URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 84313
[ Назад ]

Исходное сообщение
"MPD+NPS(IAS) -- не работает"

Отправлено abufct , 02-Мрт-09 15:13 
Здравствуйте!

Никто не сталкивался с такой проблемой при совместной работе MPD и NPS(IAS): При попытке клиента подсоединиться, ему отказывается в доступе, в логе написано:
An Access-Request message was received from RADIUS client 192.168.0.1 with a message authenticator attribute that is not valid.

Подробности:
MPD5 на FreeBSD 7.1 (192.168.0.1) используется для "подключения" внутренних пользователей сети к интернету, для последующего учёта трафика и т.д. На Windows 2008 Server'е (192.168.0.2) стоит роль NPS (которая включает в себя то, что раньше называлось IAS). Соответственно MPD лезет на IAS через RADIUS.

Проблемы периодически то возникают, то исчезают. Помогала или наоборот всё портила перезагрузка NPS сервиса и/или рестарт mpd демона и/или какое-то другое невразумительное шаманство типа пересоздания RADIUS-клиента в настройках NPS c IP-адресом, вместо FQDN клиента, и т.д. Если удавалось стартовать так, что соединения проходят, то потом уже всё работало, если сервис не останавливать.

/usr/local/etc/mpd.conf:
...
radius:
# You can use radius.conf(5), its useful, because you can share the
# same config with userland-ppp and other apps.
        set radius config /etc/radius.conf
        set radius timeout 3
# send the given IP in the RAD_NAS_IP_ADDRESS attribute to the server.
        set radius me 192.168.0.1
# send accounting updates every 5 minutes
        set auth acct-update 300
# enable RADIUS, and fallback to mpd.secret, if RADIUS auth failed
        set auth enable radius-auth
# enable RADIUS accounting
        set auth enable radius-acct
# protect our requests with the message-authenticator
        set radius enable message-authentic
...

/etc/radius.conf:
auth 192.168.0.2 1234
acct 192.168.0.2 1234


Содержание

Сообщения в этом обсуждении
"MPD+NPS(IAS) -- не работает"
Отправлено abufct , 02-Мрт-09 19:34 
Мде... Всё-таки NPS -- *банутый на всю голову. Оказалось, что ему просто не нравился недонастроенный аккаунтинг в SQL Server (не создал SP report_event), а он вот так замысловато ругался.