форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Открытые системы на сервере (Учет трафика, статистика / Linux)
Изначальное сообщение		[ Отслеживать ]

"Freeradius авторизация после прокси"	+/–
Сообщение от Петр (??) on 24-Сен-13, 10:09
Подскажите, если кто знает. Есть freeradius, в нем настроен realm NULL на другой радиус. Задача в том, чтобы, если прокси выдал reject попытаться авторизовать юзера где-либо еще, либо на втором прокси, либо через users, либо через rlm_perl. пытался сделать в post-proxy post-proxy { if ("%{proxy-reply:Packet-Type}" == "Access-Reject"){ update proxy-reply { Framed-IP-Address := 10.x.x.x } } } так ип подставляет, но поменять тип пакета на Access-Accept не получается... Бьюсь уже 3 дня, ничего не получается, может быть это невозможно в freeradius?
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Freeradius авторизация после прокси"	+/–
Сообщение от LSTemp (ok) on 26-Сен-13, 05:16
>[оверквотинг удален] > post-proxy { > if ("%{proxy-reply:Packet-Type}" == "Access-Reject"){ > update proxy-reply { > Framed-IP-Address := 10.x.x.x > } > } > } > так ип подставляет, но поменять тип пакета на Access-Accept не получается... > Бьюсь уже 3 дня, ничего не получается, может быть это невозможно в > freeradius? ИМХО не реджект тогда выдавать надо (это окончательное решение), чтобы цепочка проверок продолжилась (я с free плохо знаком - либо свои, либо железные,либо GNU из сырцов пользую)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Freeradius авторизация после прокси"	+/–
	Сообщение от Петр (??) on 26-Сен-13, 08:49
	>[оверквотинг удален] >> Framed-IP-Address := 10.x.x.x >> } >> } >> } >> так ип подставляет, но поменять тип пакета на Access-Accept не получается... >> Бьюсь уже 3 дня, ничего не получается, может быть это невозможно в >> freeradius? > ИМХО не реджект тогда выдавать надо (это окончательное решение), чтобы цепочка проверок > продолжилась (я с free плохо знаком - либо свои, либо железные,либо > GNU из сырцов пользую) в том и проблема, не могу изменить что выдает прокси...
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "Freeradius авторизация после прокси"	+/–
	Сообщение от Петр (??) on 26-Сен-13, 09:41
	>[оверквотинг удален] >> Framed-IP-Address := 10.x.x.x >> } >> } >> } >> так ип подставляет, но поменять тип пакета на Access-Accept не получается... >> Бьюсь уже 3 дня, ничего не получается, может быть это невозможно в >> freeradius? > ИМХО не реджект тогда выдавать надо (это окончательное решение), чтобы цепочка проверок > продолжилась (я с free плохо знаком - либо свои, либо железные,либо > GNU из сырцов пользую) все таки спасибо за идею поковырять прокси, проблема вроде решилась другим способом, в самом прокси.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	4. "Freeradius авторизация после прокси"	+/–
	Сообщение от SinTeZWh1te (ok) on 24-Дек-15, 17:57
	> все таки спасибо за идею поковырять прокси, проблема вроде решилась другим способом, > в самом прокси. А каким другим способом? Та же проблема возникла.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "Freeradius авторизация после прокси"	+/–
	Сообщение от Петр (??) on 24-Дек-15, 20:18
	>> все таки спасибо за идею поковырять прокси, проблема вроде решилась другим способом, >> в самом прокси. > А каким другим способом? Та же проблема возникла. сделал чтоб прокси всегда выдавал accept, а там уже фрирадиусом решал акцепт это или нет
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	6. "Freeradius авторизация после прокси"	+/–
	Сообщение от SinTeZWh1te (ok) on 24-Дек-15, 20:43
	> сделал чтоб прокси всегда выдавал accept, а там уже фрирадиусом решал акцепт > это или нет А можно поподробнее? Со ссылкой на доку если возможно :) Или за давностью лет уже не сохранилось?
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	8. "Freeradius авторизация после прокси"	+/–
	Сообщение от Петр (??) on 25-Дек-15, 08:50
	>> сделал чтоб прокси всегда выдавал accept, а там уже фрирадиусом решал акцепт >> это или нет > А можно поподробнее? Со ссылкой на доку если возможно :) > Или за давностью лет уже не сохранилось? была схема: брас - freeradius - utm5_radius в utm5_radius есть опция - blocked_pool_name - так он выдает акцепт даже тем кто не правильно ввел логопасс, просто с другими ипами, так и решил ту задачу, хотя сейчас уже этого нет и не помню зачем именно я это делал...)
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	7. "Freeradius авторизация после прокси"	+/–
	Сообщение от SinTeZWh1te (ok) on 24-Дек-15, 20:46
	Вообще интересует следующее. 2 RADIUS сервера. FreeRADIUS служит прокси для браса перед ними. Он форвардит запросы на оба RADIUS сервера, и если хоть один из них ответил Accept - FreeRADIUS тоже отвечает Accept. Если оба ответили Reject - FreeRADIUS тоже отдает брасу Reject
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	9. "Freeradius авторизация после прокси"	+/–
	Сообщение от Петр (??) on 25-Дек-15, 08:53
	> Вообще интересует следующее. > 2 RADIUS сервера. > FreeRADIUS служит прокси для браса перед ними. > Он форвардит запросы на оба RADIUS сервера, и если хоть один из > них ответил Accept - FreeRADIUS тоже отвечает Accept. > Если оба ответили Reject - FreeRADIUS тоже отдает брасу Reject Когда я этим занимался - я ковырял исходники фрирадиуса - и из того что я понял - фрирадиус вообще никак не обрабатывает реджект от прокси - если он пришел - он тут же его выдает брасу, так что видимо такое невозможно, то есть с реджектом от первого попавшегося радиуса он тут же выдаст реджект...
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема