[ra1nman]

Есть вопрос о том, как интегрировать DHCP и RADIUS.

 

Нобходимо, чтобы разным группам пользователей в RADIUS выдавались адреса из разных подсетей. Какие атрибуты за это отвечают.

 

Конфиг cisco:

 

!

ip dhcp pool USERS

network 172.16.1.0 255.255.255.0

default-router 172.16.1.1

lease 0 0 2

class VIP

address range 172.16.1.200 172.16.1.255

class STANDART

address range 172.16.1.50 172.16.1.200

!

[ra1nman]

Может быть для этого используется атрибут: [25] class

но у меня с ходу не получается.

 

[ra1nman]

вопрос ещё актуален

[Bambuk]

софт какой?

В 12.2SB по идее должна работать вот такая конструкция Cisco-AVPair = "subscriber:classname=VIP"

[ugluck]

недавно тоже морочился по этой теме (правда, хотел конкретный айпишник выдавать по оп.82) и вот что выяснил:

через радиус айпишник для дхцп не назначить, ибо оно не обращается к радиусу перед тем, как послать оффер.

выход: юзать костыли типа дхцп релей

[Bambuk]

очень даже обращается.

Sep 30 12:47:21.064 MSD: DHCPD: Sending notification of DISCOVER:

Sep 30 12:47:21.064 MSD: DHCPD: htype 1 chaddr 0014.22b5.1937

Sep 30 12:47:21.064 MSD: DHCPD: table id 1 = vrf inet

Sep 30 12:47:21.068 MSD: DHCPD: Sending notification of DISCOVER:

Sep 30 12:47:21.068 MSD: DHCPD: htype 1 chaddr 0014.22b5.1937

Sep 30 12:47:21.068 MSD: DHCPD: table id 1 = vrf inet

Sep 30 12:47:21.068 MSD: DHCPD: Seeing if there is an internally specified pool class:

Sep 30 12:47:21.068 MSD: DHCPD: htype 1 chaddr 0014.22b5.1937

Sep 30 12:47:21.068 MSD: DHCPD: table id 1 = vrf inet

Sep 30 12:47:21.082 MSD: RADIUS/ENCODE(0000000D):Orig. component type = IEDGE_IP_SIP

Sep 30 12:47:21.082 MSD: RADIUS(0000000D): Config NAS IP: *.*.*.178

Sep 30 12:47:21.082 MSD: RADIUS/ENCODE(0000000D): acct_session_id: 3

Sep 30 12:47:21.082 MSD: RADIUS(0000000D): Config NAS IP: *.*.*.178

Sep 30 12:47:21.082 MSD: RADIUS(0000000D): sending

Sep 30 12:47:21.082 MSD: RADIUS(0000000D): Send Access-Request to *.*.*.5:1812 id 21646/1, len 145

Sep 30 12:47:21.082 MSD: RADIUS: authenticator 5C E9 A0 BF 76 99 D0 BE - 0F 01 B6 C9 CA 79 98 FE

Sep 30 12:47:21.082 MSD: RADIUS: User-Name [1] 28 "nas-port:0.0.0.0:0/3/0/205"

Sep 30 12:47:21.083 MSD: RADIUS: User-Password [2] 18 *

Sep 30 12:47:21.083 MSD: RADIUS: NAS-Port-Type [61] 6 Ethernet [15]

Sep 30 12:47:21.083 MSD: RADIUS: NAS-Port [5] 6 0

Sep 30 12:47:21.083 MSD: RADIUS: NAS-Port-Id [87] 11 "0/1/0/205"

Sep 30 12:47:21.083 MSD: RADIUS: Service-Type [6] 6 Outbound [5]

Sep 30 12:47:21.083 MSD: RADIUS: NAS-IP-Address [4] 6 *.*.*.178

Sep 30 12:47:21.083 MSD: RADIUS: Acct-Session-Id [44] 18 "5200000000000003"

Sep 30 12:47:21.083 MSD: RADIUS: Nas-Identifier [32] 20 "asr1k-1-a53"

Sep 30 12:47:21.083 MSD: RADIUS: Event-Timestamp [55] 6 1222764441

Sep 30 12:47:21.132 MSD: RADIUS: Received from id 21646/1 *.*.*.5:1812, Access-Accept, len 154

Sep 30 12:47:21.132 MSD: RADIUS: authenticator D1 BB DE 32 D5 D0 C8 D4 - 54 F2 5A 76 61 BD F9 78

Sep 30 12:47:21.132 MSD: RADIUS: Vendor, Cisco [26] 20

Sep 30 12:47:21.132 MSD: RADIUS: ssg-account-info [250] 14 "Asvc1"

Sep 30 12:47:21.132 MSD: RADIUS: Vendor, Cisco [26] 15

Sep 30 12:47:21.132 MSD: RADIUS: ssg-account-info [250] 9 "Aportal"

Sep 30 12:47:21.132 MSD: RADIUS: Vendor, Cisco [26] 21

Sep 30 12:47:21.132 MSD: RADIUS: ssg-account-info [250] 15 "Asvc2"

Sep 30 12:47:21.132 MSD: RADIUS: Vendor, Cisco [26] 22

Sep 30 12:47:21.132 MSD: RADIUS: Cisco AVpair [1] 16 "ip:vrf-id=inet"

Sep 30 12:47:21.132 MSD: RADIUS: Vendor, Cisco [26] 35

Sep 30 12:47:21.132 MSD: RADIUS: Cisco AVpair [1] 29 "subscriber:classname=inet-1"

Sep 30 12:47:21.132 MSD: RADIUS: Class [25] 21

Sep 30 12:47:21.132 MSD: RADIUS: 70 61 72 65 6E 74 2D 75 69 64 3D 67 57 58 4B 37 [parent-uid=gWXK7]

Sep 30 12:47:21.132 MSD: RADIUS: 34 44 30 [ 4D0]

Sep 30 12:47:21.133 MSD: RADIUS(0000000D): Received from id 21646/1

Sep 30 12:47:21.154 MSD: DHCPD: Callback for workspace (ID=0xD5000001)

Sep 30 12:47:21.154 MSD: DHCPD: Callback: class '' now specified for client 0100.1422.b519.37

Sep 30 12:47:21.155 MSD: DHCPD: Sending notification of DISCOVER:

Sep 30 12:47:21.155 MSD: DHCPD: htype 1 chaddr 0014.22b5.1937

Sep 30 12:47:21.155 MSD: DHCPD: table id 1 = vrf inet

Sep 30 12:47:21.155 MSD: DHCPD: requested address 169.254.36.164 is not on subnet *.*.*.120.

Sep 30 12:47:21.155 MSD: DHCPD: input does not contain option 82

Sep 30 12:47:21.155 MSD: DHCPD: Class 'inet-1' matched by default

Sep 30 12:47:21.155 MSD: DHCPD: input matches class inet-1

Sep 30 12:47:22.288 MSD: DHCPD: checking for expired leases.

Sep 30 12:47:22.289 MSD: DHCPD: dhcpd_age_bindings could not lock semaphore.

Sep 30 12:47:23.172 MSD: DHCPD: Adding binding to radix tree (*.*.*.121)

Sep 30 12:47:23.172 MSD: DHCPD: VPN 'inet'

Sep 30 12:47:23.172 MSD: DHCPD: Adding binding to hash tree

Sep 30 12:47:23.172 MSD: DHCPD: assigned IP address *.*.*.121 to client 0100.1422.b519.37. (5 205)

Sep 30 12:47:23.172 MSD: DHCPD: DHCPOFFER notify setup address *.*.*.121 mask 255.255.255.248

[ugluck]

дык то ISG...

Sep 30 12:47:21.132 MSD: RADIUS: Cisco AVpair [1] 29 "subscriber:classname=inet-1"

а вот обычную цыску (1841) мне не удалось заставить спрашивать у радиуса прежде чем выделять адрес. может, кто добивался?

[zoro]

Народ, вот такая задача юзверям динамически по DHCP выдавать ип адреса и при этом чтобы выдавал через радиус :)

DHCP статически с базы mysql я научился :) а вот по динамике :)

 

[mike_tk]

Интересно, но изврат: последний freeradius имеет встроенный DHCP сервер, правда experimental

[zoro]

DHCP сервер берет настройки с SQL либо текстовой базы .. но не из radius протокола.. :( это же сервер радиуса а не NAS

[zoro]

в IOS 12.2 SB 12.2T есть фтча DHCP Accounting она какраз и делает запрос на радиус сервер в качестве логина выбирает мак адресс с атрибутами DHCP opt 82..

 

[999999999]

в IOS 12.2 SB 12.2T есть фтча DHCP Accounting она какраз и делает запрос на радиус сервер в качестве логина выбирает мак адресс с атрибутами DHCP opt 82..

что бы радиус выдал IP для начала радиус клиент должен послать auth радиус проверят, отправляет replay в котором содержиться Framed-IP-Address =

и только потом идут акаунтинг пакеты.

Есил настроен DHCP accounting то радиус получает всего лишь

 

Fri Nov 7 12:54:41 2008

Acct-Session-Id = "0000E749"

Framed-IP-Address = 192.168.1.15

Calling-Station-Id = "001e.0b7b.d72f"

Cisco-AVPair = "connect-progress=Call Up"

Acct-Status-Type = Start

NAS-Port-Type = Ethernet

NAS-Port = 0

NAS-Port-Id = "0/0/0/10"

Service-Type = Framed-User

NAS-IP-Address = 192.168.1.2

Acct-Delay-Time = 0

Client-IP-Address = 192.168.1.2

Acct-Unique-Session-Id = "90911301c7c55b5b"

Timestamp = 1226055281

где Framed-IP-Address это адрес выданный из пула, а не полученный через радиус.

ИМХО это не то.

 

Пишу сюда потому что меня тоже очень интересует сейчас эта тема. Ничего толкового не могу найти в интернете. Кроме

 

When the DHCP server receives a message from a relay agent containing

a RADIUS Attributes suboption, it extracts the contents of the

suboption and uses that information in selecting configuration

parameters for the client. If the relay agent relays RADIUS

attributes not included in the table in Section 4, the DHCP server

SHOULD ignore them. If the DHCP server uses attributes not specified

here, it might result in side effects not anticipated in the existing

RADIUS specifications.

из RFC 4014

 

Чего-то более конкретного найти не могу что бы имет за что зацепиться и начинать рыть.

Изменено 7 ноября, 2008 пользователем 999999999

[Bambuk]

We have a new feature that may be of interest to you. In IOS

we have a feature called DHCP-radius-proxy. What it does is pon

receiving a dhcp request ISG will translated the DHCP request in to a

AAA request and if AAA has been develop it can hand out an ip-address

based on DHCP options and authoriza the user at the same time.

 

Q: Which IOS versions has DHCP-radius-proxy feature?

 

A: This version is not released and it is only available to C10K.

Это было 20 сентября. Пока я не видел чтоб оно появилось в релизнотах.

Изменено 7 ноября, 2008 пользователем Bambuk

[999999999]

тоесть на сегодняшний момент нет способа заставить DHCP получать ИП для клиента через радиус?

[Bambuk]

А вариант чтобы DHCP обращался к RADIUS не устраивает?

[999999999]

А вариант чтобы DHCP обращался к RADIUS не устраивает?

это только ISG DHCР или cisco тоже умеет спрашивать у радиуса?

[Bambuk]

При чем тут cisco. Я про внешний DHCP сервер говорю.

[999999999]

При чем тут cisco. Я про внешний DHCP сервер говорю.

так циско может выступать в качестве DHCP сервера

что значит внешний в данном случае мне не понятно.

[Bambuk]

может, но не умеет того, чего хочется.

внешний значит например работающий на том же серваке что и RADIUS или на соседнем.

[999999999]

может, но не умеет того, чего хочется.

внешний значит например работающий на том же серваке что и RADIUS или на соседнем.

ну что ж, пока спасибо

буду ставить ISG, и читать маны

 

[Bambuk]

ISG пока этого тоже не умеет. Оно может только авторизовать, т.е. разрешить или запретить доступ. IP в связке с DHCP ISG пока назначать не умеет.

[999999999]

А вариант чтобы DHCP обращался к RADIUS не устраивает?

что ты имел ввиду когда говорил вот это?

какой DHCP умеет спрашивать радиус?

 

циска не умеет ISG не умеет, кто ж тогда умеет?

Изменено 10 ноября, 2008 пользователем 999999999

[999999999]

Bambuk больше нечего сказать?

[Bambuk]

Например посмотрите на http://dhcpd-j.org/ За пару дней из этой заготовки можно сделать то что нужно. А может и вообще надобность в RADIUS отпадет, если реализовать нужную логику.

[999999999]

я уже цитировал RFC4014

 

When the DHCP relay agent receives a DHCP message from the client, it

MAY append a DHCP Relay Agent Information option containing the

RADIUS Attributes suboption, along with any other suboptions it is

configured to supply. The RADIUS Attributes suboption MUST only

contain the attributes provided in the RADIUS Access/Accept message.

The DHCP relay agent MUST NOT add more than one RADIUS Attributes

suboption in a message.

ну ведь в каком-то программном обеспечении это должно быть реализовано. Меня бы очень устроил вариант с dhcp-relay`ем.

 

http://dhcpd-j.org/ это конечно выход но, увы, не в моем случае. :(

 

кстати тем на данную тематику в интернене валом, но все без ответа. Неужели такая востребованная вещь до сих пор не реализована.

Изменено 11 ноября, 2008 пользователем 999999999