URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 95036
[ Назад ]

Исходное сообщение
"Freeradius авторизация после прокси"

Отправлено Петр , 24-Сен-13 10:09 
Подскажите, если кто знает.
Есть freeradius, в нем настроен realm NULL на другой радиус.
Задача в том, чтобы, если прокси выдал reject попытаться авторизовать юзера где-либо еще, либо на втором прокси, либо через users, либо через rlm_perl.
пытался сделать в post-proxy
post-proxy {
if ("%{proxy-reply:Packet-Type}" == "Access-Reject"){
update proxy-reply {
Framed-IP-Address := 10.x.x.x
}
}
}
так ип подставляет, но поменять тип пакета на Access-Accept не получается...
Бьюсь уже 3 дня, ничего не получается, может быть это невозможно в freeradius?

Содержание

Сообщения в этом обсуждении
"Freeradius авторизация после прокси"
Отправлено LSTemp , 26-Сен-13 05:16 
>[оверквотинг удален]
> post-proxy {
> if ("%{proxy-reply:Packet-Type}" == "Access-Reject"){
> update proxy-reply {
> Framed-IP-Address := 10.x.x.x
> }
> }
> }
> так ип подставляет, но поменять тип пакета на Access-Accept не получается...
> Бьюсь уже 3 дня, ничего не получается, может быть это невозможно в
> freeradius?

ИМХО не реджект тогда выдавать надо (это окончательное решение), чтобы цепочка проверок продолжилась (я с free плохо знаком - либо свои, либо железные,либо GNU из сырцов пользую)



"Freeradius авторизация после прокси"
Отправлено Петр , 26-Сен-13 08:49 
>[оверквотинг удален]
>> Framed-IP-Address := 10.x.x.x
>> }
>> }
>> }
>> так ип подставляет, но поменять тип пакета на Access-Accept не получается...
>> Бьюсь уже 3 дня, ничего не получается, может быть это невозможно в
>> freeradius?
> ИМХО не реджект тогда выдавать надо (это окончательное решение), чтобы цепочка проверок
> продолжилась (я с free плохо знаком - либо свои, либо железные,либо
> GNU из сырцов пользую)

в том и проблема, не могу изменить что выдает прокси...


"Freeradius авторизация после прокси"
Отправлено Петр , 26-Сен-13 09:41 
>[оверквотинг удален]
>> Framed-IP-Address := 10.x.x.x
>> }
>> }
>> }
>> так ип подставляет, но поменять тип пакета на Access-Accept не получается...
>> Бьюсь уже 3 дня, ничего не получается, может быть это невозможно в
>> freeradius?
> ИМХО не реджект тогда выдавать надо (это окончательное решение), чтобы цепочка проверок
> продолжилась (я с free плохо знаком - либо свои, либо железные,либо
> GNU из сырцов пользую)

все таки спасибо за идею поковырять прокси, проблема вроде решилась другим способом, в самом прокси.


"Freeradius авторизация после прокси"
Отправлено SinTeZWh1te , 24-Дек-15 17:57 
> все таки спасибо за идею поковырять прокси, проблема вроде решилась другим способом,
> в самом прокси.

А каким другим способом? Та же проблема возникла.


"Freeradius авторизация после прокси"
Отправлено Петр , 24-Дек-15 20:18 
>> все таки спасибо за идею поковырять прокси, проблема вроде решилась другим способом,
>> в самом прокси.
> А каким другим способом? Та же проблема возникла.

сделал чтоб прокси всегда выдавал accept, а там уже фрирадиусом решал акцепт это или нет


"Freeradius авторизация после прокси"
Отправлено SinTeZWh1te , 24-Дек-15 20:43 
> сделал чтоб прокси всегда выдавал accept, а там уже фрирадиусом решал акцепт
> это или нет

А можно поподробнее? Со ссылкой на доку если возможно :)
Или за давностью лет уже не сохранилось?


"Freeradius авторизация после прокси"
Отправлено Петр , 25-Дек-15 08:50 
>> сделал чтоб прокси всегда выдавал accept, а там уже фрирадиусом решал акцепт
>> это или нет
> А можно поподробнее? Со ссылкой на доку если возможно :)
> Или за давностью лет уже не сохранилось?

была схема: брас - freeradius - utm5_radius

в utm5_radius есть опция - blocked_pool_name - так он выдает акцепт даже тем кто не правильно ввел логопасс, просто с другими ипами, так и решил ту задачу, хотя сейчас уже этого нет и не помню зачем именно я это делал...)


"Freeradius авторизация после прокси"
Отправлено SinTeZWh1te , 24-Дек-15 20:46 
Вообще интересует следующее.
2 RADIUS сервера.
FreeRADIUS служит прокси для браса перед ними.
Он форвардит запросы на оба RADIUS сервера, и если хоть один из них ответил Accept - FreeRADIUS тоже отвечает Accept.
Если оба ответили Reject - FreeRADIUS тоже отдает брасу Reject

"Freeradius авторизация после прокси"
Отправлено Петр , 25-Дек-15 08:53 
> Вообще интересует следующее.
> 2 RADIUS сервера.
> FreeRADIUS служит прокси для браса перед ними.
> Он форвардит запросы на оба RADIUS сервера, и если хоть один из
> них ответил Accept - FreeRADIUS тоже отвечает Accept.
> Если оба ответили Reject - FreeRADIUS тоже отдает брасу Reject

Когда я этим занимался - я ковырял исходники фрирадиуса - и из того что я понял - фрирадиус вообще никак не обрабатывает реджект от прокси - если он пришел - он тут же его выдает брасу, так что видимо такое невозможно, то есть с реджектом от первого попавшегося радиуса он тут же выдаст реджект...