Опыт установки 5.3 на боевом сервере

adeep · Сообщение **adeep** » Ср авг 07, 2013 11:37

serjk писал(а):Какой тип имеет логин test3 ? Перезапуск utm5_radius не решает проблему? Если есть возможность, вышлите логи utm5_radius в момент запуска и в момент не проходящей авторизации.

По проблеме DBAGenericError: no registered plugin for event так же хотелось бы посмотреть подробнее на логи.

Можем по почте/скайпу связаться.

Стандартная услуга ip-трафика, без динамики.
перезапуск utm5_radius не помогает.

skype adeepv

Magnum72

В api.xml отсутствуют описания функций rpcf_set_periodic_slink_options и rpcf_get_periodic_slink_options

Vans · Сообщение **Vans** » Пт авг 16, 2013 12:09

Когда релиз? Будет ли сборка под Gentoo? (у нас так исторически сложилось)

serjk · Сообщение **serjk** » Пн авг 19, 2013 08:51

Релиз в процессе. Обновляем документацию, делаем сборки.

Под gentoo сборки больше не планируются, но если с ней не будет значительных затруднений, сделаем и выдадим по запросу.

torrus · Сообщение **torrus** » Пн авг 26, 2013 09:12

Добрый день всем.
Сегодня обновился с RC5 на релиз 5.3. Базы обновил,ядро взлетело без проблем(тестовый сундук с парой юзеров).
Пробую запускать радиус...в лог насыпалось такое:

Notice: Aug 26 10:08:19 b77b9740 UTM5 Config: Processing config file: /netup/utm5/radius5.cfg
/netup/utm5/bin/utm5_radius: symbol lookup error: /netup/utm5/bin/utm5_radius: undefined symbol: EVP_sha256

В какую сторону копать,чтобы запустить радуис?

P.S система старовата уже(Fedora 14 i386),но RC5 запустился полностью.

serjk · Сообщение **serjk** » Пн авг 26, 2013 09:57

В релизе появилась поддержка метода аутентификации EAP-TTLS, соответственно появились зависимости на новые символы из библиотеки OpenSSL.

Можно попробовать обновить соответствующий пакет, либо же обновить систему на одну из поддерживаемых (в Вашем случае что-то из: CentOS 5, CentOS 6, RHEL 5)

На CentOS 5:

$ ldd /netup/utm5/bin/utm5_radius
linux-gate.so.1 => (0x00cf4000)
libcrypto.so.6 => /lib/libcrypto.so.6 (0x0065a000)
libssl.so.6 => /lib/libssl.so.6 (0x00d2a000)
librt.so.1 => /lib/librt.so.1 (0x00320000)
libpthread.so.0 => /lib/libpthread.so.0 (0x00c50000)
libcrypt.so.1 => /lib/libcrypt.so.1 (0x00e7d000)
libstdc++.so.6 => /usr/lib/libstdc++.so.6 (0x00983000)
libm.so.6 => /lib/libm.so.6 (0x00c93000)
libgcc_s.so.1 => /lib/libgcc_s.so.1 (0x00531000)
libc.so.6 => /lib/libc.so.6 (0x00110000)
libdl.so.2 => /lib/libdl.so.2 (0x0091b000)
libz.so.1 => /usr/lib/libz.so.1 (0x4306e000)
libgssapi_krb5.so.2 => /usr/lib/libgssapi_krb5.so.2 (0x00250000)
libkrb5.so.3 => /usr/lib/libkrb5.so.3 (0x0027d000)
libcom_err.so.2 => /lib/libcom_err.so.2 (0x00310000)
libk5crypto.so.3 => /usr/lib/libk5crypto.so.3 (0x00329000)
libresolv.so.2 => /lib/libresolv.so.2 (0x00409000)
/lib/ld-linux.so.2 (0x00ba1000)
libkrb5support.so.0 => /usr/lib/libkrb5support.so.0 (0x00cf9000)
libkeyutils.so.1 => /lib/libkeyutils.so.1 (0x00313000)
libselinux.so.1 => /lib/libselinux.so.1 (0x004db000)
libsepol.so.1 => /lib/libsepol.so.1 (0x4308e000)

torrus · Сообщение **torrus** » Пн авг 26, 2013 10:41

Угу,спасибо за наводку.Подпихнул посвежее libcrypto и запустился радиус.

И ещё,такой вопрос есть.
Debug : Aug 26 11:38:30 b7669b70 LoginStorage: Callback check. login contains delimiter! callback number <0c:42:d3:2d:f1> login <00>
?Debug : Aug 26 11:38:30 b7669b70 AuthQueue: Login '00'
?Debug : Aug 26 11:38:30 b7669b70 AuthQueue: Using PAP authentication method

Как убедить радиус,что первые два нуля тоже относятся к MAC-адресу?

Что надо указывать в логине,чтобы не откусывалось то,что надо?

P.S пытаюсь UTM5 подружить с Ericsson SE-100 и всё никак.

serjk · Сообщение **serjk** » Пн авг 26, 2013 10:57

Пока вероятно нельзя - текущий функционал делит логин по символу ":"

Если скажите, как должно быть - сделаем и вышлем сборку.

Я правильно понимаю, что в качестве логина приходит MAC, остальное все стандартно?

torrus · Сообщение **torrus** » Пн авг 26, 2013 12:34

serjk писал(а):Пока вероятно нельзя - текущий функционал делит логин по символу ":"

Если скажите, как должно быть - сделаем и вышлем сборку.

Я правильно понимаю, что в качестве логина приходит MAC, остальное все стандартно?

Да,правильно.В качестве логина MAC-адрес.
Попытка убрать в запросе к радиусу символ ":" - ни к чему не приводит.

serjk · Сообщение **serjk** » Пн авг 26, 2013 15:38

torrus писал(а):
serjk писал(а): Попытка убрать в запросе к радиусу символ ":" - ни к чему не приводит.
Поясните. Какими средствами убираются ":" и почему авторизация не проходит?

torrus · Сообщение **torrus** » Пн авг 26, 2013 15:48

serjk писал(а):
torrus писал(а):
serjk писал(а): Попытка убрать в запросе к радиусу символ ":" - ни к чему не приводит.
Поясните. Какими средствами убираются ":" и почему авторизация не проходит?
Путём команды на Ericsson:
radius attribute username encaps clips strip-mac-delimiter

Логин указываю без ":" ,т.е 000c42d32df1

В логах радиуса наблюдаю такое:
?Debug : Aug 26 16:44:22 b76a4b70 AuthQueue: Login '000c42d32df1'
?Debug : Aug 26 16:44:22 b76a4b70 LoginStorage: Acquire: login '000c42d32df1' used 1 times
?Debug : Aug 26 16:44:22 b76a4b70 AuthQueue: Login info found, slink_id 34
?Debug : Aug 26 16:44:22 b76a4b70 AuthQueue: Using PAP authentication method
?Debug : Aug 26 16:44:22 b76a4b70 AuthQueue: PAP authentication OK
?Debug : Aug 26 16:44:22 b76a4b70 AuthQueue: Service ID 166 type 3; account ID 12
?Debug : Aug 26 16:44:22 b76a4b70 IPPoolManager: IP 10.18.1.25 is leased from LoginPool '000c42d32df1'
?Debug : Aug 26 16:44:22 b76a4b70 ExtendedAttributeStorage: Attributes for type='IPTRAFFIC_SERVICE' not exist in RADIUS_server
?Debug : Aug 26 16:44:22 b76a4b70 ExtendedAttributeStorage: Attributes for type='SERVICE_LINK' not exist in RADIUS_server
?Debug : Aug 26 16:44:22 b76a4b70 AcctQueue: lookup: session ID 24 for login '000c42d32df1'
?Debug : Aug 26 16:44:22 b76a4b70 AcctQueue: lookup: session ID 24 for IP 10.18.1.25
?Debug : Aug 26 16:44:22 b76a4b70 SessionManager: put: session ID 24 timeout scheduled at 1377521122
?Debug : Aug 26 16:44:22 b76a4b70 SessionManager: put: session ID 24 from NAS 6 OK
?Debug : Aug 26 16:44:22 b76a4b70 AuthQueue: Reply
--- RADIUS Pkt ---
Code: [2] ID: [-92]
Auth: Size 16; Data [0x68f0733da941c07beebeadbc18370e0c]
Attr: [6] Vendor: [0] Size 4; Data [0x00000002]
(Service-Type=INT:2)
Attr: [7] Vendor: [0] Size 4; Data [0x00000001]
(Framed-Protocol=INT:1)
Attr: [8] Vendor: [0] Size 4; Data [0x0a120119]
(Framed-IP-Address=IP:10.18.1.25)
Attr: [9] Vendor: [0] Size 4; Data [0xffffffff]
(Framed-IP-Netmask=IP:255.255.255.255)
Attr: [27] Vendor: [0] Size 4; Data [0x00015180]
(Session-Timeout=INT:86400)
Attr: [4] Vendor: [2352] Size 5; Data [0x6c6f63616c]
(Redback:Context_Name=STRING:local)
Attr: [3] Vendor: [2352] Size 4; Data [0x00000001]
(Redback:DHCP_Max_Leases=INT:1)
Attr: [104] Vendor: [2352] Size 7; Data [0x646863702d6966]
(Redback:IP-Interface=STRING:dhcp-if)

?Debug : Aug 26 16:44:24 b76a4b70 AuthQueue: New request from 10.2.2.250:1812
--- RADIUS Pkt ---
Code: [1] ID: [-91]
Auth: Size 16; Data [0x7ac9fc804640e3dc99da84f4b033a1b7]
Attr: [1] Vendor: [0] Size 12; Data [0x303030633432643332646631]
(User-Name=STRING:000c42d32df1)
Attr: [2] Vendor: [0] Size 16; Data [0x37a901d5b85d0192fcdf98be33ffb3a2]
(User-Password=HEX:...)
Attr: [6] Vendor: [0] Size 4; Data [0x00000005]
(Service-Type=INT:5)
Attr: [32] Vendor: [0] Size 7; Data [0x5265646261636b]
(NAS-Identifier=STRING:Redback)

--- RADIUS Pkt ---
Code: [1] ID: [-91]
Auth: Size 16; Data [0x7ac9fc804640e3dc99da84f4b033a1b7]
Attr: [1] Vendor: [0] Size 12; Data [0x303030633432643332646631]
(User-Name=STRING:000c42d32df1)
Attr: [2] Vendor: [0] Size 16; Data [0x37a901d5b85d0192fcdf98be33ffb3a2]
(User-Password=HEX:...)
Attr: [6] Vendor: [0] Size 4; Data [0x00000005]
(Service-Type=INT:5)
Attr: [32] Vendor: [0] Size 7; Data [0x5265646261636b]
(NAS-Identifier=STRING:Redback)
Attr: [5] Vendor: [0] Size 4; Data [0x02020000]
(NAS-Port=INT:33685504)
Attr: [62] Vendor: [2352] Size 4; Data [0x02020000]
(Redback:NAS_Real_Port=INT:33685504)
Attr: [61] Vendor: [0] Size 4; Data [0x00000005]
(NAS-Port-Type=INT:5)
Attr: [87] Vendor: [0] Size 16; Data [0x322f3220636c69707320313331323338]
(NAS-Port-Id=STRING:2/2 clips 131238)
Attr: [38] Vendor: [2352] Size 4; Data [0x0000000b]
(Redback:Medium_Type=INT:11)
Attr: [-111] Vendor: [2352] Size 17; Data [0x30302d30632d34322d64332d32642d6631]
(Redback:Mac-Addr=STRING:00-0c-42-d3-2d-f1)
Attr: [98] Vendor: [2352] Size 4; Data [0x00000004]
(Redback:Platform-Type=INT:4)
Attr: [112] Vendor: [2352] Size 7; Data [0x362e352e312e35]
(Redback:OS-Version=STRING:6.5.1.5)
Attr: [-54] Vendor: [2352] Size 10; Data [0x3d3d0701000c42d32df1]
(Redback:DHCP-Option=STRING:==^G^A
?Debug : Aug 26 16:44:24 b76a4b70 AuthQueue: Login '000c42d32df1'
?Debug : Aug 26 16:44:24 b76a4b70 LoginStorage: Acquire: login '000c42d32df1' used 2 times
?Debug : Aug 26 16:44:24 b76a4b70 AuthQueue: Login info found, slink_id 34
?Debug : Aug 26 16:44:24 b76a4b70 AuthQueue: Using PAP authentication method
?Debug : Aug 26 16:44:24 b76a4b70 AuthQueue: PAP authentication OK
?Debug : Aug 26 16:44:24 b76a4b70 AuthQueue: Service ID 166 type 3; account ID 12
ERROR : Aug 26 16:44:24 b76a4b70 IPPoolManager: unable to lease IP from LoginPool '000c42d32df1'
ERROR : Aug 26 16:44:24 b76a4b70 LogicError: unable to lease IP address

И так до бесконечности.В итоге - IP не выдается,ибо радиус дает reject.

Сам SE-100 выдает такое:

Aug 26 17:01:47: [0001]: [2/2:511:63:31/7/2/168]: %AAA-7-AUTHEN: aaa_idx 500000a9: Binding subscriber 00:0c:42:d3:2d:f1 to context local via bind contex t (aaa_idx = 1342177449).
Aug 26 17:01:47: [0001]: [2/2:511:63:31/7/2/168]: %AAA-7-AUTHEN: aaa_idx 500000a9: Received session slot mask 0x0
Aug 26 17:01:47: [0001]: [2/2:511:63:31/7/2/168]: %AAA-7-AUTHEN: aaa_idx 500000a9: Adding aaa_idx 1342177449 to context local
Aug 26 17:01:47: [0001]: [2/2:511:63:31/7/2/168]: %AAA-7-AUTHEN: aaa_idx 500000a9: Sending Authentication request to radius
Aug 26 17:01:47: [0001]: [2/2:511:63:31/7/2/168]: %AAA-7-AUTHEN: aaa_idx 500000a9: [aaa_send_db_req]. Invalid Monitor Circuit
Aug 26 17:01:47: [0001]: [2/2:511:63:31/7/2/168]: %AAA-7-AUTHEN: aaa_idx 500000a9: aaa_send_db_req: Created tlv list (more_data) for session 00:0c:42:d3 :2d:f1
Aug 26 17:01:47: %AAA-7-EXCEPT: rad_parse_pkt: Attribute function failed for attribute 6
Aug 26 17:01:47: [0001]: [2/2:511:63:31/7/2/168]: %AAA-7-EXCEPT: aaa_idx 500000a9: rad_fill_response_attr: Fail authen. Bad attribute Service_Type. Erro r (6)
Aug 26 17:01:47: [0001]: [2/2:511:63:31/7/2/168]: %AAA-7-EXCEPT: aaa_idx 500000a9: rad_create_auth_db_reply: Radius authentication fail: bad service typ e. (00:0c:42:d3:2d:f1)

serjk · Сообщение **serjk** » Пн авг 26, 2013 15:51

Так первая авторизация проходит, и IP помечается занятым. Поэтому вторая уже не проходит.

torrus · Сообщение **torrus** » Вт авг 27, 2013 07:33

Все же хотелось бы,что радиус мог передавать полный логин(MAC-адрес),а не с выкушенными двумя первыми знаками из MAC.

serjk · Сообщение **serjk** » Вт авг 27, 2013 10:29

Сделаем, войдет в апдейт

torrus · Сообщение **torrus** » Вт авг 27, 2013 10:46

Спасибо.Будем ждать апдейт.