UTM5 + полноценный RADIUS
UTM5 + полноценный RADIUS
никто не прикручивал? Есть огромная потребность прикрутить нормальный полноценный радиус к UTM5, а не пользоваться тем убожеством, что идет "искаропки".
Re: UTM5 + полноценный RADIUS
Уточните, чем Вас не устраивает штатный RADIUS сервер?vitalka писал(а):никто не прикручивал? Есть огромная потребность прикрутить нормальный полноценный радиус к UTM5, а не пользоваться тем убожеством, что идет "искаропки".
Re: UTM5 + полноценный RADIUS
Вот например запросы к FreeRadius оптимизированные DS (раньше они были раз в 5 сложнее)serjk писал(а):Уточните, чем Вас не устраивает штатный RADIUS сервер?vitalka писал(а):никто не прикручивал? Есть огромная потребность прикрутить нормальный полноценный радиус к UTM5, а не пользоваться тем убожеством, что идет "искаропки".
В этих запросах проверяются доп параметры пользователя, баланс, блокировки, сорс ип пользователя, дополнительно в таблицу тарифов добавлены колонки отвечающие за доступность локальной сети и за скорость, при несовпадении каких либо параметров выдаются дополнительные атрибуты отвечающие за насильно вручаемый пользователю динамический IP адрес изза которого пользователь в последствии перенаправляется на определенную страницу
Код: Выделить всё
SELECT g1.ip_group_id, g1.uname, r.Attribute, r.val AS a, r.op
FROM ip_groups g1, iptraffic_service_links i, service_links s, account_tariff_link a, tariffs t, radius_attr r
WHERE ( g1.uname = 'user'
AND g1.is_deleted = '0'
AND i.ip_group_id = g1.ip_group_id
AND i.is_deleted = '0'
AND s.id = i.id
AND s.is_deleted = '0'
AND a.id = s.tariff_link_id
AND a.is_deleted = '0'
AND t.id = a.tariff_id )
AND (( r.groups = t.unlim
AND ( g1.ab = '' OR g1.ab IS NULL ) AND ( g1.av != '2' OR g1.av IS NULL ))
OR (t.lan = '1'
AND r.groups like 'dft' AND ( g1.ab = '' OR g1.ab IS NULL ) AND ( g1.av != '2' OR g1.av IS NULL ))
OR (r.groups = 'av'
AND ( g1.ab = '' OR g1.ab IS NULL ) AND g1.av = '1' )
OR (r.groups = 'balance'
AND g1.ab != ''))
UNION SELECT g1.ip_group_id, g1.uname, r.Attribute, r.val AS a, r.op
FROM ip_groups g1, radius_attr r
WHERE g1.uname = 'user'
AND g1.is_deleted = '0'
AND r.groups = g1.radgroup
UNION SELECT g1.ip_group_id, g1.uname, r.Attribute, r.val AS a, r.op
FROM ip_groups g1
LEFT JOIN ip_groups g2
ON ( g1.rg = g2.rg
AND g2.ip = if( inet_aton( '10.1.1.6' ) <=2147483648, inet_aton( '10.1.1.6' ) , inet_aton( '10.1.1.6' ) - 0x100000000 )
AND g2.is_deleted = '0' )
LEFT JOIN ip_groups g3
ON ( g3.ip = if( inet_aton( '10.1.1.6' ) <=2147483648, inet_aton( '10.1.1.6' ) , inet_aton( '10.1.1.6' ) - 0x100000000 )
AND g3.freevpn = '1' AND g3.is_deleted = '0' ) , radius_attr r
WHERE g1.uname = 'user'
AND g1.is_deleted = '0'
AND ( g1.freevpn = '' OR g1.freevpn IS NULL )
AND ( g1.ab = '' OR g1.ab IS NULL )
AND ( g1.av != '2' OR g1.av IS NULL )
AND ( g1.freevpn = '' OR g1.freevpn IS NULL )
AND ( g3.freevpn = '' OR g3.freevpn IS NULL )
AND g2.ip IS NULL
AND r.groups = 'greyip'
UNION SELECT g1.ip_group_id, g1.uname, 'Framed-IP-Address', inet_ntoa( g1.ip & 0xFFFFFFFF ) AS a, ':='
FROM ip_groups g1
LEFT JOIN ip_groups g2
ON ( g1.rg = g2.rg
AND g2.ip = if( inet_aton( '10.1.1.6' ) <=2147483648, inet_aton( '10.1.1.6' ) , inet_aton( '10.1.1.6' ) - 0x100000000 )
AND g2.is_deleted = '0' )
LEFT JOIN ip_groups g3
ON ( g3.ip = if( inet_aton( '10.1.1.6' ) <=2147483648, inet_aton( '10.1.1.6' ) , inet_aton( '10.1.1.6' ) - 0x100000000 )
AND g3.freevpn = '1'
AND g3.is_deleted = '0' )
WHERE g1.uname = 'user'
AND g1.is_deleted = '0'
AND ( g1.ab = '' OR g1.ab IS NULL ) AND ( g1.av = '' OR g1.av IS NULL )
AND ( g2.id IS NOT NULL OR g1.freevpn = '1' OR g3.ip IS NOT NULL )
AND ( g1.av IS NULL OR g1.av != '2' )Код: Выделить всё
SELECT i.ip_group_id, i.uname, 'Password', i.upass, ':='
FROM ip_groups i
WHERE i.uname = 'user'
AND i.is_deleted = '0'
AND ( i.av IS NULL OR i.av != '2' )
AND 'user' != ''
UNION SELECT '1000', 'user', 'Simultaneous-Use', '1', ':=' FROM ip_groups WHERE uname='user';Re: UTM5 + полноценный RADIUS
Давайте я просто приведу пример логов вашего субмодуля радиуса и полноценного ралуса?serjk писал(а):Уточните, чем Вас не устраивает штатный RADIUS сервер?vitalka писал(а):никто не прикручивал? Есть огромная потребность прикрутить нормальный полноценный радиус к UTM5, а не пользоваться тем убожеством, что идет "искаропки".
Это полноценный (при должных настройках):
Код: Выделить всё
2009-06-16 00:04:39.203610 [12168]: rad_auth: Login incorrect: [xxxxxxx/385] Password should be '348' (from AP [irkutsk-voip]: [P0])Код: Выделить всё
ERROR : Jun 16 15:04:04 RADIUS DBA: Card login <qwerty> contains not digit symbol with code <113> ! Can't find card login
-
mikkey finn
- Сообщения: 1612
- Зарегистрирован: Пт ноя 10, 2006 15:23
Описанное Вами является частным случаем настройки, который необходим малому числу клиентов.ds писал(а):На коробочном радиусе можно настроить авторизацию вместо reject-а с неправильным паролем, с выдачей ип из соответствующего пула?
На FreeRadius достаточно просто реализуется.
В остальных комментариях ничего не говорится по существу, только общие слова.
Атрибутами, например вот такopalao писал(а):А подскажите как на Freeradius настроить выдачу айпи динамически из пула?????????????ds писал(а):На коробочном радиусе можно настроить авторизацию вместо reject-а с неправильным паролем, с выдачей ип из соответствующего пула?
На FreeRadius достаточно просто реализуется.
Cisco-AVPair := "ip:addr-pool=1",
Назначем пул
Session-Timeout := 180,
Время сессии
Cisco-AVPair := "lcp:interface-config=ip policy route-map net172-proxy"
Заворачиваем на прокси, с переадресацией на ошибку по условию
Ну Магнум сбросил же оба запроса, которые и дружат FreeRadius с УТМ. Даже с описаниемvitalka писал(а):Так а причем здесь "по существу"? Я конкретно спросил, как можно подружить UTM5 с полноценным RADIUS'ом? Мне действительно это необходимо, не важно почему.В остальных комментариях ничего не говорится по существу, только общие слова.
Может мне кто-нибудь помочь в этом вопросе?
. Первый authorize_reply_query, второй authorize_check_query. Только поля таблиц подогнать под запрос осталось, либо убрать их из него. Поищи по форуму, там запросы для исходной таблицы есть.Этого достаточно, чтобы по крайней мере функциональной коробочного сохранилась
Я не говорил про частный случай, речь о гибкости настройки. Это только пример, не более.serjk писал(а):Описанное Вами является частным случаем настройки, который необходим малому числу клиентов.ds писал(а):На коробочном радиусе можно настроить авторизацию вместо reject-а с неправильным паролем, с выдачей ип из соответствующего пула?
На FreeRadius достаточно просто реализуется.
В остальных комментариях ничего не говорится по существу, только общие слова.
Что тут говорить, если даже на 127.0.0.1 отказался авторизовать в течении полусуток, пока утром не ребутнул. Может его испугало, что под мой debian завелась только сборка под RedHat, и с glibc проблема была. То что было под etch дебиан, оказалось по ходу для убунты или экспериментальной ветки. Я писал об этом года 3 назад, и насколько помню мой комментарий был последним
Если выходить на европейский уровень, хороший пример - oracle, решение проблем за деньги. А у нас даже о баге не скажешь, если хотлайна нет в подписке
-
mikkey finn
- Сообщения: 1612
- Зарегистрирован: Пт ноя 10, 2006 15:23
ds писал(а):Атрибутами, например вот такopalao писал(а):А подскажите как на Freeradius настроить выдачу айпи динамически из пула?????????????ds писал(а):На коробочном радиусе можно настроить авторизацию вместо reject-а с неправильным паролем, с выдачей ип из соответствующего пула?
На FreeRadius достаточно просто реализуется.
Cisco-AVPair := "ip:addr-pool=1",
Назначем пул
Session-Timeout := 180,
Время сессии
Cisco-AVPair := "lcp:interface-config=ip policy route-map net172-proxy"
Заворачиваем на прокси, с переадресацией на ошибку по условию
А если необходимо чтоб данимические адресса выдавались utm при поднятии впн подключения. (то при использовании utm радиуса все работает норм,а при freeadius не выдает айпи)