кто Radius использует

[Efendy]

Я тут тестирую работу NoDeny с Hotspot  столкнулся с одним моментом, на который, возможно, я раньше не обратил внимание, а возможно просто такой проблемы нет в ваших случаях. Вкратце, в биллинге есть несколько процедур написанных для Radius. При проверке логина запускается процедура radcheck. Если логин не верный - радиус отшивает клиента. Если логин верный, то радиус запускает процедуру radreply для получения параметров соединения. В этой процедуре, кроме параметров соединения, мы записывает в базу о том, что клиент авторизовался. Так вот, тестируя Hotspot я с толкнулся с тем, что вне зависимости от успешности авторизации, радиус запускает radreply хотя по логике не должен этого делать. В чем это отражается? В том, что с неверным паролем клиент становится авторизованным примерно на полторы минуты. Проверьте, пожалуйста эту ситуацию, т.е. попробуйте авторизоваться (например, по пппое) с неверный паролем. Соединение не должно создастся, но важно посмотреть появился ли зеленый ключик через несколько секунд напротив учетной записи в админке.

Если такая проблема подтвердится, то лечится она очень просто, путем переноса записи авторизации в процедуру старта accounting-update

[goletsa]

1     18:02:16      PPPoE

Угу, загорается ключик при неверном пароле.

[elite]

Стас, а ты не придумал еще реализацию выдачи динамического ип адреса по пппое?

[Cell]

Проблему подтверждаю, авторизация vpn (mpd+radius). Ключик зеленый ровно 2 минуты.
Если можно, расскажи подробно как вылечить.

[elite]

Проблему подтверждаю, авторизация vpn (mpd+radius). Ключик зеленый ровно 2 минуты.
Если можно, расскажи подробно как вылечить.

скоро будет патч

[Efendy]

Стас, а ты не придумал еще реализацию выдачи динамического ип адреса по пппое?

я все придумал, только пока это не смогу выпустить т.к. 52 версия уже перековыряна значительно. Для "старых" версий у меня нет ресурсов дублировать нововведения. Так что придется подождать. Сколько - не знаю. Сейчас ковыряю хотспот, здесь  и протестирую новую версию. В хотспотах, как оказалось, не все так проблематично, например chilli берет на себя большую часть действий, например, перехват get-запросов, обращение к радиусу и, что мне очень нравится, мониторинг  освобождения dрcp-выданного адреса и блокирование ip спуффинга. Правда, из-за того, что chilli на себя взяла большую часть работы, есть некоторые сложности, например, она перехватывает только get-запросы, в результате не получится авторизоваться на opera-mini - эти кренделя забирают странички post-запросами. Так же есть проблема с килянием сессий, которую щас решаю.

[Efendy]

ФИКС.

1) Меняем процедуры mysql:

Код:

bash# mysql --password=`grep sql_root_pass /usr/local/nodeny/history.nod | sed s/\\\$sql_root_pass=\'//g | sed "s/\';//"` bill 

попадаем в консоль mysql, выполняем:

Код:

DROP PROCEDURE IF EXISTS `radreply`;
DELIMITER $$  
CREATE PROCEDURE `radreply` (IN login VARCHAR(64))
BEGIN
  DECLARE usr_ip VARCHAR(15);

  SELECT ip INTO usr_ip FROM users WHERE name=login;

  SELECT NULL,login,'Framed-IP-Address',usr_ip,'=';
  SELECT NULL,login,'Framed-IP-Netmask','255.255.255.255','=';
  SELECT NULL,login,'Framed-Protocol','PPP','=';
END$$
DELIMITER ;

DROP PROCEDURE IF EXISTS `radpostauth`;
DELIMITER $$  
CREATE PROCEDURE `radpostauth` (IN login VARCHAR(64))
BEGIN
  DECLARE usr_id INT;  
  SELECT id INTO usr_id FROM users WHERE name=login;
  INSERT into dblogin (mid,act,time) VALUES (usr_id,47,unix_timestamp());
END$$
DELIMITER ;

2) Правим конфиги:

Код:

bash# ee /usr/local/etc/raddb/sql.conf

в конце перед } вставляем:

Код:

postauth_query = "call radpostauth('%{SQL-User-Name}')"

Код:

bash# ee /usr/local/etc/raddb/radiusd.conf

в секции post-auth расскоментируйте строку: sql

3) Рестартуйте radius:

Код:

bash# /usr/local/etc/rc.d/radiusd restart

4) Проводите эксперимент и отписываетесь здесь

[elite]

я все придумал, только пока это не смогу выпустить т.к. 52 версия уже перековыряна значительно.

а можно получать как-то промежуточные версии для тестирования?

[goletsa]

Кстати а финальный апдейт для 50й уже вышел? С блекджеком и девочками?

[Efendy]

Кстати а финальный апдейт для 50й уже вышел? С блекджеком и девочками?

планируется 50.33 сделать. Как только баг какойнить найдем и исправим - выпустим стейбл. А если баг не найдем - не выпустим. Так что ищите

[Efendy]

я все придумал, только пока это не смогу выпустить т.к. 52 версия уже перековыряна значительно.

а можно получать как-то промежуточные версии для тестирования?

дам, но не сейчас, сейчас 52 с развороченными кишками

[elite]

Стас, а какую процедуру в мускуле надо создать, чтобы при подключение клиента проверялся радиус-атрибут caller-station-id? или еще лучше физический интерфейс сервера доступа?

[Efendy]

Стас, а какую процедуру в мускуле надо создать, чтобы при подключение клиента проверялся радиус-атрибут caller-station-id? или еще лучше физический интерфейс сервера доступа?

caller-station-id - это что за атрибут? Не мак-адрес случаем? В любом случае делается по стандартной схеме: в sql.conf в процедуру дописываешь этот атрибут, а в самой процедуре его проверяешь.

[elite]

Стас, а какую процедуру в мускуле надо создать, чтобы при подключение клиента проверялся радиус-атрибут caller-station-id? или еще лучше физический интерфейс сервера доступа?

caller-station-id - это что за атрибут? Не мак-адрес случаем? В любом случае делается по стандартной схеме: в sql.conf в процедуру дописываешь этот атрибут, а в самой процедуре его проверяешь.

мак адрес для пппое
а как сделать, чтобы процедура из дополнительных данных вытаскивала последнюю ревизию мак-адреса?

[Efendy]

сто раз это обсуждали:

Код:

SELECT * FROM dopdata WHERE revision=(SELECT MAX(revision) FROM dopdata WHERE parent_id=5 AND field_alias='_mac')

что-то типа такого, поиск рулит