) , a sam zajmij się czymś ciekawszym , zapewne masz jakieśtam hobby ;)
lms mailing list lms@lists.lms.org.pl http://lists.lms.org.pl/mailman/listinfo/lms
owszem mam, to aby sie tego nauczyc wlasnie. sproboje swoich sil czytajac i szukajac jakis informacjii
10-04-08, SoNiC sonic@sonic.idl.pl napisał(a):
owszem mam, to aby sie tego nauczyc wlasnie. sproboje swoich sil czytajac i szukajac jakis informacjii
LMS od dłuższego czasu, zaczyna być tylko UI, do którego trzeba sobie dopisać pewne rzeczy, w LMSie masz dużo opcji ale nie wszystkie obsługuje już demon, setup RADIUS + LMS + MT + PPPOE jest BANALNY, trzeba poczytac tu i uwdzie. Najgorsze moze być zaprzeżenie radiusa z LMSem, mozna w radiusie wpisac tak zapytania do bazy aby pytał baze lms (było gdzieś w archiwum) bądź zrobić sobie skrypt który będzie aktualizował osobną baze radiusa według zmian w bazie LMSa. Reszta to bajka, czyste podstawy freeradiusa, a pppoe jest rozwiazane na MT wystarczy tylko wpisac w MT aby korzystal z radiusa podac mu ip serwera i po sprawie. Później pewnie będziesz miał problemy z "stalled sessions" w accounting noi analogicznie z simultaneous-use, to już wymaga trochę większego wgłebienia się do tematu. Z resztą chyba od paru lat są dostępne distro z lmsem przerobionym do współpracy z radiusem i MT.
Pozdrawiam
!DSPAM:47ff03d3145216491211187!
On Thu, 10 Apr 2008 22:10:33 +0200, Przemysław Kudyba wrote
SoNiC pisze:
Coś się tak uparł :) Ludziom chodzi pewnie o to, że nie da się zrobić tak, że ściągasz LMS "pudełkowy" i nagle masz w sieci ppoe na radiusie...
owszem :P trzeba umiec, i napisac wlasny skrypt. Udostepniles go do lms-contrib? chyba nie wiec czemu taki problem?
Jeżeli nie umiesz tego (freeradius+LMS+MySQL+MT) poskładać do kupy (co wcale nie jest jakimś karkołomnym zadaniem) - zatrudnij admina (takiego prawdziewgo) , a sam zajmij się czymś ciekawszym , zapewne masz jakieśtam hobby ;)
lms mailing list lms@lists.lms.org.pl http://lists.lms.org.pl/mailman/listinfo/lms
wystarczy parę tabel potrzebnych radiusowi zintegrowac z lms (Alec chyba rozważa zrobienie tego) i odpowiednio przekonfigurować radiusa tak aby wszystko pobierał z baz danych LMS-a, aby wszystko było w bazach (NAS-y także) potrzeba jeszcze dorobić w LMS możliwość tworzenia grup urzadzeń aby łatwo oddzielić urządzenia będace NAS od tych które nie maja być uwzględniane przez radiusa jako NAS. na dzień dzisiejszy trzeb samemu sie postarać aby lms współpracowal z radiusem a można poprosić oraz opłacić developerów żeby taką funkcjonalność zintegrowali z LMS ku pożytkowi wszystkich i z zyskiem dla LMS bo ma to sens tylko wtedy jak jest rozwijane dalej a nie jak jest zrobione pod klucz.
Dariusz Kowalczyk
!DSPAM:47ffbc0c135181671789688!
On Fri, 11 Apr 2008 21:29:04 +0200, Dariusz Kowalczyk wrote
wystarczy parę tabel potrzebnych radiusowi zintegrowac z lms (Alec chyba rozważa zrobienie tego) i odpowiednio przekonfigurować radiusa tak aby wszystko pobierał z baz danych LMS-a, aby wszystko było w bazach (NAS-y także) potrzeba jeszcze dorobić w LMS możliwość tworzenia grup urzadzeń aby łatwo oddzielić urządzenia będace NAS od tych które nie maja być uwzględniane przez radiusa jako NAS. na dzień dzisiejszy trzeb samemu sie postarać aby lms współpracowal z radiusem a można poprosić oraz opłacić developerów żeby taką funkcjonalność zintegrowali z LMS ku pożytkowi wszystkich i z zyskiem dla LMS bo ma to sens tylko wtedy jak jest rozwijane dalej a nie jak jest zrobione pod klucz.
Nie trzeba żadnych dodatkowych tabel. Twoja wypowiedź brzmi jak wypowiedź rzecznika prasowego rządu ;-)
Dariusz Kowalczyk
Pozdrawiam, Tomek.
Tomasz Chiliński pisze:
Nie trzeba żadnych dodatkowych tabel. Twoja wypowiedź brzmi jak wypowiedź rzecznika prasowego rządu ;-)
Wlasnie jestem po wstepnych rozmowach z ALEC'iem interesuje go wlasnie jak to ma wygladac, jakas konkretna rozpiska jak to ma ze soba dzialac. Postaram sie to sfinansowac wiec prosze aby kazdy kto ma jakis punkt widzenia jak to musi byc zrobione, aby wypowiedzial sie tutaj na liscie. Moze zrobimy to jakos w punktach co i jak powinno dzialac oraz moze macie jakies fajne rozwiazania ktore moga sie przydac. Oczywiscie finansowo to kwestia dogadania sie ale juz skoro cos robic to zrobic porzadnie i moze wreszcie LMS bedzie mial ta funkcjonalnosc.
Zapraszam do merytorycznej dyskusji.
Zapraszam do merytorycznej dyskusji.
-- Pozdrawiam Tomasz Dąbek [Thomas] [gg:14553 mail:tdabek_NO_@go2.pl]
założenia: 1. radius korzysta z bazy danych i dla userow i dla NAS 2. wprowadzamy grupy do urządzeń jako że nie korzystamy z pliku clients.conf a wiec NAS-y i ich hasła maja być wyciągane wprost z baz danych lms-a czyli po z lms-owych Urządzeń. A do tego potrzebne jest wprowadzenie rozróżnienia urządzeń "biernych" od bedących NASem. I do tego potrzebne są grupy dla urzadzeń albo przynajmniej "ptaszek" w opcjach danego urządzenia który nada danemu urządzeniu odpowiedni status NAS/nieNAS 3.konfiguracja powinna uwzględniać różne sposoby uwierzytelnienia:
---- najprostsza po mac adresie klienta ---- bezpieczniejsza z wykorzystaniem protokołu 802.1x + EAP(PEAP/MSCHAPv2)lub EAP-TTLS czyli użytkownik i hasło per klient (każdy klient musi tylko zaimportować na swoim komputerku jeden wspólnych dla wszystkich certyfikat danego ISP), tutaj nic nie potrzeba dodatkowo dorabiać, bo user to np nazwa hosta może być klienta, a hasło z pola hasło komputera klienta. ---- super bezpieczna la 802.1x z EAP-TLS no i w końcu można poszaleć, dla tych co chcą mieć super bezpiecznie i certyfikat per klient, no ale tutaj trzeba by dorobić kod do automatycznego generowania certyfikatów per klient i ich przechowywania bazie i bezpiecznej dystrybucji. Mając to lms byłby najchętniej używanym w wewnętrznych sieciach wifi wielu firm, które z reguły maja bzika na punkcie bezpieczeństwa. Ale raczej nie w sieciach isp :-) więc można sobie darować :_) bo nie sądzę że by się komuś chciało aż tak :-)
zatem proponuje pozostać przy wsparciu: 1. po mac adresie bo to sie o dziwo może niektórym jeszcze przydać 2. 802.1x + EAP-(PEAP/EAP-MSCHAPv2)lub EAP-TTLS
p.s. hmmm czy wykorzystać dla radiusa istniejące tabele do statystyk w lms jak sugeruje Tomek Chiliński. Nie jestem przekonany. Będzie to wtedy dosyć ścisła integracja radiusa z lms może nawet zbyt ścisła. Ja bym wolał aby do tych akurat tabel do których radius zapisuje nie mieszać z lms-owymi choćby po to żeby zmniejszyć prawdopodobieństwo nadpisania czegoś przez radiusa na skutek błędnej konfiguracji.
Dariusz Kowalczyk
!DSPAM:48002243308511660962268!
12-04-08, Dariusz Kowalczyk daro@i24.pl napisał(a):
p.s. hmmm czy wykorzystać dla radiusa istniejące tabele do statystyk w lms jak sugeruje Tomek Chiliński. Nie jestem przekonany. Będzie to wtedy dosyć ścisła integracja radiusa z lms może nawet zbyt ścisła. Ja bym wolał aby do tych akurat tabel do których radius zapisuje nie mieszać z lms-owymi choćby po to żeby zmniejszyć prawdopodobieństwo nadpisania czegoś przez radiusa na skutek błędnej konfiguracji.
I właśnie daltego wolę aby jednak dane radius do autentykacji były jednak w bazi radiusa niz radius miałby pracować na bazie lms, szczególnie że jak mówilem wczesnij konfiguracja pliku sql.conf radiusa so korzystania z bazy lmsa moze b yc dla nie ktorych karkołomna, i istnieje duze ryzyko nadpisania. Ja myśle że lms sam powinien działać na bazie radiusa tak jak na swojej czyli np po kliknieciu zapisz zeby aktualizowal i swoja baze i baze radiusa, bądź dorobic modul daemona ktory zajmie sie tym aby wpisy w bazie radiusa byly aktualizowane przy przeladowaniu u mnie robi to skrypt i jestem zadowolony z takiego rozwiazania
!DSPAM:480088a1115925156419305!
Michał Gacek pisze:
I właśnie daltego wolę aby jednak dane radius do autentykacji były jednak w bazi radiusa niz radius miałby pracować na bazie lms, szczególnie że jak mówilem wczesnij konfiguracja pliku sql.conf radiusa so korzystania z bazy lmsa moze b yc dla nie ktorych karkołomna, i istnieje duze ryzyko nadpisania. Ja myśle że lms sam powinien działać na bazie radiusa tak jak na swojej czyli np po kliknieciu zapisz zeby aktualizowal i swoja baze i baze radiusa, bądź dorobic modul daemona ktory zajmie sie tym aby wpisy w bazie radiusa byly aktualizowane przy przeladowaniu u mnie robi to skrypt i jestem zadowolony z takiego rozwiazania
Oczywiscie masz wiele racji, rozwiazanie z dwiema bazami ma plus jesli chcesz miec niezaleznie bez obawy tak jak piszesz, ze moze sie cos niefortunnie nadpisac, minus natomiast ze trzeba konfigurowac druga baze i nimi zarzadzac. Jedna baza natomiast ma zalete ze wszystko jest w jednym miejscu i jakos latwiej tym zarzadzac bez dodatkowych skryptow/demonow itd. Co do konfiguracji jednego i drugiego sposobu to mysle ze okaza sie tak samo mniej lub bardziej skomplikowane dla laikow. Oczywiscie nie wszyscy uzytkownicy LMSa beda korzystac z radiusa wiec napewno musi byc opcja (opcje) w UI do wlaczania tej funkcjonalnosci.
przy "jakiejś" rekonfiguracji sieci, czasem wygodniej jest aby wprowadzone zmiany nie były on-line, dlatego baza lms i radius'a osobno też ma sens (+ przeładowanie), z drugiej strony miło jest edycja/wpis/zastosuj, aha nie wiem jak u Was ale u mnie urządzenia (ip/haslo) NAS z sql'a pobierane jest tylko gdy startuję freeradius'a
!DSPAM:4800c7a1224481010189975!
On Sat, 12 Apr 2008 16:30:52 +0200, Marcin o2.pl wrote
przy "jakiejś" rekonfiguracji sieci, czasem wygodniej jest aby wprowadzone zmiany nie były on-line, dlatego baza lms i radius'a osobno też ma sens (+ przeładowanie), z drugiej strony miło jest edycja/wpis/zastosuj, aha nie wiem jak u Was ale u mnie urządzenia (ip/haslo) NAS z sql'a pobierane jest tylko gdy startuję freeradius'a
To lipnie. Doprawdy nie widzę potrzeby tworzenia dwóch baz danych. Działamy w kilku miejscach na PPPoE+FreeRadius+LMS i nie występują żadne problemy. Btw. accounting też ładnie jest prowadzony z wykorzystaniem tabeli stats.
Pozdrawiam.
Nie trzeba żadnych dodatkowych tabel. Twoja wypowiedź brzmi jak wypowiedź rzecznika prasowego rządu ;-)
Pozdrawiam, Tomek.
trzeba chyba ze chcesz to co radius zapisuje (statystyka itd)trzymać w osobnej bazie ale po co jak można w jednym miejscu, nie wiem co w mojej wypowiedzi nasunęło Ci analogię do mętnych wypowiedzi rzecznika rządu ale porównanie z jakimkolwiek politykiem odbieram i odebrałem i to jako osobista zniewagę :-( i oczekuję przeprosin albo porównania mojej wypowiedzi z kimś innym :-). Osobiście lubię riposty ale odpuszczam :-) żeby nie zbaczać z tematu. A tak na poważnie. Po prostu uważam ze sensowniej jest zapłacić za rozwój kodu z którego potem skorzystają wszyscy i który przyczyni się do rozwoju całości projektu i jego funkcjonalności, zawsze płaciłem za rozwój funkcjonalności tych części lms-a które uważałem ze są potrzebne nie tylko mnie ale i wszystkim i tylko pod warunkiem włączenia go na stale do wersji cvs płaciłem za kod, nie jest to altruizm czy ideologia tylko pragmatyzm.
pozdrawiam Darek
!DSPAM:47fff594239771068017541!
On Sat, 12 Apr 2008 01:34:32 +0200, Dariusz Kowalczyk wrote
Nie trzeba żadnych dodatkowych tabel. Twoja wypowiedź brzmi jak wypowiedź rzecznika prasowego rządu ;-)
trzeba chyba ze chcesz to co radius zapisuje (statystyka itd)trzymać w osobnej bazie ale po co jak można w jednym miejscu, nie wiem co w mojej wypowiedzi nasunęło Ci analogię do mętnych wypowiedzi rzecznika rządu ale porównanie z jakimkolwiek politykiem odbieram i odebrałem i to jako osobista zniewagę :-( i oczekuję przeprosin albo porównania mojej wypowiedzi z kimś innym :-).
1) Jak większość nie dostrzegasz różnicy pomiędzy oceną wypowiedzi, a oceną osoby. Jeśli wypowiadasz się w kwestii o której nie masz pojęcia to wypowiedź brzmi dokładnie jak wypowiedź rzecznika rządu ;-) 2) Tabela do przechowywania statystyk już istnieje w LMS i można jej używać m.in. do składowanie uaktualnień statystyk ruchu prowadzonych przez Radiusa.
Osobiście lubię riposty ale odpuszczam :-) żeby nie zbaczać z tematu. A tak na poważnie. Po prostu uważam ze sensowniej jest zapłacić za rozwój kodu z którego potem skorzystają wszyscy i który przyczyni się do rozwoju całości projektu i jego funkcjonalności, zawsze płaciłem za rozwój funkcjonalności tych części lms-a które uważałem ze są potrzebne nie tylko mnie ale i wszystkim i tylko pod warunkiem włączenia go na stale do wersji cvs płaciłem za kod, nie jest to altruizm czy ideologia tylko pragmatyzm.
3) Zapisz się w końcu na listę mailingową!
pozdrawiam Darek
Pozdrawiam.
Ja myśle aby zrobić tak aby lms sam wkładał odpowiednie dane do bazy radiusa, nie ma sensu robic tak aby radius korzystał z baz danych lmsa, ciezko by było to zwykłemu userowi skonfigurować, a tak nie odcielibysmy sie od mozliwosci jakie daje radius. Jesli chodzi o aktywnosc userow to chyba jedynym porzadnym sposobem na to jest aby jednak radius sam aktualizowal wpisy w bazie lms odnosnie lastonline, jest najdokładniejsze i obeszło by się problem ewentualnych zwisów sesji itp itd (w przypadku gdyby LMS sam by miał zaciągać dane z tabeli radacct). Jeśli chodzi o rodział urządzeń NAS to wystarczy dodatkowa opcja w urządzeniach na typ nasu i secret do radiusa, aby były one aktualizowane w tabeli nas radiusa. Mysle ze LMS powinien zająć się konfiguracją bazy radiusa czyli dodawanie nowych loginów rozne zmiany usuwanie itp itd. Powinna być opcja na kazdy komp odnosnie simultaneous-use i być może opcja mikrotik rate limit, dla tych co odrazu za pomoca radiusa tworza kolejki na MTku. Pozostaja problemy typu co robic jak daje sie kompowi falge odłączony, czy dawac tylko standardowe przekierowanie na winetke, czy np całkiem blokować konto pppoe itp. Jeśli chodzi o statystyki to sam do konca nie wiem jak to ugryść, bo jeszcze nie miałem czasu sie tym zająć, natomiast na pewno przydałby się osobne podmenu do accountingu, bardzo fajna sprawa narazie uzywam osobnego panelu "ARA", ale miło byłoby gdyby coś takiego było już w lmsie. Tak aby zobaczyć kto gdzie kiedy się łaczył z jakiego maca do jakiego nasa, na jak długi okres czasu itp, takie rzeczy się przydają. AAAA noi jeszcze sprawa odnośnie wiązania userów z konkretnym nasem czy pozwalania im logowania się do każdego, to też musiała by być opcja. Noi coś takiego jak same nazwy uzytkownikow, ja mam w tej chwili nazwy kompow plus "@mojadomena.pl" myśle, ze coś takiego tez powinno się gdzieś ustawiać, słyszałem też że nie którzy uzywaja domeny do jakiegoś specyficznego rozróżniania, chyba chodziło o NASy, nie wiem nie pamiętam, ale wiem że nazwy domenowe w radiusie nie były od tak dla siebie tylko spełniały funkcje, ja tak mam bo niby bajer dla userów że jak w neostradzie <lol>
To chyba wszystko sorry za takie wywody ale to wszystko na co mnie stać o 4 nad ranem :)
Pozdrawiam
!DSPAM:48001345301024042098162!
Dariusz Kowalczyk pisze:
A tak na poważnie. Po prostu uważam ze sensowniej jest zapłacić za rozwój kodu z którego potem skorzystają wszyscy i który przyczyni się do rozwoju całości projektu i jego funkcjonalności, zawsze płaciłem za rozwój funkcjonalności tych części lms-a które uważałem ze są potrzebne nie tylko mnie ale i wszystkim i tylko pod warunkiem włączenia go na stale do wersji cvs płaciłem za kod, nie jest to altruizm czy ideologia tylko pragmatyzm.
Taki tez byl moj zamiar i raczej warunek we wstepnej rozmowie z ALEC'iem aby weszlo to na stale do cvs. Oczywiscie jesli ma to byc zrobione to sami dobrze bedziecie wiedziec jak to powinno dzialac najlepiej.
11-04-08, Tomasz Chiliński tomasz.chilinski@chilan.com napisał(a):
wystarczy parę tabel potrzebnych radiusowi zintegrowac z lms (Alec chyba rozważa zrobienie tego) i odpowiednio przekonfigurować radiusa tak aby wszystko pobierał z baz danych LMS-a, aby wszystko było w bazach (NAS-y także) potrzeba jeszcze dorobić w LMS możliwość tworzenia grup urzadzeń aby łatwo oddzielić urządzenia będace NAS od tych które nie maja być uwzględniane przez radiusa jako NAS. na dzień dzisiejszy trzeb samemu sie postarać aby lms współpracowal z radiusem a można poprosić oraz opłacić developerów żeby taką funkcjonalność zintegrowali z LMS ku pożytkowi wszystkich i z zyskiem dla LMS bo ma to sens tylko wtedy jak jest rozwijane dalej a nie jak jest zrobione pod klucz.
Nie trzeba żadnych dodatkowych tabel. Twoja wypowiedź brzmi jak wypowiedź rzecznika prasowego rządu ;-)
[...]
dokladnie , nie potrzeba zadnych dodatkowych tabel - radius moze korzystac z bazy lms pisalem o tym w wyzszynm poscie - podstawy mysqla i viewsy - to wszystko
pozdr.
Wojciech Ziniewicz pisze:
Nie trzeba żadnych dodatkowych tabel. Twoja wypowiedź brzmi jak wypowiedź rzecznika prasowego rządu ;-)
[...]
dokladnie , nie potrzeba zadnych dodatkowych tabel - radius moze korzystac z bazy lms pisalem o tym w wyzszynm poscie - podstawy mysqla i viewsy - to wszystko
pozdr.
Też uważam , że w zasadzie żadnych dodatkowych tabel do radiusa nie trzeba... aczkolwiek kilka nowych nie zaszkodzi :) Jeżeli ode mnie by to miało zeleżeć - wrzuciłbym tabelę radacct (do accountingu), w takiej postaci jak jest w freeradiusie, tabelę z listą NAS-ów, tabelę z ich portami, oraz tabelę badusers z nieudanymi próbami logowania.
Pozdrawiam
!DSPAM:4800c324212311243476951!
Jeżeli ode mnie by to miało zeleżeć - wrzuciłbym tabelę radacct (do accountingu), w takiej postaci jak jest w freeradiusie, tabelę z listą NAS-ów, tabelę z ich portami, oraz tabelę badusers z nieudanymi próbami logowania.
po co dodatkowa tabela z lista NAS-ow przecież jest lista urządzeń, trzeba tylko oznaczyć w lms-ie urządzenia które pełnią funkcje NASów np dokładając "ptaszek" zaznaczony status: NAS, odznaczony status nieNAS i tyle lub załatwić to ogólniej wprowadzając grupy do urządzeń, trzeba unikać nadmiarowości jeśli nie jest konieczna. Natomiast popieram odseparowanie tabel do których radius zapisuje dane od tabel lms-owych, zwłaszcza że nie ma potrzeby zmieniania ich struktury i mogą to być tabele o nazwach i strukturze takiej jak proponuje dokumentacja radiusa bo nie koliduja nazwami z tabelami lms-owmi i łatwiej będzie to integrować i serwisować.
Jasnym jest ze każdy kto używa juz radiusa z lms w takiej czy innej konfguracji ma to zrobione po swojemu i będzie naciskał na to żeby było "po mojemu" ale chodzi o to żeby nie kierować się prywata tylko wybrać najlepsze rozwiązanie, po to w końcu jest ta dyskusja.
Dariusz Kowalczyk
!DSPAM:4800e40f250671163869485!
12-04-08, Dariusz Kowalczyk daro@i24.pl napisał(a):
po co dodatkowa tabela z lista NAS-ow przecież jest lista urządzeń, trzeba tylko oznaczyć w lms-ie urządzenia które pełnią funkcje NASów np dokładając "ptaszek" zaznaczony status: NAS, odznaczony status nieNAS i tyle lub załatwić to ogólniej wprowadzając grupy do urządzeń, trzeba unikać nadmiarowości jeśli nie jest konieczna. Natomiast popieram odseparowanie tabel do których radius zapisuje dane od tabel lms-owych, zwłaszcza że nie ma potrzeby zmieniania ich struktury i mogą to być tabele o nazwach i strukturze takiej jak proponuje dokumentacja radiusa bo nie koliduja nazwami z tabelami lms-owmi i łatwiej będzie to integrować i serwisować.
Jasnym jest ze każdy kto używa juz radiusa z lms w takiej czy innej konfguracji ma to zrobione po swojemu i będzie naciskał na to żeby było "po mojemu" ale chodzi o to żeby nie kierować się prywata tylko wybrać najlepsze rozwiązanie, po to w końcu jest ta dyskusja.
Noi dlatego moim zdaniem łatwiej będzie laikowi włączyć instancję demona, niż zmieniać sql.conf radiusa. Pozatym tak jak mówiłem dobrze jest mieć baze radiusa ze wzgledu na zewnetrzne projekty lub skryupty typu checkrad i podobne. Nie mówiąc o dynamicznych ipkach (ip_pools), jest wiele ciekawych rozszerzeń do radiusa i co będziesz je przepisywał zeby działały z bazą lmsa?? Rozumiem że LMS jest fajny, zajebisty i w ogóle ale to nie powód żeby robić z niego jakiegoś M$ shit, niech LMS przystosuje się do standardów a nie standardy do niego, pozatym do dwoch tabel wcale nie trzeba przeładowania, przecież mozna w LMS.class.php dopisać zeby zapisywał też info do bazy/tabel radiusa , wiem ze nawet ktos tak miał już to zrobione tutaj na liście. Pozatym jakbyś chciał zrobić sobie rozłączanie sesji, a masz mase koncentratorów w sieci (według klasycznego modelu) to lepiej jest zrobić to na bazie radiusa. Poza tym jak rozwiążecie atrybuty radiusowskie dla grup uzytkownikow, dla mnie po prostu robienie tak aby radius korzystal z bazy lmsa jest chore, bo wlasnie nie mozna specyficznych atrybutów dawać userom/grupom userów. Radacct musi zostać w tej postaci w jakiej jest w radiusie, chociazby po to aby skrypt checkrad (standard we freeradiusie) mógł wynajdywać "stalled sessions" i je poprawnie zamykać ( do tego potrzebna jest mu tabela nas z ktorej wyciagnie secreta, lub community snmp ). Jak pozbędziecie sie radacct to nawet bedzie problem z cyklicznym wychwytywaniem martwych sesji co 3 minuty (zalezy jeszcze w jakiej formie chcecie to zmodyfikowac) ale musza byc pola startu sesji trwania sesji konca sesji, aby mozna bylo anomalie wychwytywac. I tak jak mówie nie powinnismy uczyć radiusa korzystać z LMSa tylko LMSa z radiusa!
P.S. U mnie też aby zmiany w tabeli nas zadzialaly trzeba restartowac freeradiusa, jest to norma bo widac nawet w logach ze wszystkie ustawienia z bazy ładuje tylko na początku
A oczywiscie nie musi byc osobna baza radiusowa, wazne aby zachowac strukture tabel radiusowych, i nie wiem jaki klopot w zarządzaniu, bo jak cos sie skaszani to latwiej to wychwycic w 4 standardowych tabelach radiusa, niz w kilkunastu zrelacjonowanych LMSa.
Z tymi ptaszkami nas to okej, ale mowie wcelu kompatybilności z innymi modułami skryptami, projektami radiusa, niezbedne jest aby tabela radiusa została w takiej postaci w jakiej jest. Rozumiem nadmiarowość i w ogóle, ale w konfrontacji nadmiarowosc a funcjonalnosc wole to drugie. Co do tych podstaw sql i viewsów, no to z całym szacunkiem ale z LMSa korzysta mnóstwo ludzi którzy nie wiedza jak się połaczyć z baza, a co dopiero zrozumiec baze LMSa, a ty chcesz zeby czaili viewsy? Będziesz im to później tłumaczył? ;)
I wcale nie chodzi mi o to aby bronić swojego, ja chce aby wszystko było zgodne ze standardem, a że ja rozwiązałem sobie to tak aby trzymać się standardów i nie odchodzić od załozen LMSa to czysty przypadek:P
Naprawde jest wiele implementacji LMSa z radiusem i MTkiem i w ogóle, mniej lub bardziej dziwnych, chodzi o to aby wreszcie to ustandaryzować i aby to miało ręce i nogi a nie jakies przekombinowane.
Pozatym jest jeszcze wiele kwestii do omówienia, więc pośpieszmy się z tymi tabelami ;]
!DSPAM:4800f19f271511243476951!
Noi dlatego moim zdaniem łatwiej będzie laikowi włączyć instancję demona, niż zmieniać sql.conf radiusa.
zgadzam się, sql.conf jak najbardziej powinien być generowany przez lmsd
A oczywiscie nie musi byc osobna baza radiusowa, wazne aby zachowac strukture tabel radiusowych, i nie wiem jaki klopot w zarządzaniu, bo jak cos sie skaszani to latwiej to wychwycic w 4 standardowych tabelach radiusa, niz w kilkunastu zrelacjonowanych LMSa.
No ja tez podnosiłem ten argument (choć mniej ortodoksyjnie) żeby skorzystać ze struktur baz radiusa bo to ułatwi wszystkim życie, ale zostałem wyśmiany, że przecież wystarczy minimalna wiedza z zakresu mysql itd żeby sobie przerobić, jak by tu o to chodziło, kto bardziej pokombinuje . Przez takie podejście LMS po tylu latach rozwoju nie doczekał się jeszcze "natywnego" wsparcia dla radiusa czy 802.1x tylko każdy sobie rzepkę skrobie co mnie dziwi ale to takie chyba nasze polskie jest. Chyba dlatego że jak już lms będzie miał taką funkcjonalność standardowo to niektórym wydaje się że stracą na tym parę złotych a przeciwnie dopiero wtedy zaczną zarabiać bo firmy nie lubią rozwiązań pod klucz. Mamy omówić i wybrać najlepsze rozwiązanie, dlatego po namyśle zgadzam się z Tobą, że najbardziej uniwersalnie będzie jak to LMS-a dostosuje się do radiusa, mimo nadbudowy i dublowania części danych (może nawet ALEC uzna że tak będzie wygodniej bo nie trzeba będzie rozbudowywać lms-owych baz) Gdyby się przyjrzeć bliżej np modułowi ewx-stm lmsd to tam tez wystepuje nadmiarowość celowa, bo adresy mac i adresy ip oraz id komputerów sa przechowywane w dodatkowych tabelach przez co zyskuje sie możliwość wyciagania tylko zmian pomiedzy tabelami (czyli de facto tym co w urządzeniu a tym co w lms bez komunikowania się z urządzeniem) i zapisywaniu do urzadzenia tylko np jednego rekordu zwiazanego ze zmianą adresu ip dla danego komputera czy mac adresu zamiast kasowania całej konfiguracji i wczytywania nowej, jak to się dzieje w przypadku regułek iptables i przeładowania modułu hostfile gdzie dodanie nowego komputera powoduje wysadzenie na kilka sekund internetu wszystkim userom :-), większości użytkowników lms to nie przeszkadza albo nawet nie wiedzą o tym, ale dla niektórych może to być nie do przyjęcia i chętnie zgodzą się na nadmiarowość aby tylko uzyskać zamierzony efekt.
Naprawde jest wiele implementacji LMSa z radiusem i MTkiem i w ogóle, mniej lub bardziej dziwnych, chodzi o to aby wreszcie to ustandaryzować i aby to miało ręce i nogi a nie jakies przekombinowane.
O to chodzi w końcu, w jendości i w standardach siła.
Dariusz Kowalczyk
!DSPAM:48012389315111465223968!
Dariusz Kowalczyk pisze:
No ja tez podnosiłem ten argument (choć mniej ortodoksyjnie) żeby skorzystać ze struktur baz radiusa bo to ułatwi wszystkim życie, ale zostałem wyśmiany, że przecież wystarczy minimalna wiedza z zakresu mysql itd żeby sobie przerobić, jak by tu o to chodziło, kto bardziej pokombinuje . Przez takie podejście LMS po tylu latach rozwoju nie doczekał się jeszcze "natywnego" wsparcia dla radiusa czy 802.1x tylko każdy sobie rzepkę skrobie co mnie dziwi ale to takie chyba nasze polskie jest.
Osobiscie takze sklaniam sie do tego aby LMS ze swoim wsparciem dla radiusa skierowal sie w jego strone a nie odwrotnie. Baza rzeczywiscie nie musi byc dodatkowa ale powinno sie jak najbardziej zachowac strukture bazy radiusowej. Oczywiscie demon bedzie jak najbardziej wskazany, dodatkowo moze Michal napisze co robia i jak dzialaja jego skrypty i moze Developerzy cos z tego wykorzystaja?
13-04-08, tdabek@go2.pl tdabek@go2.pl napisał(a):
Osobiscie takze sklaniam sie do tego aby LMS ze swoim wsparciem dla radiusa skierowal sie w jego strone a nie odwrotnie. Baza rzeczywiscie nie musi byc dodatkowa ale powinno sie jak najbardziej zachowac strukture bazy radiusowej. Oczywiscie demon bedzie jak najbardziej wskazany, dodatkowo moze Michal napisze co robia i jak dzialaja jego skrypty i moze Developerzy cos z tego wykorzystaja?
Ciesze się, że zrozumieliście o co mnie się rozchodzi :) Mój skrypt po krótce porównuje dane w bazie lmsa z danymi w radiusie, i tak jesli komputerowi ustawia się hasło, to wtedy skrypt wpisuje dane do bazy radiusa (włącza mu pppoe), za login bierze nazwe hosta (zmienia ją do LCASE) i dokleja moja śmieszną domenke :), jeśli hasła nie ma a host jest w radiusie no to po prostu trzeba wyłaczyć mu pppoe, skrypt reaguje na wszelkie zmiany ip i nazwy hosta, na koncu jeszcze przelatuje baze radiusa i porownuje z lmsem, czy po prostu nie ma w bazie radiusa, danych do hosta, którego już nie ma lub któremu zmieniliśmy nazwe, można naprawde na wiele sposobów porywnywać te dwie bazy, ba prawie wszystko mozna zrobić odpowiednio długimi zapytaniami do baz. Od prawie roku robi mi to program napisany we freepascalu, ktoś sięzapyta dlaczego, ano dlatego, że bash był za wolny, w c to tylko hello world umiałem, a z perla to juz w ogole nic nie czaiłem, (od niedawna wszystko pisze w perlu), tak czy owak takie porównanie baz jest bardzo wydajne u mnie trwa mniej niz sekunde przy 100 paru userach i najakims pentium 3. Więc naprawde bez przesady z tą nadmiarowościa, pozatym chyba jest nie wiele firm które mają więcej niż 2k userów i korzystają z LMSa, i nawet w ich przypadku ta nadmiarowość nie będzie rażąca, bo ile 2,3, 10 MB?? ;). Co do nasów to dodaje je poprzez panel do radiusa ARA, u mnie NASY to MIKROTIKI wiec tak czy siak są w lmsie, tak jak mówie musiałyby pozostać wszystkie pola z tabeli nas, bo po coś one są, to że większość ich nie używa, to ich sprawa, ja osobiście z nich korzystam tak jak mówiłem do określania społeczności SNMP, pole type też jest niezbędne do pewnych zastosować(szczególnie do checkrad).Noi pozostaje wiele kwestii do omówienia, jeszcze raz powróce do tego jak ma działać "odłaczenie klienta", czy standardowo komunikat, czy usuniecie loginu z bazy i wiele wiele innych.
Pozdrawiam
!DSPAM:4801d550243642226814302!
13-04-08, tdabek@go2.pl tdabek@go2.pl napisał(a):
Osobiscie takze sklaniam sie do tego aby LMS ze swoim wsparciem dla radiusa skierowal sie w jego strone a nie odwrotnie. Baza rzeczywiscie nie musi byc dodatkowa ale powinno sie jak najbardziej zachowac strukture bazy radiusowej.
[...]
po raz 3 mowie - mysql views i nie potrzeba ZADNEJ dodatkowej bazy.
pozdr
13-04-08, Wojciech Ziniewicz wojciech.ziniewicz@gmail.com napisał(a):
po raz 3 mowie - mysql views i nie potrzeba ZADNEJ dodatkowej bazy.
To jak sobie ALEC to rozwiąże to jego sprawa, chodzi nam tylko o to aby można było korzystać z danych obojetnie czy to bedzie z tabeli, widoku czy innej bazy tak aby była zachowana standardowa struktura :P
Pozdrawiam
Nieznam się na widokach, ale jakbyś rozwiązał kwestię włączenia i wyłączenia userowi autentykacji?
!DSPAM:4801e895166051804284693!
13-04-08, Michał Gacek michal.gacek@gmail.com napisał(a):
13-04-08, Wojciech Ziniewicz wojciech.ziniewicz@gmail.com napisał(a):
po raz 3 mowie - mysql views i nie potrzeba ZADNEJ dodatkowej bazy.
To jak sobie ALEC to rozwiąże to jego sprawa, chodzi nam tylko o to aby można było korzystać z danych obojetnie czy to bedzie z tabeli, widoku czy innej bazy tak aby była zachowana standardowa struktura :P
Pole access w bazie . Wystarczy w sql.conf radiusa dodac "where access=1"
13-04-08, Wojciech Ziniewicz wojciech.ziniewicz@gmail.com napisał(a):
Pole access w bazie . Wystarczy w sql.conf radiusa dodac "where access=1"
Noi zaczynają się kombinacje, których nie chcemy :P
A tak poważnie to nie wiem do czego ten access=1, bo pisałem o dwóch rzeczach, chodziło mi o rozwiązanie odłączania userów i o faktyczne włączanie opcji radius dla danego komputera. Tak jak mówie kwestia odłączania klientow jest do ustalenia, ale myśle, żeby dodać dodatkową opcja, włącz/ wyłącz PPPoE/Radius czy jak to kto tam woli, bo nie którzy np mogą nie chcieć mięc dla wszystkich kompów czegoś takiego, i wtedy jakbyś chciał odłączyć userowi neta ale nie pppoe to standardowo, żarówka a jak chcesz całkiem go odciąc to odznaczasz tą opcje, nie wiem natomiast jakby to miało mieć się do naliczania taryf. Nieznam się na widokach ale wydaje mi się że w widoku umieszcza się dane z zapytania ;> więc chyba możliwe jest już w samym widoku ustawianie warunków where. Według mnie naprawde konfiguracja sql.conf powinna sie sprowadzac do podania nazwy bazy loginu i hasła, natomiast informacje last_online, no to juz chyba trzeba będzie do tego zmieniac ten sql.conf.
Co do statów, nie wiem nawet jaka jest struktura w bazie lmsa tej tabeli, ale jak mozna wyciągać takie rzeczy, (jakie np daje ci "ARA") to mi tam wsioryba nie mniej jednak radacct musi zostac :P
Pozdrawiam
!DSPAM:48023ca9272471243476951!
Pole access w bazie . Wystarczy w sql.conf radiusa dodac "where access=1"
Noi zaczynają się kombinacje, których nie chcemy :P ................
pogdybam... a inaczej, czy nie warto przenieść urządzeń/autoryzacji do bazy radius'a ? radius "obsługuje" dhcp/pppoe/hotspot/statystyki/itd
!DSPAM:4802797b17282048516912!
On Sun, 13 Apr 2008 23:22:06 +0200, Marcin o2.pl wrote
Pole access w bazie . Wystarczy w sql.conf radiusa dodac "where access=1"
Noi zaczynają się kombinacje, których nie chcemy :P ................
pogdybam... a inaczej, czy nie warto przenieść urządzeń/autoryzacji do bazy radius'a ? radius "obsługuje" dhcp/pppoe/hotspot/statystyki/itd
A czy Wy prawie wszyscy macie pojęcie o czym piszecie? Bo jeśli nie macie pojęcia o programowaniu to po co sugerować co i gdzie ma być zlokalizowane? ;-)
Pozdrawiam.
Tomasz Chiliński pisze:
A czy Wy prawie wszyscy macie pojęcie o czym piszecie? Bo jeśli nie macie pojęcia o programowaniu to po co sugerować co i gdzie ma być zlokalizowane? ;-)
Spokojnie, chodzi nam tylko o to zeby bylo zrobione dobrze i funkcjonalnie. To w jaki sposob, to ma wylonic cala rozmowa. W jednym ze swoich wczesnych postow Dariusz rozpoczal od napisania swoich wstepnych zalozen wiec trzymajmy sie podobnego przedstawienia pomyslow. Ma ktos chec na spisanie tego co juz zostalo powiedziane i ustalone?
13-04-08, Tomasz Chiliński tomasz.chilinski@chilan.com napisał(a):
A czy Wy prawie wszyscy macie pojęcie o czym piszecie? Bo jeśli nie macie pojęcia o programowaniu to po co sugerować co i gdzie ma być zlokalizowane? ;-)
Z czałym szacunkiem, ale ja "jakies" pojęcie o programowaniu mam :P Może guru z baz danych nie jestem, ale uważam, że każdy admin, powinien mięc minimalne pojęcie na ten temat i od czasu do czasu coś naskrobać :P
Pozdrawiam
!DSPAM:4802f5c8201332037086813!
Michał Gacek pisze:
13-04-08, Tomasz Chiliński tomasz.chilinski@chilan.com napisał(a):
A czy Wy prawie wszyscy macie pojęcie o czym piszecie? Bo jeśli nie macie pojęcia o programowaniu to po co sugerować co i gdzie ma być zlokalizowane? ;-)
Z czałym szacunkiem, ale ja "jakies" pojęcie o programowaniu mam :P Może guru z baz danych nie jestem, ale uważam, że każdy admin, powinien mięc minimalne pojęcie na ten temat i od czasu do czasu coś naskrobać :P
Pozdrawiam
Nie oszukujmy się :) Ja jako admin też siłą rzeczy muszę umieć wystrugać jakąś protezę i nawet rozumiem kod źródłowy w c, czy skrypty perla , php , i innych.. ale nie postawiłbym swoich "umiejętności" programistycznych na jednej półce z tym , co potrafią zawodowi programiści :)
Warto jednak brać pod uwagę sugestie adminów , bo to oni w końcu będą LMS-a używać - koderzy niech sobie kodzą po swojemu , a admini niech się określą , jak najwygodniej dla nich obsługa radiusa miałaby być zaimplementowana.
!DSPAM:480305ed216122226814302!
14-04-08, Przemysław Kudyba przemekk@zwierzu.zepsul.net napisał(a):
Nie oszukujmy się :) Ja jako admin też siłą rzeczy muszę umieć wystrugać jakąś protezę i nawet rozumiem kod źródłowy w c, czy skrypty perla , php , i innych.. ale nie postawiłbym swoich "umiejętności" programistycznych na jednej półce z tym , co potrafią zawodowi programiści :)
Warto jednak brać pod uwagę sugestie adminów , bo to oni w końcu będą LMS-a używać - koderzy niech sobie kodzą po swojemu , a admini niech się określą , jak najwygodniej dla nich obsługa radiusa miałaby być zaimplementowana.
Ależ ja się wcale nie stawiam na tej samej półce, ale nie pozwole sobie bluzgać, że nie mam pojęcia o tym :P. Ja proponuje rozwiązania z punktu adminowskiego i takie które u mnie działają po dzień dzisiejszy, wcale nie chce aby było to rozwiązane po mojemu, niech koderzy sobie koduja jak chca czy to będą widoki czy cokolwiek innego, oni wiedzą najlepiej jak co ma być, byle było to zgodne ze standardami od których świat przywykł i nie ujmowało żadnych funkcjonalności. my tu dyskutujemy o teori i podrzucamy pomysły bo o to chodzi, aby ALEC mniej więcej wiedział jak się za to zabrać i jak to wycenić.
Pozdrawiam
!DSPAM:480310dd253191844240209!
Może już czas żeby ALEC zabrał głos w tej dyskusji na temat integracji LMS z FreeRadius?
Dariusz Kowalczyk
!DSPAM:4805f4ec299111465223968!
Dariusz Kowalczyk wrote:
Może już czas żeby ALEC zabrał głos w tej dyskusji na temat integracji LMS z FreeRadius?
Ja niestety mam znikome doświadczenie z radiusem, raz mi się udało komuś to skonfigurować z LMSem, ale to było bardzo ograniczone rozwiązanie i działąło tylko na postgresie. Nad czymś bardziej uniwersalnym musiałbym posiedzieć. Najlepiej jakbym dostał dokładniejsze wytyczne niż opisane w tym wątku. Może jakieś konfigi? Albo wykaz na zasadzie "aby otrzymać taką funkcję zapytanie (albo opcja konfiguracyjna) powinno zwrócić taką wartość".
-- Aleksander 'A.L.E.C' Machniak http://alec.pl gg:2275252 LAN Management System Developer http://lms.org.pl Roundcube Webmail Project Developer http://roundcube.net
!DSPAM:4805f7fa322151465223968!
Ja niestety mam znikome doświadczenie z radiusem, raz mi się udało komuś to skonfigurować z LMSem, ale to było bardzo ograniczone rozwiązanie i działąło tylko na postgresie. Nad czymś bardziej uniwersalnym musiałbym posiedzieć. Najlepiej jakbym dostał dokładniejsze wytyczne niż opisane w tym wątku. Może jakieś konfigi? Albo wykaz na zasadzie "aby otrzymać taką funkcję zapytanie (albo opcja konfiguracyjna) powinno zwrócić taką wartość".
-- Aleksander 'A.L.E.C' Machniak http://alec.pl gg:2275252 LAN Management System Developer http://lms.org.pl Roundcube Webmail Project Developer http://roundcube.net
Postaramy się z chętnymi na tej liście przygotować "to do".
Na początek trzeba będzie wprowadzić rozróżnienie które spośród urzadzeń maja pełnić funkcje NAS (sadze że tutaj wszyscy się zgadzają) Do tego potrzeba albo wprowadzić grupy dla urządzeń (wtedy będzie te grupy można wykorzystać do czegoś innego także przy czym grupa dla NAS musi mieć nazwę niemodyfikowalną np NAS i może być już założona na stałe w LMS ) albo zrobić opcje do zaznaczenia jak to jest w przypadku opcji sprawdzania mac adresu czyli zaznaczony ptaszek przy NAS oznacza ze urządzenie oraz jego haslo adres ip i opcje ma być zapisane w tabeli radiusa która jest odpowiednikiem clients.conf.
Zakładając że np LMS dostosowuje się do FreeRadiusa podobnie jak to zrobic dla platformy Etherwerx musimy dokładnie opisać ALEC-owi co lms ma zapisywać i do których tabel radiusowych (zakładamy ze przestawiamy radiusa na korzystanie tylko bazy danych według jego własnych struktur tabel, a więć i użytkowników i NAS-ów, czyli rezygnacja z korzystania pliku users oraz clients.conf) dodatkowo plik sql.conf powinien być tworzony przez lms-a. Jeśli to ma działać jako całość od razu to trzeba przedstawić kilka wersji pliku radius.conf (w zależności od sposobu uwierzytelniania dla jakich LMS zapewnia wsparcie ..jednemu wystarczy tylko po mac adresie komputera inny będzie chciał 802.1x+TTLS czyli wykorzystać login (np nazwa komputera) i hasło komputera z LMS-a )
Oczywiście trzeba też przygotować dokumentacje co i jak to tyle na szybko
Dariusz Kowalczyk
!DSPAM:480618a295471163869485!
16-04-08, Dariusz Kowalczyk daro@i24.pl napisał(a):
Jeśli to ma działać jako całość od razu to trzeba przedstawić kilka wersji pliku radius.conf (w zależności od sposobu uwierzytelniania dla jakich LMS zapewnia wsparcie ..jednemu wystarczy tylko po mac adresie komputera inny będzie chciał 802.1x+TTLS czyli wykorzystać login (np nazwa komputera) i hasło komputera z LMS-a )
Oczywiście trzeba też przygotować dokumentacje co i jak to tyle na szybko
Dariusz Kowalczyk
Nie zgodze się z tobą myśle ze wystarczy sama dokumentacja, rozni ludzie maja roznie postsawionego radiusa, mysle ze integracja powinna byc tylko na poziome mysql. Oczywiscie mozna zrobic dokumentacje ale tak jak w przypadku hostingu, przeciez lms nie konfiguruje postfix nie :P
Co do metody mac vs user/pass, nie wiem jak wyglada autentykacja uzytkownika po macach w jaki sposob sa dane przechowywane w tabeli i w ogole w takim przypadku trzeba by oznaczac jakos co za pomoca mac/a co za pomoca user/login nieprawdaż?
Mysle ze moga zdarzać się sytuacje w których nie którzy moga chciec mieszana autentykacje, trzeba tez dac im taka mozliwosc (do komputerow i urzadzen (karta z ip))
Pozdrawiam
!DSPAM:48065ea6154391243476951!
Michał Gacek pisze:
Co do metody mac vs user/pass, nie wiem jak wyglada autentykacja uzytkownika po macach w jaki sposob sa dane przechowywane w tabeli i w ogole w takim przypadku trzeba by oznaczac jakos co za pomoca mac/a co za pomoca user/login nieprawdaż?
Mysle ze moga zdarzać się sytuacje w których nie którzy moga chciec mieszana autentykacje, trzeba tez dac im taka mozliwosc (do komputerow i urzadzen (karta z ip))
Przecież można zdefiniować dowolną ilość instancji dla autentykatora sql. Np.: http://zwierzu.zepsul.net/sql.conf.txt
Wystarczy , że zrobi się odpowiednie pola/tabele/widoki w bazie , reszta to już inwencja twórcza admina.
Pozdrawiam.
!DSPAM:48066eb9168339210314635!
Wystarczy , że zrobi się odpowiednie pola/tabele/widoki w bazie , reszta to już inwencja twórcza admina.
Pozdrawiam.
tak i można to zrobic np poprzez predefiniowane grupy np MACAUTH lub 8021x lub 8021xEAPTTLS itd i dodawać do nich komputery lub urzadzenia które tak maja sie uwierzytelniać, oraz zaznaczyć status NAS przy urządzeniu ktore ma pracowac jako NAS ewntualnie dodac urzadzenie do predefiniowanej grupy NAS a reszte za niego ma robic LMS i odpowiednie skrypty ktore sa predefiniowane i powiazane z odpowienimi predefiniowanymi standardowo w LMS grupami. Jak pisałem w poprzednim poście radius powinien stać sie integralną cześcia LMS w sensie rozszerzenia funkcjonalności LMS do pracy z wykorzystaniem aktualnych "światowych przemyslowych szerokostosowanych standardów uwierzytelniania w sieciach ethernet" wpieranych przez tony produkowanego sprzetu i klienckiego oprogramowania. Nie odkrywamy przecież Ameryki, mamy tylko dostosować LMS aby z tyhc standardów dobrze opisanych wreszcie antywnie korzystał.Do tego trzeba przygotowac oba poprzez odpowiednia konfigurację do wykorzystania kilku bezpiecznych i wykorzystywanych a przede wszytkim STANDARDOWYCH i szeroko STOSOWANYCH metod uwierzytelniania i tyle. Bo ma to być praktcznie wykorzystywane i proste do uruchomienia, nie trudniej niż uruchomienie współpracy serwera dhcp z LMS. Wszystko jest opisane trzeba to złożyc w przemysłana sensowną całość, która nie bedzie wygładać jak sklejona za przeproszeniem kupa gnoju której nikt nie bedzie chciał tknąć.
Dariusz Kowalczyk
!DSPAM:48067fcf187522048516912!
16-04-08, Przemysław Kudyba przemekk@zwierzu.zepsul.net napisał(a):
Przecież można zdefiniować dowolną ilość instancji dla autentykatora sql. Np.: http://zwierzu.zepsul.net/sql.conf.txt
Wystarczy , że zrobi się odpowiednie pola/tabele/widoki w bazie , reszta to już inwencja twórcza admina.
Pozdrawiam.
Hehe witam kolege trzepakowca ;]. Ja już sam nie wiem, nie widzę jakoś aby mi LMS pliki radiusa konfigurował no ale dobra :P w takim wypadku trzeba bedzie zrobić miejsce na konfig do tego gdzie sie znajduje radius jego configi i ew. binarki (skoro zmiana nasów jest akceptowana tylko przy restarcie) tak aby odrazu przeładowywał radiusa (ew. komendy do przeładowania co distro to inne przeciez :P ).
Tylko mówie w takim wypadku trzeba bedzie napisac dobra dokumentacje (podejrzewam ze konfigi plikowe beda zmieniane przez jakas instancje demona czy cos), czyli co włożyć do begina enda skryptu itp. Przygotować przykładowe konfigi dla obu autentykacji (widze że nieźle masz tych konfigów do autentykacji mac .
Mam prośbę do pana Dąbka, aby wziąl karteluszke jakąś i spisywał rzeczy postanowione co do ogólnego kształtu
Pozdrawiam
Aha jeszcze jedna sprawa może by tak ALEC przy okazji dorobił jakiegoś ptaszka "dynamiczne ip", lub rozwijalna liste, które by odrazu deaktywowała pola ip i pub ip (myśle że w Ajaxie byłoby najwygodniej) noi w zakładce sieci dodać opcję Dynamiczne pule adresów i tam je definiować. Dopłaciłbym za taką funkcjonalność ewentualnie sam dorobił, o ile byłoby to wrzucone do cvsu :P
Skoro już mowa o światowym zastosowaniu RADIUSA, to naprawde wiele osób korzysta z dynamicznych IP ;]
Pozdrawiam
!DSPAM:4806ffa789961859716918!
Michał Gacek pisze:
Skoro już mowa o światowym zastosowaniu RADIUSA, to naprawde wiele osób korzysta z dynamicznych IP ;]
Pozdrawiam
Tak, tylko jak tu zrobić kolejki dla ip , które się ciągle zmienia ? :) Tzn. można dla grupy kompów korzystających z dynamicznych IP przypisać atrybut
'Mikrotik-Rate-Limit' na podstawie aktualnej taryfy , i kolejki tworzyłyby się na koncentratorze pppoe...
!DSPAM:480714b6104311804284693!
17-04-08, Przemysław Kudyba przemekk@zwierzu.zepsul.net napisał(a):
Tak, tylko jak tu zrobić kolejki dla ip , które się ciągle zmienia ? :) Tzn. można dla grupy kompów korzystających z dynamicznych IP przypisać atrybut
'Mikrotik-Rate-Limit' na podstawie aktualnej taryfy , i kolejki tworzyłyby się na koncentratorze pppoe...
Normalnie a jak robisz update lastonline radiusem :P, tak samo mozesz zrobic programik ktory bedzie sprawdzal co iles tam (wedle upodobania) czy userowi zmienilo sie ip, czy cos w tym stylu i ten bedzie dynamicznie tworzył dla niego podkolejke. Zaskoczyłem cie co :P. Ale to juz kazdy sobie sam moze rozwiazac wedle upodobania (tak samo jak z przyciskami sprawdzanie maca czy half-duplex, są bo są nie każdy z nich korzysta, ten kto chce musi sobie to oskryptowac :)
Pozdrawiam
!DSPAM:480717cb107401250119904!
Michał Gacek pisze:
Normalnie a jak robisz update lastonline radiusem :P, tak samo mozesz zrobic programik ktory bedzie sprawdzal co iles tam (wedle upodobania) czy userowi zmienilo sie ip, czy cos w tym stylu i ten bedzie dynamicznie tworzył dla niego podkolejke. Zaskoczyłem cie co :P. Ale to juz kazdy sobie sam moze rozwiazac wedle upodobania (tak samo jak z przyciskami sprawdzanie maca czy half-duplex, są bo są nie każdy z nich korzysta, ten kto chce musi sobie to oskryptowac :)
Chyba wolę automatyczne tworzenie kolejki na koncentratorze :) Jeżeli komputery w danej puli ip nie różniły sie taryfą , to można łatwo to zrobić , jeżlei miałyby się różnić , to mniej łatwo :)
!DSPAM:48071896108891068017541!
17-04-08, Przemysław Kudyba przemekk@zwierzu.zepsul.net napisał(a):
Chyba wolę automatyczne tworzenie kolejki na koncentratorze :) Jeżeli komputery w danej puli ip nie różniły sie taryfą , to można łatwo to zrobić , jeżlei miałyby się różnić , to mniej łatwo :)
nie no spoko, ale mało cikawe rozwiazanie w przypadku ograniczonych pul od ripe, w snesie zmienia ci się tendencja abonamentowa, i wczesniejsze pule ci sie koncza a ta z najtanszym abonentem ma jeszcze pare wolnych ipkow i co bedziesz przesuwał? pozatym są przypadki w których lepiej mieć to zrobione niezależnie od usera ;)
Pozdrawiam
!DSPAM:48071cb0115341671789688!
Michał Gacek pisze:
17-04-08, Przemysław Kudyba przemekk@zwierzu.zepsul.net napisał(a):
Chyba wolę automatyczne tworzenie kolejki na koncentratorze :) Jeżeli komputery w danej puli ip nie różniły sie taryfą , to można łatwo to zrobić , jeżlei miałyby się różnić , to mniej łatwo :)
nie no spoko, ale mało cikawe rozwiazanie w przypadku ograniczonych pul od ripe, w snesie zmienia ci się tendencja abonamentowa, i wczesniejsze pule ci sie koncza a ta z najtanszym abonentem ma jeszcze pare wolnych ipkow i co bedziesz przesuwał?
Raczej nie dopuszczę do tego , żeby się z ręką w nocniku obudzić , bez wolnych IP :)
!DSPAM:48071d2a116011436614547!
17-04-08, Przemysław Kudyba przemekk@zwierzu.zepsul.net napisał(a):
Raczej nie dopuszczę do tego , żeby się z ręką w nocniku obudzić , bez wolnych IP :)
Nawet samo to że radius bedzie miał pule na wszystkie koncentratory jest lepszym rozwiązaniem, z tego względu, że np bedziesz miał lepsze wykorzystanie puli publicznych ip, ludziom bedzie sie zmieniac, bedą sie cieszyć, że maja tak jak w neo (ci co z rapida korzystaja i zal im tych 20 złotych ;)), A tak niestety bedziesz musiał dzielić na koncentratory i wykorzystanie moze być różne. Jeśli używasz centralnego koncentratora to sory za zawracanie dupy ;)
Dobra bo się mały OT zrobił
!DSPAM:48073028133255962586004!
wiem ze to moze nie na temat ale mam dziwny problem jak wlacze przekierowanie na imq
$IPT -t mangle -A PREROUTING -i $WEW -j IMQ --todev 0 $IPT -t mangle -A POSTROUTING -o $WEW -j IMQ --todev 1
to wzrasta znacznie uzycie procka, i podzial tez sie dziwnie zachowuje - czasami nie lapie squida co dziwne dzieje sie tak tylko na kartach 1gb np intela jak to zrobie na zwyklej karcie np rtl8139 to dziala normalnie uzycie procka i podzial... dodam ze probowalem to na jajkach 2.6.17 i 2.6.22 oraz na iptables 1.3.5 i 1.3.8 wyniki sa identyczne
!DSPAM:48073b22143241250119904!
maccolo pisze:
wiem ze to moze nie na temat ale mam dziwny problem jak wlacze przekierowanie na imq
$IPT -t mangle -A PREROUTING -i $WEW -j IMQ --todev 0 $IPT -t mangle -A POSTROUTING -o $WEW -j IMQ --todev 1
to wzrasta znacznie uzycie procka, i podzial tez sie dziwnie zachowuje - czasami nie lapie squida co dziwne dzieje sie tak tylko na kartach 1gb np intela jak to zrobie na zwyklej karcie np rtl8139 to dziala normalnie uzycie procka i podzial... dodam ze probowalem to na jajkach 2.6.17 i 2.6.22 oraz na iptables 1.3.5 i 1.3.8 wyniki sa identyczne
Pisałem o tym na p.c.o.l.s, na 2.6.24 też to zauważyłem.
Zoptymalizowałem co tylko się dało , ale przy 80/25Mbit/s ruchu i ~70k połaczeń w connrack %si i tak dobija mi do 40%.
Jak złożę bliźniaczy router to spróbuję wyczaić co to może być, póki co na żywym organizmie nie będę testował.
!DSPAM:48073d02146761250119904!
17-04-08, Przemysław Kudyba przemekk@zwierzu.zepsul.net napisał(a):
Pisałem o tym na p.c.o.l.s, na 2.6.24 też to zauważyłem.
Zoptymalizowałem co tylko się dało , ale przy 80/25Mbit/s ruchu i ~70k połaczeń w connrack %si i tak dobija mi do 40%.
Jak złożę bliźniaczy router to spróbuję wyczaić co to może być, póki co na żywym organizmie nie będę testował.
widocznie stery intela są zjebane ;(, pozostaje poinformować ich o problemie.
Pozdrawiam
!DSPAM:48073e99149172037086813!
Michał Gacek pisze:
widocznie stery intela są zjebane ;(, pozostaje poinformować ich o problemie.
Nie wydaje mi sie... możliwe , że potrzebny jest tylko tuning lekki, a jest tam co tuningowac:
vermagic: 2.6.24.3 SMP mod_unload parm: TxDescriptors:Number of transmit descriptors (array of int) parm: RxDescriptors:Number of receive descriptors (array of int) parm: Speed:Speed setting (array of int) parm: Duplex:Duplex setting (array of int) parm: AutoNeg:Advertised auto-negotiation setting (array of int) parm: FlowControl:Flow Control setting (array of int) parm: XsumRX:Disable or enable Receive Checksum offload (array of int) parm: TxIntDelay:Transmit Interrupt Delay (array of int) parm: TxAbsIntDelay:Transmit Absolute Interrupt Delay (array of int) parm: RxIntDelay:Receive Interrupt Delay (array of int) parm: RxAbsIntDelay:Receive Absolute Interrupt Delay (array of int) parm: InterruptThrottleRate:Interrupt Throttling Rate (array of int) parm: SmartPowerDownEnable:Enable PHY smart power down (array of int) parm: KumeranLockLoss:Enable Kumeran lock loss workaround (array of int) parm: copybreak:Maximum size of packet that is copied to a new buffer on receive (uint) parm: debug:Debug level (0=none,...,16=all) (int)
Pozdrawiam.
!DSPAM:48073f46150751660962268!
17-04-08, Przemysław Kudyba przemekk@zwierzu.zepsul.net napisał(a):
Michał Gacek pisze:
widocznie stery intela są zjebane ;(, pozostaje poinformować ich o problemie.
Nie wydaje mi sie... możliwe , że potrzebny jest tylko tuning lekki, a jest tam co tuningowac:
vermagic: 2.6.24.3 SMP mod_unload parm: TxDescriptors:Number of transmit descriptors (array of int) parm: RxDescriptors:Number of receive descriptors (array of int) parm: Speed:Speed setting (array of int) parm: Duplex:Duplex setting (array of int) parm: AutoNeg:Advertised auto-negotiation setting (array of int) parm: FlowControl:Flow Control setting (array of int) parm: XsumRX:Disable or enable Receive Checksum offload (array of int) parm: TxIntDelay:Transmit Interrupt Delay (array of int) parm: TxAbsIntDelay:Transmit Absolute Interrupt Delay (array of int) parm: RxIntDelay:Receive Interrupt Delay (array of int) parm: RxAbsIntDelay:Receive Absolute Interrupt Delay (array of int) parm: InterruptThrottleRate:Interrupt Throttling Rate (array of int) parm: SmartPowerDownEnable:Enable PHY smart power down (array of int) parm: KumeranLockLoss:Enable Kumeran lock loss workaround (array of int) parm: copybreak:Maximum size of packet that is copied to a new buffer on receive (uint) parm: debug:Debug level (0=none,...,16=all) (int)
Pozdrawiam.
No chodziło mi o poprawke, moze sie za mocno wyraziłem po prostu ciśnienie mam dziś wysokie
!DSPAM:48074406163605156419305!
Michał Gacek pisze:
No chodziło mi o poprawke, moze sie za mocno wyraziłem po prostu ciśnienie mam dziś wysokie
Siakiś nowy dłajwer zrobili , zaraz obczaję :)
http://downloadcenter.intel.com/detail_desc.aspx?strState=LIVE&DwnldID=9...
!DSPAM:48074678166821106414047!
On Thu, 17 Apr 2008 11:26:33 +0200, Michał Gacek wrote
17-04-08, Przemysław Kudyba przemekk@zwierzu.zepsul.net napisał(a): Normalnie a jak robisz update lastonline radiusem :P, tak samo mozesz zrobic programik ktory bedzie sprawdzal co iles tam (wedle upodobania) czy userowi zmienilo sie ip, czy cos w tym stylu i ten bedzie dynamicznie tworzył dla niego podkolejke. Zaskoczyłem cie co :P. Ale to juz kazdy sobie sam moze rozwiazac wedle upodobania (tak samo jak z przyciskami sprawdzanie maca czy half-duplex, są bo są nie każdy z nich korzysta, ten kto chce musi sobie to oskryptowac :)
Zupełnie nieoptymalne. Klasy ruchu abonentów można tworzyć i usuwać dynamicznie wraz z ustanawianiem sesji PPPoE i ich rozłączaniem. Coraz większe bzdury wypisujecie Koledzy (nie wszyscy - niech każdy zastanowi się czy pisze bzdury).
Pozdrawiam
Pozdrawiam.
17-04-08, Tomasz Chiliński tomasz.chilinski@chilan.com napisał(a):
Zupełnie nieoptymalne. Klasy ruchu abonentów można tworzyć i usuwać dynamicznie wraz z ustanawianiem sesji PPPoE i ich rozłączaniem. Coraz większe bzdury wypisujecie Koledzy (nie wszyscy - niech każdy zastanowi się czy pisze bzdury).
Pozdrawiam
Tak istnieja if.up if.down scripts używam tego do dodawania kilku adresów ip do jedneo ifaceu pppoe, wiec nowosci nie odkryłeś.
Natmiast mysle, że zwierzowi chodziło (przynajmniej mi chodziłlo) o koncentratory na MTku gdzie nie ma takiej mozliwosci jedynie tworzenie prostych kolejek za pomocą atrybutów radiusa, ale gdy chce się zrobić coś bardzije złożonego no to kupa
Pozdrawiam
!DSPAM:48071c3e113261804284693!
Generalnie pomysł ok, ale czy centralizowanie wszystkie w jednym narzędziu oby na pewno jest dobre?
17-04-08, Tomasz Chiliński tomasz.chilinski@chilan.com napisał(a):
On Thu, 17 Apr 2008 11:26:33 +0200, Michał Gacek wrote
17-04-08, Przemysław Kudyba przemekk@zwierzu.zepsul.net napisał(a):
Normalnie a jak robisz update lastonline radiusem :P, tak samo mozesz zrobic programik ktory bedzie sprawdzal co iles tam (wedle upodobania) czy userowi zmienilo sie ip, czy cos w tym stylu i ten bedzie dynamicznie tworzył dla niego podkolejke. Zaskoczyłem cie co :P. Ale to juz kazdy sobie sam moze rozwiazac wedle upodobania (tak samo jak z przyciskami sprawdzanie maca czy half-duplex, są bo są nie każdy z nich korzysta, ten kto chce musi sobie to oskryptowac :)
Zupełnie nieoptymalne. Klasy ruchu abonentów można tworzyć i usuwać dynamicznie wraz z ustanawianiem sesji PPPoE i ich rozłączaniem. Coraz większe bzdury wypisujecie Koledzy (nie wszyscy - niech każdy zastanowi się czy pisze bzdury).
Pozdrawiam
Pozdrawiam.
lms mailing list lms@lists.lms.org.pl http://lists.lms.org.pl/mailman/listinfo/lms
Michał Gacek pisze:
Mam prośbę do pana Dąbka, aby wziąl karteluszke jakąś i spisywał rzeczy postanowione co do ogólnego kształtu
Witam, Prosze abyscie nie zwracali sie do mnie per "pan" :) to jakos nigdy mi sie nie podobalo i wole poprostu po imieniu lub lepiej po nicku :)
Ponizej to co udalo mi sie do tej pory zebrac.
1. Opcja konfiguracyjna w UI (radius_enable = 0/1 [?]) albo nawet cala sekcja [radius] gdzie ustawialoby sie rozne opcje potrzebne do dzialania radiusa (to chyba lepsze rozwiazanie). Jesli "radius_enable = 1" to pojawiaja sie dodatkowe powiedzmy checkboxy na karcie komputera konkretnego klienta, m.in. czy pomoze logowac sie z wielu NASow, jakies dodatkowe propozycje checkboxow?
2. Baza: tutaj do roztrzygniecia czy bedzie to za pomoca widokow lub baza LMSowa zostanie rozszerzona o tabele radiusowe. Naturalne jest aby zastosowac wszystkie tabele radiusowe lub "odpowiadajace" im widowki.
3. Urzadzenia: a. "ptaszek" jesli ma byc NAS + pole na porty lub, jesli tego beda wymagac inne rzeczy, stworzona cala grupa NAS i tam urzadzenie dodane.
b. "ptaszek" mikrotik_rate_limit w przypadku gdy chcemy aby zaraz na mikrotiku zakladane byly kolejki dla komputera brane z taryfy klienta (mysle ze Michal moglby dorobicw tym przypadku narzedzie do czytania tego i ladowania do MT?)
4. Uwierzytelnianie: wedlug propozycji Dariusza: 1. po mac adresie bo to sie o dziwo może niektórym jeszcze przydać 2. 802.1x + EAP-(PEAP/EAP-MSCHAPv2)lub EAP-TTLS
To tyle, o czyms zapomnialem?
Teraz opcje konfiguracyjne jesli bedzie sekcja [radius] w UI: 1. simultaneous_use = 0/1 2. NAS_port = (jesli nie na karcie dla urzadzenia tylko globalnie dla wszystkich NASow) ...
jakies dodatkowe pomysly?
Co do tabel to raddacct taki jak w oryginale freeradiusowy ze wzgledu na dzialanie checkrad
Aha jeszcze jedna sprawa może by tak ALEC przy okazji dorobił jakiegoś ptaszka "dynamiczne ip", lub rozwijalna liste, które by odrazu deaktywowała pola ip i pub ip (myśle że w Ajaxie byłoby najwygodniej) noi w zakładce sieci dodać opcję Dynamiczne pule adresów i tam je definiować. Dopłaciłbym za taką funkcjonalność ewentualnie sam dorobił, o ile byłoby to wrzucone do cvsu :P
To takze do rozwazenia.
17-04-08, tdabek@go2.pl tdabek@go2.pl napisał(a):
- Opcja konfiguracyjna w UI (radius_enable = 0/1 [?]) albo nawet cala
sekcja [radius] gdzie ustawialoby sie rozne opcje potrzebne do dzialania radiusa (to chyba lepsze rozwiazanie). Jesli "radius_enable = 1" to pojawiaja sie dodatkowe powiedzmy checkboxy na karcie komputera konkretnego klienta, m.in. czy pomoze logowac sie z wielu NASow, jakies dodatkowe propozycje checkboxow?
Mysle ze sekcja radius to świetny pomysł, nie bedzie wprowadzac zamentu ludziom ktorzy nie uzywaja radiusa.
- Urzadzenia:
a. "ptaszek" jesli ma byc NAS + pole na porty lub, jesli tego beda wymagac inne rzeczy, stworzona cala grupa NAS i tam urzadzenie dodane.
+ pole na secret, + pole na type + pole na community Generalizowanie nasów do jednej grupy ma swoje wady i zalety, bo niby wiekszosc i tak uzywa tych samych ustawień z drugiej strony, standardem jest mozliwosc ustawiania roznych typow secretow i ilosci portow, wiec mysle ze te pola musiałyby pojawić się na karcie ip urzadzenia (tabela nodes)
+metoda autentykacji na danym urzadzeniu jesli inna niż ogolne, albo może dać tą opcje na kartach komputerów, już sam nie wiem, ja i tak stosuje tylko pppoe ;p, bo moze byc ktos kto autoryzuje klientow radiowych po macu a pozniej jeszcze robi tunel pppoe (chociaż to skrajna przypadłość zapomnijcie o tym co powiedziałem )
b. "ptaszek" mikrotik_rate_limit w przypadku gdy chcemy aby zaraz na mikrotiku zakladane byly kolejki dla komputera brane z taryfy klienta (mysle ze Michal moglby dorobicw tym przypadku narzedzie do czytania tego i ladowania do MT?)
Nie ma co dorabiać, MT sam się tym zajmuje wystarczy dostarczyć radiusowi odpowiedni słownik atrybutów (od którejs tam wersji freeradiusa juz jest w standardzie), wszystko co trzeba zrobić to w tabeli radreply obok framed-ip-address dodać kolejny atrybut mikrotik-rate-limit (który bedzie pobierany z taryf ;) ) i chyba (nie wiem bo nie doprowadzałem tego do końca) zmienić zapytanie w sql.conf, (miedzy innymi dlatego właśnie chciałem aby standardowa struktura radiusa pozostała)
Co do tego tez nie jestem pewien czy nie powinno to być na każdym kompie również, może zdarzyć się sytuacja że któremuś kompowi nie będziemy chcieli tak zrobić, z róznych względów, ale można by zrobić grupe dla komputerów która by wykluczała dany komputer z opcji mikrotik-rate-limit lub coś w tym stylu, właściwie można by zrobić taką samą stała grupe dla tych kompów których np nie chcemy autoryzować w ogóle
Uwierzytelnianie: wedlug propozycji Dariusza:
po mac adresie bo to sie o dziwo może niektórym jeszcze przydać
802.1x + EAP-(PEAP/EAP-MSCHAPv2)lub EAP-TTLS
2. po ludzku ;), uwierzytelnianie login/password lub certyfikat ogolny/osobny dla każdego usera (nie wgłębiałem się w to, ale chyba były jeszcze certyfikaty dla nasów), nie wiem ale myśle, że jeśli nikt z tego nie korzysta moglibyśmy sobie to odpuścić tym razem, z tego względu że to troche roboty, jakby chciało się to do porządku zrobić (trzeba by nie wiem dorobić typ dokumentu, certyfikat czy cos takiego), a co za tym idzie więcej kasy dla Alka
To tyle, o czyms zapomnialem?
Teraz opcje konfiguracyjne jesli bedzie sekcja [radius] w UI:
- simultaneous_use = 0/1
wtedy nalezy kazdemu userowi przypisac ten atrybut lub kazdego usera przywiazac do jakiejs grupy, a grupie dac simula (radiusowa tabela usergroup)
- NAS_port = (jesli nie na karcie dla urzadzenia tylko globalnie dla
wszystkich NASow)
tryb autentykacji jesli nie na karcie urządzenia ;)
jakies dodatkowe pomysly?
Co do tabel to raddacct taki jak w oryginale freeradiusowy ze wzgledu na dzialanie checkrad
również tabela bad users, co z tabela usergroup?
To takze do rozwazenia.
No fajnie by było
Pozdrawiam
!DSPAM:48073c40145216491211187!
Uwierzytelnianie: wedlug propozycji Dariusza:
po mac adresie bo to sie o dziwo może niektórym jeszcze przydać
802.1x + EAP-(PEAP/EAP-MSCHAPv2)lub EAP-TTLS
- po ludzku ;), uwierzytelnianie login/password lub certyfikat
ogolny/osobny dla każdego usera (nie wgłębiałem się w to, ale chyba były jeszcze certyfikaty dla nasów), nie wiem ale myśle, że jeśli nikt z tego nie korzysta moglibyśmy sobie to odpuścić tym razem, z tego względu że to troche roboty, jakby chciało się to do porządku zrobić (trzeba by nie wiem dorobić typ dokumentu, certyfikat czy cos takiego), a co za tym idzie więcej kasy dla Alka
Jesli odpuścić to tylko EAP-TLS (tam gdzie certyfikat dla kazdego klienta trzeba generowac.)
Zas 802.1x + EAP-(PEAP/EAP-MSCHAPv2) to podstawa dzisiejszych bezpiecznych sieci ethernet (czyli jak piszesz po ludzku login i haslo dla klienta, certyfikat tylko dla serwera) Uwaga na nazewnictwo bo EAP-TLS to nie to samo co EAP-TTLS, sa jeszcze inne np EAP-MD5 ale nie zalecane bo nie sa bezpieczne dlatego nie pisałem o nich, skupiłbym więc tylko na: --------------------------------------------------------------------------------------- 1. po mac adresie bo to sie o dziwo może niektórym jeszcze przydać 2. 802.1x + EAP-(PEAP/EAP-MSCHAPv2) lub 802.1x+EAP-TTLS bo to bardzo podobne jedno promuje microsoft drugie funk-software i to sie stosuje w wiekszości instalacji sieciowych ----------------------------------------------------------------------------------------
Dariusz Kowalczyk
!DSPAM:480746cf168021886019037!
17-04-08, Dariusz Kowalczyk daro@i24.pl napisał(a):
Uwierzytelnianie: wedlug propozycji Dariusza:
po mac adresie bo to sie o dziwo może niektórym jeszcze przydać
802.1x + EAP-(PEAP/EAP-MSCHAPv2)lub EAP-TTLS
- po ludzku ;), uwierzytelnianie login/password lub certyfikat
ogolny/osobny dla każdego usera (nie wgłębiałem się w to, ale chyba były jeszcze certyfikaty dla nasów), nie wiem ale myśle, że jeśli nikt z tego nie korzysta moglibyśmy sobie to odpuścić tym razem, z tego względu że to troche roboty, jakby chciało się to do porządku zrobić (trzeba by nie wiem dorobić typ dokumentu, certyfikat czy cos takiego), a co za tym idzie więcej kasy dla Alka
Jesli odpuścić to tylko EAP-TLS (tam gdzie certyfikat dla kazdego klienta trzeba generowac.)
No o to mi chodziło zeby odpuścić to gdzie kazdy user ma osobny cert.
Zas 802.1x + EAP-(PEAP/EAP-MSCHAPv2) to podstawa dzisiejszych bezpiecznych sieci ethernet (czyli jak piszesz po ludzku login i haslo dla klienta, certyfikat tylko dla serwera) Uwaga na nazewnictwo bo EAP-TLS to nie to samo co EAP-TTLS, sa jeszcze inne np EAP-MD5 ale nie zalecane bo nie sa bezpieczne dlatego nie pisałem o nich, skupiłbym więc tylko na:
po mac adresie bo to sie o dziwo może niektórym jeszcze przydać
802.1x + EAP-(PEAP/EAP-MSCHAPv2) lub 802.1x+EAP-TTLS bo to bardzo podobne jedno
No tak bo punkt drugi mowi tak naprawde o zabezpieczeniach dla ethernetu i wireless w warstwie dostepu do łącza o ile sie nie myle ;), w takim razie jak chcemy juz tak rozdzielac, to trzeba by zrobic osobny punkt dla PPPoE, bo tam niestety nie ma certyfikatów NASa ;) Ja się na 802.1x nie znam dobrze, próbowałem tego kiedys ale było wtedy jeszcze słabe wsparcie sprzętu klienckiego, wiec skupiłem się na pppoe.
Pozdrawiam
!DSPAM:48074c16174441859716918!
wydaje mi sie ze tu nie wiele maja wspolnego certyfikaty bo jak wylacze przekierowanie na imq i robie podzial bezposrednio na eth to obciazenie spada do normalnego poziomu
- po mac adresie bo to sie o dziwo może niektórym jeszcze przydać
- 802.1x + EAP-(PEAP/EAP-MSCHAPv2)lub EAP-TTLS
- po ludzku ;), uwierzytelnianie login/password lub certyfikat
ogolny/osobny dla każdego usera (nie wgłębiałem się w to, ale chyba były jeszcze certyfikaty dla nasów), nie wiem ale myśle, że jeśli nikt z tego nie korzysta moglibyśmy sobie to odpuścić tym razem, z tego względu że to troche roboty, jakby chciało się to do porządku zrobić (trzeba by nie wiem dorobić typ dokumentu, certyfikat czy cos takiego), a co za tym idzie więcej kasy dla Alka
Jesli odpuścić to tylko EAP-TLS (tam gdzie certyfikat dla kazdego klienta trzeba generowac.)
No o to mi chodziło zeby odpuścić to gdzie kazdy user ma osobny cert.
Zas 802.1x + EAP-(PEAP/EAP-MSCHAPv2) to podstawa dzisiejszych bezpiecznych sieci ethernet (czyli jak piszesz po ludzku login i haslo dla klienta, certyfikat tylko dla serwera) Uwaga na nazewnictwo bo EAP-TLS to nie to samo co EAP-TTLS, sa jeszcze inne np EAP-MD5 ale nie zalecane bo nie sa bezpieczne dlatego nie pisałem o nich, skupiłbym więc tylko na:
po mac adresie bo to sie o dziwo może niektórym jeszcze przydać
802.1x + EAP-(PEAP/EAP-MSCHAPv2) lub 802.1x+EAP-TTLS bo to bardzo
podobne jedno
No tak bo punkt drugi mowi tak naprawde o zabezpieczeniach dla ethernetu i wireless w warstwie dostepu do łącza o ile sie nie myle ;), w takim razie jak chcemy juz tak rozdzielac, to trzeba by zrobic osobny punkt dla PPPoE, bo tam niestety nie ma certyfikatów NASa ;) Ja się na 802.1x nie znam dobrze, próbowałem tego kiedys ale było wtedy jeszcze słabe wsparcie sprzętu klienckiego, wiec skupiłem się na pppoe.
Pozdrawiam
_______________________________________________ lms mailing list lms@lists.lms.org.pl http://lists.lms.org.pl/mailman/listinfo/lms
!DSPAM:48075ba9188548980171022!
aha i stery intela to tez nie beda bo na rtl 8169 jest podobnie choc nie na wszyskich kartach tego typu
!DSPAM:48075c10189711804284693!
Była mowa o generowaniu pliku sql.conf. Ja w tej chwili już tego nie używam. Zastąpiłem go modułem perla dla radiusa. Skrypt perla mi załatwia sprawdzanie użytkowników, haseł i zapisywanie statystyk i statusu "online". Myślę, że będzie to najmniej ingerowało w pliki radiusa. Wystarczy napisać bardziej rozbudowany plik perla i wrzucić go do radiusa. Można takich plików zrobić kilka z różną funkcjonalnością aby każdemu podpasować. Mogę udostępnić mój plik jeśli przejdzie takie rozwiązanie. Piotr Sklepiński
!DSPAM:4808cc81273071163869485!
18-04-08, Piotr S. piotr@lcs.net.pl napisał(a):
Była mowa o generowaniu pliku sql.conf. Ja w tej chwili już tego nie używam. Zastąpiłem go modułem perla dla radiusa. Skrypt perla mi załatwia sprawdzanie użytkowników, haseł i zapisywanie statystyk i statusu "online". Myślę, że będzie to najmniej ingerowało w pliki radiusa. Wystarczy napisać bardziej rozbudowany plik perla i wrzucić go do radiusa. Można takich plików zrobić kilka z różną funkcjonalnością aby każdemu podpasować. Mogę udostępnić mój plik jeśli przejdzie takie rozwiązanie. Piotr Sklepiński
Wydaje mi się że perl byłby duzo mniej wydajniejszy przy duzych sieciach, niż korzystanie radiusa bezposrednio z bazy, ale nie mamy nic przeciwko abyś wrzucił swoje rozwiązanie, przeanalizujemy je, możesz na priv jak chcesz.
Pozdrawiam
!DSPAM:480a0fae207061886019037!
Czyzby temat umarl ?
W dniu 19 kwietnia 2008 17:28 użytkownik Michał Gacek michal.gacek@gmail.com napisał:
18-04-08, Piotr S. piotr@lcs.net.pl napisał(a):
Była mowa o generowaniu pliku sql.conf. Ja w tej chwili już tego nie używam. Zastąpiłem go modułem perla dla radiusa. Skrypt perla mi załatwia sprawdzanie użytkowników, haseł i zapisywanie statystyk i statusu "online". Myślę, że będzie to najmniej ingerowało w pliki radiusa. Wystarczy napisać bardziej rozbudowany plik perla i wrzucić go do radiusa. Można takich plików zrobić kilka z różną funkcjonalnością aby każdemu podpasować. Mogę udostępnić mój plik jeśli przejdzie takie rozwiązanie. Piotr Sklepiński
Wydaje mi się że perl byłby duzo mniej wydajniejszy przy duzych sieciach, niż korzystanie radiusa bezposrednio z bazy, ale nie mamy nic przeciwko abyś wrzucił swoje rozwiązanie, przeanalizujemy je, możesz na priv jak chcesz.
Pozdrawiam
lms mailing list lms@lists.lms.org.pl http://lists.lms.org.pl/mailman/listinfo/lms
On Tue, 22 Apr 2008 13:39:46 +0200, Przemysław Kudyba wrote
Wojciech Ziniewicz pisze:
Czyzby temat umarl ?
Może wszyscy czekają z zapartym tchem na SYN+ACK ze strony deweloperów :)
Heh, widzę, że co najmniej Wojtek, Grzesiek i ja mamy zdrowe podejście do tych jakże "skomplikowanych i bardzo potrzebnych" modyfikacji LMS, które w ogóle nie są potrzebne, żeby PPPoE+Radius działał ;-) Dodam, że jeśli ktoś będzie chciał użyć PPPoE serwera nie w ramach RouterOS-a tylko vanilla, też będzie potrzebował jego modyfikacji. Ponadto mogą być przydatne same modyfikacje w pppd ;-)
Pozdrawiam, Tomek.
Tomasz Chiliński pisze:
Heh, widzę, że co najmniej Wojtek, Grzesiek i ja mamy zdrowe podejście do tych jakże "skomplikowanych i bardzo potrzebnych" modyfikacji LMS, które w ogóle nie są potrzebne, żeby PPPoE+Radius działał ;-) Dodam, że jeśli ktoś będzie chciał użyć PPPoE serwera nie w ramach RouterOS-a tylko vanilla, też będzie potrzebował jego modyfikacji. Ponadto mogą być przydatne same modyfikacje w pppd ;-)
Nikt nie pisal, ze modyfikacje sa/beda skomplikowane ale wszyscy (zawierajacy glos w temacie) ze sa potrzebne zeby wreszcie LMS wpieral radiusa i PPPoE. Czy to bedzie zrobione w taki czy inny sposob mialo wyjscw tym wlasnie temacie. Oczywiscie za duzo wnioskow tutaj nie padlo wiec moze w koncu rzeczywiscie czas aby Developerzy zabrali glos w temacie jak to moze byc zrobione z ich punktu widzenia.
W dniu 22 kwietnia 2008 15:18 użytkownik tdabek@go2.pl napisał:
Oczywiscie za duzo wnioskow tutaj nie padlo wiec moze w koncu rzeczywiscie czas aby Developerzy zabrali glos w temacie jak to moze byc zrobione z ich punktu widzenia.
no to czekajmy na innych deweloperow Tomku ;)
pozdr.
no to czekajmy na innych deweloperow Tomku ;)
To może małymi kroczkami...
Malutki dla ALECA ale jakże wielki dla społeczności LMS krok pierwszy: Pytanie do ALEC-a: Czy dodasz do LMS-CVS grupy do urządzeń ewentualnie nowy status np NAS aby można było identyfikować łatwo urządzenia pełniące funkcję NAS-ów w "Wielkim projekcie integracji LMS-Freeradius" i za ile ?
pozdrawiam Dariusz Kowalczyk
!DSPAM:480dfd2521882226814302!
Dariusz Kowalczyk pisze:
To może małymi kroczkami...
Malutki dla ALECA ale jakże wielki dla społeczności LMS krok pierwszy: Pytanie do ALEC-a: Czy dodasz do LMS-CVS grupy do urządzeń ewentualnie nowy status np NAS aby można było identyfikować łatwo urządzenia pełniące funkcję NAS-ów w "Wielkim projekcie integracji LMS-Freeradius" i za ile ?
No tak, juz chyba nikt nie pamieta ze deklarowalem sfinansowac te modyfikacje, no moze oprocz ALECA nikt :) Pisanie swoich pomyslow oraz wyobrazen jak to ma wygladac mialo zostac wylonione w tym wlasnie temacie. Skoro Developerzy maja juz poglad jak to zrobic czekam na koszty, oczywiscie milo bedzie jesli sie znajda chetni aby sie dolozyc.
Dariusz Kowalczyk wrote:
Malutki dla ALECA ale jakże wielki dla społeczności LMS krok pierwszy: Pytanie do ALEC-a: Czy dodasz do LMS-CVS grupy do urządzeń ewentualnie nowy status np NAS aby można było identyfikować łatwo urządzenia pełniące funkcję NAS-ów w "Wielkim projekcie integracji LMS-Freeradius" i za ile ?
Obecnie sprawa wygląda tak, że jeszcze jakieś do dwóch tygodni będę mocno zajęty i nie mam nawet czasu przetrawić tego co wypisujecie. Druga sprawa to fakt, że nie znam za bardzo radiusa i potrzebuję trochę czasu żeby należycie rozpoznać temat. W prawdzie robiłem kiedyś integrację, ale temat był dość konkretnie nakreślony przez zleceniodawcę i nie było to zbyt rozbudowane, więc skończyło się na kilku funkcjach w postgresie.
Jak już wcześniej pisałem wolałbym bardziej konkretną rozpiskę typu "dla danych takich radius ma otrzymać dane takie, itd.", bo to co piszecie np. o grupach i NAS nie jest dla mnie jasne na obecnym etapie mojej wiedzy w tym zakresie.
p.s. obecnie jestem zajęty duetem roundcube + managesieve
Jak już wcześniej pisałem wolałbym bardziej konkretną rozpiskę typu "dla danych takich radius ma otrzymać dane takie, itd.", bo to co piszecie np. o grupach i NAS nie jest dla mnie jasne na obecnym etapie mojej wiedzy w tym zakresie.
Chodzi o wyraźne oznaczenie które urządzenia mają się komunikować z freeradiusem bo pełnią funkcje NAS czyli AP czy switcha zarzadzalnego a które nie. żeby skrypty czy instancja lmsd nie brały pod uwagę wszystkich urządzeń tylko wybrane. Jak to będzie to już będzie z górki :_)
Dariusz Kowalczyk
!DSPAM:480ee3af255572099511928!
Nie zgodze się z tobą myśle ze wystarczy sama dokumentacja, rozni ludzie maja roznie postsawionego radiusa, mysle ze integracja powinna byc tylko na poziome mysql. Oczywiscie mozna zrobic dokumentacje ale tak jak w przypadku hostingu, przeciez lms nie konfiguruje postfix nie :P
Tutaj jest inna a sytuacja. Radius jak najbardziej jest powszechnie wykorzystywany w zarzadzaniu sieciami LAN ethernet na całym świecie jest powszechnie stosowany przez biznes. Dlatego wszystkim zależy żeby on był natywnie (cokolwiek to znaczy) obsługiwany przez LMS-a a przypomnę że LMS to wasnie LAN Management System a nie hosting system dlatego pilniejsze z punkty widzenia projektu jest uczynienie z niego nowoczesnego Lan Management System potrafiacego używac radiusa ktorego używa mase produkowanego sprzetu i oprogramowaina niż rozbudowaywanie o np hosting. Róznica jest jeszcze zasadnicza. Hosting można i robi sie na tysiać sposobów. A metod uwierzytelniania z wykorzystaniam radiusa i dodatkowych protokołow w przemysłe, biznesie oraz ISP (pisałem o tym kilka postów wczesniej) jest zaledwie kilka. Sa to metody ustandaryzowane posiadajace co najwazniejsze wsparcie w pordukowanym na całym swiecie sprzecie i oporgramowaniu nie mowimy tu wiec o gruszkach na wierzbie ale o wykorzystaniu istniejacych standardów uwierzytelniana w LMS
Co do metody mac vs user/pass, nie wiem jak wyglada autentykacja uzytkownika po macach w jaki sposob sa dane przechowywane w tabeli i w ogole w takim przypadku trzeba by oznaczac jakos co za pomoca mac/a co za pomoca user/login nieprawdaż?
Mysle ze moga zdarzać się sytuacje w których nie którzy moga chciec mieszana autentykacje, trzeba tez dac im taka mozliwosc (do komputerow i urzadzen (karta z ip))
to juz ludzie do tej pory rozwiazali na swój sposób wykorzystujac grupy.
dla mnie pierwszym krokiem jaki można zrobic bez zbytniego zastanawiania się zeby zaczac i miec to już za soba jest dorobienie grup dla urzadze i predefiniowani grupy NAS ktora ma miec specyficzne znaczenie, lub dorobienie dodatkowego statusu NAS w urzadzeniach ktorego zaznaczenia "ptaszkiem" spowoduje ze dane urzadzenie bedzie brane pod uwage przez skrypty lub instancje lmsd do obslugi radiusa. Niektórzy radzili sobie w ten sposób teraz ze urzadzenia pracujace jako nas dawali w innej sieci ip i to wykorzystywali w skryptach ...ale jak juzrobic to porzadnie to przydało by sie jawnie deklarować takie funkcje.
Dariusz Kowalczyk
!DSPAM:4806736b173696491211187!
Dariusz Kowalczyk pisze:
Może już czas żeby ALEC zabrał głos w tej dyskusji na temat integracji LMS z FreeRadius?
Popieram bo widac ze dyskusja zamarla po ostatnich zgrzytach :)
Oprocz glownej strony projektu freeRadius (http://www.freeradius.org/) znalazlem jeszcze takie cos (pewnie wiekszosc z Was to zna): http://netkod.pl/pppoe/
Moze to cos podsunie jako kierunek rozwiazania, oczywiscie nie uwazam, ze to najlepsze rozwiazanie ale mozna sie temu przyjrzec.
Michał Gacek pisze:
To jak sobie ALEC to rozwiąże to jego sprawa, chodzi nam tylko o to aby można było korzystać z danych obojetnie czy to bedzie z tabeli, widoku czy innej bazy tak aby była zachowana standardowa struktura :P
Trzeba jeszcze pamietac zeby do tego wszystkiego na koncu odpowiednio dorobic wykresy ruchu userow. Tutaj bede mial specjalna prosbe do Tomka Chilinskiego poniewaz jego wykresy bazuja na danych z radiusa lub accountingu. To prosze tez miejcie na uwadze poniewaz wykresy do tego to bedzie nasptepna funkcjonalnosc ktora mnie interesuje i zeby to jakos odpowiednio przewidziec juz teraz.
On Sun, 13 Apr 2008 15:13:35 +0200, tdabek wrote
Michał Gacek pisze:
To jak sobie ALEC to rozwiąże to jego sprawa, chodzi nam tylko o to aby można było korzystać z danych obojetnie czy to bedzie z tabeli, widoku czy innej bazy tak aby była zachowana standardowa struktura :P
Trzeba jeszcze pamietac zeby do tego wszystkiego na koncu odpowiednio dorobic wykresy ruchu userow. Tutaj bede mial specjalna prosbe do Tomka Chilinskiego poniewaz jego wykresy bazuja na danych z radiusa lub accountingu. To prosze tez miejcie na uwadze poniewaz wykresy do tego to bedzie nasptepna funkcjonalnosc ktora mnie interesuje i zeby to jakos odpowiednio przewidziec juz teraz.
Wykresy wykorzystują dane z tabeli stats w niezmienionej postaci w stosunku do LMS vanilla.
-- Pozdrawiam Tomasz Dąbek [Thomas] [gg:14553 mail:tdabek_NO_@go2.pl]
Pozdrawiam, Tomek.
Tomasz Chiliński pisze:
Wykresy wykorzystują dane z tabeli stats w niezmienionej postaci w stosunku do LMS vanilla.
Tak racja, cos mi innego w glowie utkwilo ale juz poczynilem korekty :) Tak czy inaczej wykresy to dalszy/blizszy temat.
uczestnicy (13)
-
A.L.E.C -
Dariusz Kowalczyk -
Dawid Widyna -
Jędrzej Sosnowski -
maccolo -
Marcin o2.pl -
Michał Gacek -
Piotr S. -
Przemysław Kudyba -
SoNiC -
tdabek@go2.pl -
Tomasz Chiliński -
Wojciech Ziniewicz