ra1nman Posted September 4, 2008 Posted September 4, 2008 Есть вопрос о том, как интегрировать DHCP и RADIUS. Нобходимо, чтобы разным группам пользователей в RADIUS выдавались адреса из разных подсетей. Какие атрибуты за это отвечают. Конфиг cisco: ! ip dhcp pool USERS network 172.16.1.0 255.255.255.0 default-router 172.16.1.1 lease 0 0 2 class VIP address range 172.16.1.200 172.16.1.255 class STANDART address range 172.16.1.50 172.16.1.200 ! Вставить ник Quote
ra1nman Posted September 12, 2008 Author Posted September 12, 2008 Может быть для этого используется атрибут: [25] class но у меня с ходу не получается. Вставить ник Quote
ra1nman Posted September 29, 2008 Author Posted September 29, 2008 вопрос ещё актуален Вставить ник Quote
Bambuk Posted September 29, 2008 Posted September 29, 2008 софт какой? В 12.2SB по идее должна работать вот такая конструкция Cisco-AVPair = "subscriber:classname=VIP" Вставить ник Quote
ugluck Posted September 29, 2008 Posted September 29, 2008 недавно тоже морочился по этой теме (правда, хотел конкретный айпишник выдавать по оп.82) и вот что выяснил: через радиус айпишник для дхцп не назначить, ибо оно не обращается к радиусу перед тем, как послать оффер. выход: юзать костыли типа дхцп релей Вставить ник Quote
Bambuk Posted September 30, 2008 Posted September 30, 2008 очень даже обращается. Sep 30 12:47:21.064 MSD: DHCPD: Sending notification of DISCOVER:Sep 30 12:47:21.064 MSD: DHCPD: htype 1 chaddr 0014.22b5.1937 Sep 30 12:47:21.064 MSD: DHCPD: table id 1 = vrf inet Sep 30 12:47:21.068 MSD: DHCPD: Sending notification of DISCOVER: Sep 30 12:47:21.068 MSD: DHCPD: htype 1 chaddr 0014.22b5.1937 Sep 30 12:47:21.068 MSD: DHCPD: table id 1 = vrf inet Sep 30 12:47:21.068 MSD: DHCPD: Seeing if there is an internally specified pool class: Sep 30 12:47:21.068 MSD: DHCPD: htype 1 chaddr 0014.22b5.1937 Sep 30 12:47:21.068 MSD: DHCPD: table id 1 = vrf inet Sep 30 12:47:21.082 MSD: RADIUS/ENCODE(0000000D):Orig. component type = IEDGE_IP_SIP Sep 30 12:47:21.082 MSD: RADIUS(0000000D): Config NAS IP: *.*.*.178 Sep 30 12:47:21.082 MSD: RADIUS/ENCODE(0000000D): acct_session_id: 3 Sep 30 12:47:21.082 MSD: RADIUS(0000000D): Config NAS IP: *.*.*.178 Sep 30 12:47:21.082 MSD: RADIUS(0000000D): sending Sep 30 12:47:21.082 MSD: RADIUS(0000000D): Send Access-Request to *.*.*.5:1812 id 21646/1, len 145 Sep 30 12:47:21.082 MSD: RADIUS: authenticator 5C E9 A0 BF 76 99 D0 BE - 0F 01 B6 C9 CA 79 98 FE Sep 30 12:47:21.082 MSD: RADIUS: User-Name [1] 28 "nas-port:0.0.0.0:0/3/0/205" Sep 30 12:47:21.083 MSD: RADIUS: User-Password [2] 18 * Sep 30 12:47:21.083 MSD: RADIUS: NAS-Port-Type [61] 6 Ethernet [15] Sep 30 12:47:21.083 MSD: RADIUS: NAS-Port [5] 6 0 Sep 30 12:47:21.083 MSD: RADIUS: NAS-Port-Id [87] 11 "0/1/0/205" Sep 30 12:47:21.083 MSD: RADIUS: Service-Type [6] 6 Outbound [5] Sep 30 12:47:21.083 MSD: RADIUS: NAS-IP-Address [4] 6 *.*.*.178 Sep 30 12:47:21.083 MSD: RADIUS: Acct-Session-Id [44] 18 "5200000000000003" Sep 30 12:47:21.083 MSD: RADIUS: Nas-Identifier [32] 20 "asr1k-1-a53" Sep 30 12:47:21.083 MSD: RADIUS: Event-Timestamp [55] 6 1222764441 Sep 30 12:47:21.132 MSD: RADIUS: Received from id 21646/1 *.*.*.5:1812, Access-Accept, len 154 Sep 30 12:47:21.132 MSD: RADIUS: authenticator D1 BB DE 32 D5 D0 C8 D4 - 54 F2 5A 76 61 BD F9 78 Sep 30 12:47:21.132 MSD: RADIUS: Vendor, Cisco [26] 20 Sep 30 12:47:21.132 MSD: RADIUS: ssg-account-info [250] 14 "Asvc1" Sep 30 12:47:21.132 MSD: RADIUS: Vendor, Cisco [26] 15 Sep 30 12:47:21.132 MSD: RADIUS: ssg-account-info [250] 9 "Aportal" Sep 30 12:47:21.132 MSD: RADIUS: Vendor, Cisco [26] 21 Sep 30 12:47:21.132 MSD: RADIUS: ssg-account-info [250] 15 "Asvc2" Sep 30 12:47:21.132 MSD: RADIUS: Vendor, Cisco [26] 22 Sep 30 12:47:21.132 MSD: RADIUS: Cisco AVpair [1] 16 "ip:vrf-id=inet" Sep 30 12:47:21.132 MSD: RADIUS: Vendor, Cisco [26] 35 Sep 30 12:47:21.132 MSD: RADIUS: Cisco AVpair [1] 29 "subscriber:classname=inet-1" Sep 30 12:47:21.132 MSD: RADIUS: Class [25] 21 Sep 30 12:47:21.132 MSD: RADIUS: 70 61 72 65 6E 74 2D 75 69 64 3D 67 57 58 4B 37 [parent-uid=gWXK7] Sep 30 12:47:21.132 MSD: RADIUS: 34 44 30 [ 4D0] Sep 30 12:47:21.133 MSD: RADIUS(0000000D): Received from id 21646/1 Sep 30 12:47:21.154 MSD: DHCPD: Callback for workspace (ID=0xD5000001) Sep 30 12:47:21.154 MSD: DHCPD: Callback: class '' now specified for client 0100.1422.b519.37 Sep 30 12:47:21.155 MSD: DHCPD: Sending notification of DISCOVER: Sep 30 12:47:21.155 MSD: DHCPD: htype 1 chaddr 0014.22b5.1937 Sep 30 12:47:21.155 MSD: DHCPD: table id 1 = vrf inet Sep 30 12:47:21.155 MSD: DHCPD: requested address 169.254.36.164 is not on subnet *.*.*.120. Sep 30 12:47:21.155 MSD: DHCPD: input does not contain option 82 Sep 30 12:47:21.155 MSD: DHCPD: Class 'inet-1' matched by default Sep 30 12:47:21.155 MSD: DHCPD: input matches class inet-1 Sep 30 12:47:22.288 MSD: DHCPD: checking for expired leases. Sep 30 12:47:22.289 MSD: DHCPD: dhcpd_age_bindings could not lock semaphore. Sep 30 12:47:23.172 MSD: DHCPD: Adding binding to radix tree (*.*.*.121) Sep 30 12:47:23.172 MSD: DHCPD: VPN 'inet' Sep 30 12:47:23.172 MSD: DHCPD: Adding binding to hash tree Sep 30 12:47:23.172 MSD: DHCPD: assigned IP address *.*.*.121 to client 0100.1422.b519.37. (5 205) Sep 30 12:47:23.172 MSD: DHCPD: DHCPOFFER notify setup address *.*.*.121 mask 255.255.255.248 Вставить ник Quote
ugluck Posted September 30, 2008 Posted September 30, 2008 дык то ISG... Sep 30 12:47:21.132 MSD: RADIUS: Cisco AVpair [1] 29 "subscriber:classname=inet-1"а вот обычную цыску (1841) мне не удалось заставить спрашивать у радиуса прежде чем выделять адрес. может, кто добивался? Вставить ник Quote
zoro Posted October 14, 2008 Posted October 14, 2008 Народ, вот такая задача юзверям динамически по DHCP выдавать ип адреса и при этом чтобы выдавал через радиус :) DHCP статически с базы mysql я научился :) а вот по динамике :) Вставить ник Quote
mike_tk Posted October 15, 2008 Posted October 15, 2008 Интересно, но изврат: последний freeradius имеет встроенный DHCP сервер, правда experimental Вставить ник Quote
zoro Posted October 16, 2008 Posted October 16, 2008 DHCP сервер берет настройки с SQL либо текстовой базы .. но не из radius протокола.. :( это же сервер радиуса а не NAS Вставить ник Quote
zoro Posted October 18, 2008 Posted October 18, 2008 в IOS 12.2 SB 12.2T есть фтча DHCP Accounting она какраз и делает запрос на радиус сервер в качестве логина выбирает мак адресс с атрибутами DHCP opt 82.. Вставить ник Quote
999999999 Posted November 7, 2008 Posted November 7, 2008 (edited) в IOS 12.2 SB 12.2T есть фтча DHCP Accounting она какраз и делает запрос на радиус сервер в качестве логина выбирает мак адресс с атрибутами DHCP opt 82.. что бы радиус выдал IP для начала радиус клиент должен послать auth радиус проверят, отправляет replay в котором содержиться Framed-IP-Address = и только потом идут акаунтинг пакеты. Есил настроен DHCP accounting то радиус получает всего лишь Fri Nov 7 12:54:41 2008 Acct-Session-Id = "0000E749" Framed-IP-Address = 192.168.1.15 Calling-Station-Id = "001e.0b7b.d72f" Cisco-AVPair = "connect-progress=Call Up" Acct-Status-Type = Start NAS-Port-Type = Ethernet NAS-Port = 0 NAS-Port-Id = "0/0/0/10" Service-Type = Framed-User NAS-IP-Address = 192.168.1.2 Acct-Delay-Time = 0 Client-IP-Address = 192.168.1.2 Acct-Unique-Session-Id = "90911301c7c55b5b" Timestamp = 1226055281 где Framed-IP-Address это адрес выданный из пула, а не полученный через радиус. ИМХО это не то. Пишу сюда потому что меня тоже очень интересует сейчас эта тема. Ничего толкового не могу найти в интернете. Кроме When the DHCP server receives a message from a relay agent containing a RADIUS Attributes suboption, it extracts the contents of the suboption and uses that information in selecting configuration parameters for the client. If the relay agent relays RADIUS attributes not included in the table in Section 4, the DHCP server SHOULD ignore them. If the DHCP server uses attributes not specified here, it might result in side effects not anticipated in the existing RADIUS specifications. из RFC 4014 Чего-то более конкретного найти не могу что бы имет за что зацепиться и начинать рыть. Edited November 7, 2008 by 999999999 Вставить ник Quote
Bambuk Posted November 7, 2008 Posted November 7, 2008 (edited) We have a new feature that may be of interest to you. In IOSwe have a feature called DHCP-radius-proxy. What it does is pon receiving a dhcp request ISG will translated the DHCP request in to a AAA request and if AAA has been develop it can hand out an ip-address based on DHCP options and authoriza the user at the same time. Q: Which IOS versions has DHCP-radius-proxy feature? A: This version is not released and it is only available to C10K. Это было 20 сентября. Пока я не видел чтоб оно появилось в релизнотах. Edited November 7, 2008 by Bambuk Вставить ник Quote
999999999 Posted November 10, 2008 Posted November 10, 2008 тоесть на сегодняшний момент нет способа заставить DHCP получать ИП для клиента через радиус? Вставить ник Quote
Bambuk Posted November 10, 2008 Posted November 10, 2008 А вариант чтобы DHCP обращался к RADIUS не устраивает? Вставить ник Quote
999999999 Posted November 10, 2008 Posted November 10, 2008 А вариант чтобы DHCP обращался к RADIUS не устраивает? это только ISG DHCР или cisco тоже умеет спрашивать у радиуса? Вставить ник Quote
Bambuk Posted November 10, 2008 Posted November 10, 2008 При чем тут cisco. Я про внешний DHCP сервер говорю. Вставить ник Quote
999999999 Posted November 10, 2008 Posted November 10, 2008 При чем тут cisco. Я про внешний DHCP сервер говорю.так циско может выступать в качестве DHCP серверачто значит внешний в данном случае мне не понятно. Вставить ник Quote
Bambuk Posted November 10, 2008 Posted November 10, 2008 может, но не умеет того, чего хочется. внешний значит например работающий на том же серваке что и RADIUS или на соседнем. Вставить ник Quote
999999999 Posted November 10, 2008 Posted November 10, 2008 может, но не умеет того, чего хочется.внешний значит например работающий на том же серваке что и RADIUS или на соседнем. ну что ж, пока спасибо буду ставить ISG, и читать маны Вставить ник Quote
Bambuk Posted November 10, 2008 Posted November 10, 2008 ISG пока этого тоже не умеет. Оно может только авторизовать, т.е. разрешить или запретить доступ. IP в связке с DHCP ISG пока назначать не умеет. Вставить ник Quote
999999999 Posted November 10, 2008 Posted November 10, 2008 (edited) А вариант чтобы DHCP обращался к RADIUS не устраивает? что ты имел ввиду когда говорил вот это? какой DHCP умеет спрашивать радиус? циска не умеет ISG не умеет, кто ж тогда умеет? Edited November 10, 2008 by 999999999 Вставить ник Quote
999999999 Posted November 10, 2008 Posted November 10, 2008 Bambuk больше нечего сказать? Вставить ник Quote
Bambuk Posted November 10, 2008 Posted November 10, 2008 Например посмотрите на http://dhcpd-j.org/ За пару дней из этой заготовки можно сделать то что нужно. А может и вообще надобность в RADIUS отпадет, если реализовать нужную логику. Вставить ник Quote
999999999 Posted November 11, 2008 Posted November 11, 2008 (edited) я уже цитировал RFC4014 When the DHCP relay agent receives a DHCP message from the client, it MAY append a DHCP Relay Agent Information option containing the RADIUS Attributes suboption, along with any other suboptions it is configured to supply. The RADIUS Attributes suboption MUST only contain the attributes provided in the RADIUS Access/Accept message. The DHCP relay agent MUST NOT add more than one RADIUS Attributes suboption in a message. ну ведь в каком-то программном обеспечении это должно быть реализовано. Меня бы очень устроил вариант с dhcp-relay`ем. http://dhcpd-j.org/ это конечно выход но, увы, не в моем случае. :( кстати тем на данную тематику в интернене валом, но все без ответа. Неужели такая востребованная вещь до сих пор не реализована. Edited November 11, 2008 by 999999999 Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.