Подскажите, если кто знает.
Есть freeradius, в нем настроен realm NULL на другой радиус.
Задача в том, чтобы, если прокси выдал reject попытаться авторизовать юзера где-либо еще, либо на втором прокси, либо через users, либо через rlm_perl.
пытался сделать в post-proxy
post-proxy {
if ("%{proxy-reply:Packet-Type}" == "Access-Reject"){
update proxy-reply {
Framed-IP-Address := 10.x.x.x
}
}
}
так ип подставляет, но поменять тип пакета на Access-Accept не получается...
Бьюсь уже 3 дня, ничего не получается, может быть это невозможно в freeradius?
>[оверквотинг удален]
> post-proxy {
> if ("%{proxy-reply:Packet-Type}" == "Access-Reject"){
> update proxy-reply {
> Framed-IP-Address := 10.x.x.x
> }
> }
> }
> так ип подставляет, но поменять тип пакета на Access-Accept не получается...
> Бьюсь уже 3 дня, ничего не получается, может быть это невозможно в
> freeradius?ИМХО не реджект тогда выдавать надо (это окончательное решение), чтобы цепочка проверок продолжилась (я с free плохо знаком - либо свои, либо железные,либо GNU из сырцов пользую)
>[оверквотинг удален]
>> Framed-IP-Address := 10.x.x.x
>> }
>> }
>> }
>> так ип подставляет, но поменять тип пакета на Access-Accept не получается...
>> Бьюсь уже 3 дня, ничего не получается, может быть это невозможно в
>> freeradius?
> ИМХО не реджект тогда выдавать надо (это окончательное решение), чтобы цепочка проверок
> продолжилась (я с free плохо знаком - либо свои, либо железные,либо
> GNU из сырцов пользую)в том и проблема, не могу изменить что выдает прокси...
>[оверквотинг удален]
>> Framed-IP-Address := 10.x.x.x
>> }
>> }
>> }
>> так ип подставляет, но поменять тип пакета на Access-Accept не получается...
>> Бьюсь уже 3 дня, ничего не получается, может быть это невозможно в
>> freeradius?
> ИМХО не реджект тогда выдавать надо (это окончательное решение), чтобы цепочка проверок
> продолжилась (я с free плохо знаком - либо свои, либо железные,либо
> GNU из сырцов пользую)все таки спасибо за идею поковырять прокси, проблема вроде решилась другим способом, в самом прокси.
> все таки спасибо за идею поковырять прокси, проблема вроде решилась другим способом,
> в самом прокси.А каким другим способом? Та же проблема возникла.
>> все таки спасибо за идею поковырять прокси, проблема вроде решилась другим способом,
>> в самом прокси.
> А каким другим способом? Та же проблема возникла.сделал чтоб прокси всегда выдавал accept, а там уже фрирадиусом решал акцепт это или нет
> сделал чтоб прокси всегда выдавал accept, а там уже фрирадиусом решал акцепт
> это или нетА можно поподробнее? Со ссылкой на доку если возможно :)
Или за давностью лет уже не сохранилось?
>> сделал чтоб прокси всегда выдавал accept, а там уже фрирадиусом решал акцепт
>> это или нет
> А можно поподробнее? Со ссылкой на доку если возможно :)
> Или за давностью лет уже не сохранилось?была схема: брас - freeradius - utm5_radius
в utm5_radius есть опция - blocked_pool_name - так он выдает акцепт даже тем кто не правильно ввел логопасс, просто с другими ипами, так и решил ту задачу, хотя сейчас уже этого нет и не помню зачем именно я это делал...)
Вообще интересует следующее.
2 RADIUS сервера.
FreeRADIUS служит прокси для браса перед ними.
Он форвардит запросы на оба RADIUS сервера, и если хоть один из них ответил Accept - FreeRADIUS тоже отвечает Accept.
Если оба ответили Reject - FreeRADIUS тоже отдает брасу Reject
> Вообще интересует следующее.
> 2 RADIUS сервера.
> FreeRADIUS служит прокси для браса перед ними.
> Он форвардит запросы на оба RADIUS сервера, и если хоть один из
> них ответил Accept - FreeRADIUS тоже отвечает Accept.
> Если оба ответили Reject - FreeRADIUS тоже отдает брасу RejectКогда я этим занимался - я ковырял исходники фрирадиуса - и из того что я понял - фрирадиус вообще никак не обрабатывает реджект от прокси - если он пришел - он тут же его выдает брасу, так что видимо такое невозможно, то есть с реджектом от первого попавшегося радиуса он тут же выдаст реджект...