BDCOM GP3600-16B + freeRadius

[Discetta_5_25]

Здравствуйте. настроил авторизацию - работает.

настроил аккаунтинг - работает но не так, как в Цисках....

 

1. SessionId каждый раз с новым запросом увеличивается на 1 (ладно при авторизации.. но при аккаунтинге то зачем?)

2. Radius не видит, что именно делал пользователь:

От "цисков" приходит запрос с полем типа 

Cisco-AVPair = "accounting:accountinginfo=shell terminated because of session timeout"

А в BDCOM тишина... пользователь что-то делает, запросы на аккаунтинг в радиус приходят, а что именно пользователь делал - информации нет.

Кто и  как решал такие задачи?

 

Edited January 10, 2025 by Discetta_5_25
ошибочка

[Nikita Devyatyarov]

Добрый день

 

BDCOM рекомендуют попробовать с настройкой:
aaa accounting commands 0 default start-stop group radius

[Discetta_5_25]

Есть уже это. 

 

aaa authentication login default group radius local
aaa authentication enable default none
aaa authorization exec default group radius local
aaa accounting exec default start-stop group radius
aaa accounting commands 0 default start-stop group radius
aaa accounting commands 15 default start-stop group radius
 

я так понимаю, что процесс AAA работает, а вот radius-server не имеет нужных настроек (например attribute).

 

ip radius source-interface VLAN20
radius-server attribute 4 192.168.20.3
radius-server directed-request
radius-server host 172.20.101.164 
radius-server key 0 *******
radius-server vsa send authentication

 

 

[Discetta_5_25]

я на устройстве авторизировался

радиус увидел:

 

(3) Received Access-Request Id 115 from 192.168.20.3:20001 to 172.20.101.164:1812 length 114
(3)   Service-Type = Login-User
(3)   NAS-Port-Type = Virtual
(3)   User-Password = "********"
(3)   NAS-IP-Address = 192.168.xxx.xxx
(3)   NAS-Port = 348
(3)   Connect-Info = "CONNECT unknown unknown unknown duplex"
(3)   Acct-Session-Id = "139"
(3)   User-Name = "admin"
(3) # Executing section authorize from file /etc/freeradius/3.0/sites-enabled/default
 

ID сессии 139 (числовой!)

я ввел команду configure

 

(4) Received Accounting-Request Id 116 from 192.168.20.3:20001 to 172.20.101.164:1813 length 90
(4)   Acct-Status-Type = Stop
(4)   Service-Type = NAS-Prompt-User
(4)   User-Name = "admin"
(4)   NAS-Port-Type = Virtual
(4)   NAS-IP-Address = 192.168.20.3
(4)   NAS-Port = 348
(4)   Acct-Session-Id = "139"
(4)   Calling-Station-Id = "172.20.101.161"
(4)   Acct-Authentic = RADIUS
(4)   Acct-Delay-Time = 0
(4) # Executing section preacct from file /etc/freeradius/3.0/sites-enabled/default
 

ID сессии 139 (!) про команду нет ни слова.

я ввел команду interface vlan 2

 

Received Accounting-Request Id 117 from 192.168.20.3:20001 to 172.20.101.164:1813 length 90
(5)   Acct-Status-Type = Stop
(5)   Service-Type = NAS-Prompt-User
(5)   User-Name = "admin"
(5)   NAS-Port-Type = Virtual
(5)   NAS-IP-Address = 192.168.20.3
(5)   NAS-Port = 348
(5)   Acct-Session-Id = "140"
(5)   Calling-Station-Id = "172.20.101.161"
(5)   Acct-Authentic = RADIUS
(5)   Acct-Delay-Time = 0
(5) # Executing section preacct from file /etc/freeradius/3.0/sites-enabled/default
 

Про команду ни слова! и сессия стала другой (+1)!

Я даже не представляю, где это настраивается....

 

[sdy_moscow]

@Discetta_5_25 Вам бы стоило изучить немного протокол RADIUS. Странные у вас какие-то пакеты и вопросы.

(5)   Acct-Status-Type = Stop - предполагает факт завершения сессии, после этого на NAS такой сессии уже как-бы нет, поэтому ничего удивительного, что меняеться Session-Id - нет. Должна была авторизоваться новая.

Было бы логичнее предположить, что должны быть события типа Interim-Update. Ну или то, что вы ищите, есть только в пакетах авторизации.

[Discetta_5_25]

Спасибо, господин профессор. Я конечно понимаю, что Radius это система учета подключений, а не действий пользователя в терминале...

Конкретизирую вопрос :

есть ли какой либо способ заставить bdcom заполнять аттрибут 26 (Vendor specific) данными о действиях пользователя?

В Cisco Nexus, это все прекрасно реализовано.

[Resistshok]

В устройствах BDCOM, в отличие от Cisco Nexus, функциональность по передаче данных о действиях пользователя через атрибуты Vendor-Specific (VSA) в RADIUS, как правило, не реализована полностью. Тем не менее, есть несколько подходов.
BDCOM использует Vendor ID 3320 для своих VSA. Вы можете убедиться, что устройство вообще отправляет VSA, включив их поддержку в конфигурации.
radius-server vsa send
Эта команда позволяет устройству включать VSA в RADIUS-запросы. Если атрибут 26 будет отправляться, он может содержать дополнительные данные.
После включения проверьте, приходят ли данные в запросах RADIUS. Для этого используйте отладку на сервере (например, FreeRADIUS-  radiusd -X
aaa accounting commands 15 default start-stop group radius
aaa accounting commands 1 default start-stop group radius
aaa accounting commands 0 default start-stop group radius

 

Acct-Command: если поддерживается, будет содержать информацию о выполненной команде.

Command-Level: уровень привилегий команды.

Command-Status: статус выполнения команды.
/etc/freeradius/3.0/dictionary
VENDOR BDCOM 3320
BEGIN-VENDOR BDCOM
ATTRIBUTE BDCOM-Command-Name 1 string
ATTRIBUTE BDCOM-Command-Level 2 integer
ATTRIBUTE BDCOM-Command-Status 3 string
END-VENDOR BDCOM
Если BDCOM не поддерживает отправку информации через VSA, используйте Syslog для мониторинга действий пользователей. Это более надежный способ получить данные о командах, которые выполняются на устройстве.
logging host <Syslog_Server_IP>
logging level debug
ogging facility local7

[Discetta_5_25]

Спасибо за расширенный ответ.

Включал vsa send....

в конфиге сохраняется 

radius-server vsa send authentication

других вариантов нет

 

  ip radius source-interface VLANХХХХ
  radius-server attribute 4 192.168.ХХХ.3
  radius-server attribute 32 in-account-req
  radius-server attribute 32 identifier OLT3
  radius-server directed-request
  radius-server host 172.111.111.164 
  radius-server key 0 radCherry
  radius-server acct-on enable
  radius-server vsa send authentication

ни при авторизации ни при аутентификации полей в запросе к радиусу не добавилось.

 

  (17) Received Access-Request Id 49 from 192.168.20.3:20001 to 172.20.101.164:1812 length 115
  (17)   Service-Type = Login-User
  (17)   NAS-Port-Type = Virtual
  (17)   User-Password = "*******"
  (17)   NAS-IP-Address = 192.168.ХХХ.3
  (17)   NAS-Port = 486
  (17)   Connect-Info = "CONNECT unknown unknown unknown duplex"
  (17)   Acct-Session-Id = "1065"
  (17)   User-Name = "sysop"
  (17) # Executing section authorize from file /etc/freeradius/3.0/sites-enabled/default

....

  (20) Received Accounting-Request Id 52 from 192.168.20.3:20001 to 172.20.101.164:1813 length 97
  (20)   Acct-Status-Type = Stop
  (20)   Service-Type = NAS-Prompt-User
  (20)   User-Name = "sysop"
  (20)   NAS-Port-Type = Virtual
  (20)   NAS-IP-Address = 192.168.ХХХ.3
  (20)   NAS-Port = 486
  (20)   NAS-Identifier = "OLT3"
  (20)   Acct-Session-Id = "1067"
  (20)   Calling-Station-Id = "172.111.111.161"
  (20)   Acct-Authentic = RADIUS
  (20)   Acct-Delay-Time = 0
  (20) # Executing section preacct from file /etc/freeradius/3.0/sites-enabled/default
 

заметил, что указано start-stop , а приходит только stop, поэтому ИД сессии всю дорогу меняется.

 

>>Если BDCOM не поддерживает отправку информации через VSA, используйте Syslog для мониторинга действий пользователей. Это более надежный способ получить данные о командах, которые выполняются на устройстве.
Вот так и выкручиваемся.