Авторизация только через свой NAS

aefimov

Добрый день. Есть ли возможность жестко привязывать пользователей к конкретному NAS?
Требуется, чтобы радиус авторизовывал пользователей ТОЛЬКО если они будут "приходить" через "правильные" NAS

cjcrazy

реализован ли данный функционал в 17-м билде?
то есть возможно ли указать в биллинге, что данному пользователю возможно авторизоваться только с данного nas?

taf · Сообщение **taf** » Пн дек 05, 2005 09:47

А через механизм реалмов не пробовали делать? По-моему как раз самое то будет.

Сообщение **aospan** » Пн дек 05, 2005 10:02

Если речь идет об услуге "Коммутируемый доступ", то там есть возможность указать "Разсрешенные CSID" - это разрешенный номер вызываемого абонента. Тут можно указать номер куда дозванивается абонент. Возможно это решит проблему.

cjcrazy

2aospan,
речь идёт про подключение vpn-пользователей.

ситуация следущая:
есть несколько локальных сетей. в них установлены pppoe-сервера.
пользователи устонавливают pppoe-соединение с сервером, а сервер обращается к радиусу, установленному на машине с биллингом.

2taf, можно подробнее?

taf · Сообщение **taf** » Пн дек 05, 2005 10:50

Дано: NAS1 и NAS2

В конфигурации NAS'ов объявляем REALM'ы, к примеру у NAS1 будет реалм - REALM1, для NAS2 - REALM2 (по-умолчанию реалмы имеют значене "пусто").

В результате NAS'ы будут отправлять радиусу имена пользователей не как vasya, а если пользователь тыркнулся через NAS1 - vasyaREALM1, если через NAS2 - vasyaREALM2.

Соотвественно в биллинге в услуге прописываем имя пользователя не vasya, а, если надо, чтобы он ходил только через NAS2 - vasyaREALM2

Пользователь же ничего не подозревает, и продолжает вводить у себя в качестве логина привычное vasya

Вроде так.

Сообщение **aospan** » Пн дек 05, 2005 10:50

cjcrazy писал(а):2aospan,
речь идёт про подключение vpn-пользователей.

ситуация следущая:
есть несколько локальных сетей. в них установлены pppoe-сервера.
пользователи устонавливают pppoe-соединение с сервером, а сервер обращается к радиусу, установленному на машине с биллингом.

2taf, можно подробнее?

есть вариант выдавать пользователю статически IP-адрес, который разрешен только на определенном НАСе т.е. если он подключится к другому, то пакеты ходить все равно не будут ...

taf · Сообщение **taf** » Пн дек 05, 2005 11:11

taf писал(а):Дано: NAS1 и NAS2

В конфигурации NAS'ов объявляем REALM'ы, к примеру у NAS1 будет реалм - REALM1, для NAS2 - REALM2 (по-умолчанию реалмы имеют значене "пусто").

В результате NAS'ы будут отправлять радиусу имена пользователей не как vasya, а если пользователь тыркнулся через NAS1 - vasyaREALM1, если через NAS2 - vasyaREALM2.

Соотвественно в биллинге в услуге прописываем имя пользователя не vasya, а, если надо, чтобы он ходил только через NAS2 - vasyaREALM2

Пользователь же ничего не подозревает, и продолжает вводить у себя в качестве логина привычное vasya

Вроде так.

Опа, наврал. Таки это не NAS отправляет имя пользователя vasyaREALM2, а в пакете "Access-Request" появляется новый атрибут " Realm", который RADIUS-сервер должен уметь обрабатывать. В Случае с UTM меня гложут смутные сомнения, что он знает про этот атрибут.

max_rain

Реалмы вещь хорошие.... Но когда база более 2К человек... то перебивать всех... мы у нас заморочились прогой небольшой, которая работает с фаерволом и тогдалее....

Mirsaid

В конфигурации NAS'ов объявляем REALM'ы

mojno podrobne obyasnit? ya kakto ne ponyal... gde i kuda dobavit REALMi.

JAO · Сообщение **JAO** » Пн сен 15, 2008 05:22

Реалмы умеет обрабатывать фрирадиус. Ставится же это дело как я понял и в NAS, и в радиусе. Но UTM радиус похоже не умеет с такими вещами работать. Где их там конкретно ставить - не знаю, сам не пользовался.