ra1nman Опубликовано 4 сентября, 2008 · Жалоба Есть вопрос о том, как интегрировать DHCP и RADIUS. Нобходимо, чтобы разным группам пользователей в RADIUS выдавались адреса из разных подсетей. Какие атрибуты за это отвечают. Конфиг cisco: ! ip dhcp pool USERS network 172.16.1.0 255.255.255.0 default-router 172.16.1.1 lease 0 0 2 class VIP address range 172.16.1.200 172.16.1.255 class STANDART address range 172.16.1.50 172.16.1.200 ! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ra1nman Опубликовано 12 сентября, 2008 · Жалоба Может быть для этого используется атрибут: [25] class но у меня с ходу не получается. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ra1nman Опубликовано 29 сентября, 2008 · Жалоба вопрос ещё актуален Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bambuk Опубликовано 29 сентября, 2008 · Жалоба софт какой? В 12.2SB по идее должна работать вот такая конструкция Cisco-AVPair = "subscriber:classname=VIP" Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ugluck Опубликовано 29 сентября, 2008 · Жалоба недавно тоже морочился по этой теме (правда, хотел конкретный айпишник выдавать по оп.82) и вот что выяснил: через радиус айпишник для дхцп не назначить, ибо оно не обращается к радиусу перед тем, как послать оффер. выход: юзать костыли типа дхцп релей Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bambuk Опубликовано 30 сентября, 2008 · Жалоба очень даже обращается. Sep 30 12:47:21.064 MSD: DHCPD: Sending notification of DISCOVER:Sep 30 12:47:21.064 MSD: DHCPD: htype 1 chaddr 0014.22b5.1937 Sep 30 12:47:21.064 MSD: DHCPD: table id 1 = vrf inet Sep 30 12:47:21.068 MSD: DHCPD: Sending notification of DISCOVER: Sep 30 12:47:21.068 MSD: DHCPD: htype 1 chaddr 0014.22b5.1937 Sep 30 12:47:21.068 MSD: DHCPD: table id 1 = vrf inet Sep 30 12:47:21.068 MSD: DHCPD: Seeing if there is an internally specified pool class: Sep 30 12:47:21.068 MSD: DHCPD: htype 1 chaddr 0014.22b5.1937 Sep 30 12:47:21.068 MSD: DHCPD: table id 1 = vrf inet Sep 30 12:47:21.082 MSD: RADIUS/ENCODE(0000000D):Orig. component type = IEDGE_IP_SIP Sep 30 12:47:21.082 MSD: RADIUS(0000000D): Config NAS IP: *.*.*.178 Sep 30 12:47:21.082 MSD: RADIUS/ENCODE(0000000D): acct_session_id: 3 Sep 30 12:47:21.082 MSD: RADIUS(0000000D): Config NAS IP: *.*.*.178 Sep 30 12:47:21.082 MSD: RADIUS(0000000D): sending Sep 30 12:47:21.082 MSD: RADIUS(0000000D): Send Access-Request to *.*.*.5:1812 id 21646/1, len 145 Sep 30 12:47:21.082 MSD: RADIUS: authenticator 5C E9 A0 BF 76 99 D0 BE - 0F 01 B6 C9 CA 79 98 FE Sep 30 12:47:21.082 MSD: RADIUS: User-Name [1] 28 "nas-port:0.0.0.0:0/3/0/205" Sep 30 12:47:21.083 MSD: RADIUS: User-Password [2] 18 * Sep 30 12:47:21.083 MSD: RADIUS: NAS-Port-Type [61] 6 Ethernet [15] Sep 30 12:47:21.083 MSD: RADIUS: NAS-Port [5] 6 0 Sep 30 12:47:21.083 MSD: RADIUS: NAS-Port-Id [87] 11 "0/1/0/205" Sep 30 12:47:21.083 MSD: RADIUS: Service-Type [6] 6 Outbound [5] Sep 30 12:47:21.083 MSD: RADIUS: NAS-IP-Address [4] 6 *.*.*.178 Sep 30 12:47:21.083 MSD: RADIUS: Acct-Session-Id [44] 18 "5200000000000003" Sep 30 12:47:21.083 MSD: RADIUS: Nas-Identifier [32] 20 "asr1k-1-a53" Sep 30 12:47:21.083 MSD: RADIUS: Event-Timestamp [55] 6 1222764441 Sep 30 12:47:21.132 MSD: RADIUS: Received from id 21646/1 *.*.*.5:1812, Access-Accept, len 154 Sep 30 12:47:21.132 MSD: RADIUS: authenticator D1 BB DE 32 D5 D0 C8 D4 - 54 F2 5A 76 61 BD F9 78 Sep 30 12:47:21.132 MSD: RADIUS: Vendor, Cisco [26] 20 Sep 30 12:47:21.132 MSD: RADIUS: ssg-account-info [250] 14 "Asvc1" Sep 30 12:47:21.132 MSD: RADIUS: Vendor, Cisco [26] 15 Sep 30 12:47:21.132 MSD: RADIUS: ssg-account-info [250] 9 "Aportal" Sep 30 12:47:21.132 MSD: RADIUS: Vendor, Cisco [26] 21 Sep 30 12:47:21.132 MSD: RADIUS: ssg-account-info [250] 15 "Asvc2" Sep 30 12:47:21.132 MSD: RADIUS: Vendor, Cisco [26] 22 Sep 30 12:47:21.132 MSD: RADIUS: Cisco AVpair [1] 16 "ip:vrf-id=inet" Sep 30 12:47:21.132 MSD: RADIUS: Vendor, Cisco [26] 35 Sep 30 12:47:21.132 MSD: RADIUS: Cisco AVpair [1] 29 "subscriber:classname=inet-1" Sep 30 12:47:21.132 MSD: RADIUS: Class [25] 21 Sep 30 12:47:21.132 MSD: RADIUS: 70 61 72 65 6E 74 2D 75 69 64 3D 67 57 58 4B 37 [parent-uid=gWXK7] Sep 30 12:47:21.132 MSD: RADIUS: 34 44 30 [ 4D0] Sep 30 12:47:21.133 MSD: RADIUS(0000000D): Received from id 21646/1 Sep 30 12:47:21.154 MSD: DHCPD: Callback for workspace (ID=0xD5000001) Sep 30 12:47:21.154 MSD: DHCPD: Callback: class '' now specified for client 0100.1422.b519.37 Sep 30 12:47:21.155 MSD: DHCPD: Sending notification of DISCOVER: Sep 30 12:47:21.155 MSD: DHCPD: htype 1 chaddr 0014.22b5.1937 Sep 30 12:47:21.155 MSD: DHCPD: table id 1 = vrf inet Sep 30 12:47:21.155 MSD: DHCPD: requested address 169.254.36.164 is not on subnet *.*.*.120. Sep 30 12:47:21.155 MSD: DHCPD: input does not contain option 82 Sep 30 12:47:21.155 MSD: DHCPD: Class 'inet-1' matched by default Sep 30 12:47:21.155 MSD: DHCPD: input matches class inet-1 Sep 30 12:47:22.288 MSD: DHCPD: checking for expired leases. Sep 30 12:47:22.289 MSD: DHCPD: dhcpd_age_bindings could not lock semaphore. Sep 30 12:47:23.172 MSD: DHCPD: Adding binding to radix tree (*.*.*.121) Sep 30 12:47:23.172 MSD: DHCPD: VPN 'inet' Sep 30 12:47:23.172 MSD: DHCPD: Adding binding to hash tree Sep 30 12:47:23.172 MSD: DHCPD: assigned IP address *.*.*.121 to client 0100.1422.b519.37. (5 205) Sep 30 12:47:23.172 MSD: DHCPD: DHCPOFFER notify setup address *.*.*.121 mask 255.255.255.248 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ugluck Опубликовано 30 сентября, 2008 · Жалоба дык то ISG... Sep 30 12:47:21.132 MSD: RADIUS: Cisco AVpair [1] 29 "subscriber:classname=inet-1"а вот обычную цыску (1841) мне не удалось заставить спрашивать у радиуса прежде чем выделять адрес. может, кто добивался? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zoro Опубликовано 14 октября, 2008 · Жалоба Народ, вот такая задача юзверям динамически по DHCP выдавать ип адреса и при этом чтобы выдавал через радиус :) DHCP статически с базы mysql я научился :) а вот по динамике :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mike_tk Опубликовано 15 октября, 2008 · Жалоба Интересно, но изврат: последний freeradius имеет встроенный DHCP сервер, правда experimental Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zoro Опубликовано 16 октября, 2008 · Жалоба DHCP сервер берет настройки с SQL либо текстовой базы .. но не из radius протокола.. :( это же сервер радиуса а не NAS Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zoro Опубликовано 18 октября, 2008 · Жалоба в IOS 12.2 SB 12.2T есть фтча DHCP Accounting она какраз и делает запрос на радиус сервер в качестве логина выбирает мак адресс с атрибутами DHCP opt 82.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
999999999 Опубликовано 7 ноября, 2008 (изменено) · Жалоба в IOS 12.2 SB 12.2T есть фтча DHCP Accounting она какраз и делает запрос на радиус сервер в качестве логина выбирает мак адресс с атрибутами DHCP opt 82.. что бы радиус выдал IP для начала радиус клиент должен послать auth радиус проверят, отправляет replay в котором содержиться Framed-IP-Address = и только потом идут акаунтинг пакеты. Есил настроен DHCP accounting то радиус получает всего лишь Fri Nov 7 12:54:41 2008 Acct-Session-Id = "0000E749" Framed-IP-Address = 192.168.1.15 Calling-Station-Id = "001e.0b7b.d72f" Cisco-AVPair = "connect-progress=Call Up" Acct-Status-Type = Start NAS-Port-Type = Ethernet NAS-Port = 0 NAS-Port-Id = "0/0/0/10" Service-Type = Framed-User NAS-IP-Address = 192.168.1.2 Acct-Delay-Time = 0 Client-IP-Address = 192.168.1.2 Acct-Unique-Session-Id = "90911301c7c55b5b" Timestamp = 1226055281 где Framed-IP-Address это адрес выданный из пула, а не полученный через радиус. ИМХО это не то. Пишу сюда потому что меня тоже очень интересует сейчас эта тема. Ничего толкового не могу найти в интернете. Кроме When the DHCP server receives a message from a relay agent containing a RADIUS Attributes suboption, it extracts the contents of the suboption and uses that information in selecting configuration parameters for the client. If the relay agent relays RADIUS attributes not included in the table in Section 4, the DHCP server SHOULD ignore them. If the DHCP server uses attributes not specified here, it might result in side effects not anticipated in the existing RADIUS specifications. из RFC 4014 Чего-то более конкретного найти не могу что бы имет за что зацепиться и начинать рыть. Изменено 7 ноября, 2008 пользователем 999999999 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bambuk Опубликовано 7 ноября, 2008 (изменено) · Жалоба We have a new feature that may be of interest to you. In IOSwe have a feature called DHCP-radius-proxy. What it does is pon receiving a dhcp request ISG will translated the DHCP request in to a AAA request and if AAA has been develop it can hand out an ip-address based on DHCP options and authoriza the user at the same time. Q: Which IOS versions has DHCP-radius-proxy feature? A: This version is not released and it is only available to C10K. Это было 20 сентября. Пока я не видел чтоб оно появилось в релизнотах. Изменено 7 ноября, 2008 пользователем Bambuk Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
999999999 Опубликовано 10 ноября, 2008 · Жалоба тоесть на сегодняшний момент нет способа заставить DHCP получать ИП для клиента через радиус? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bambuk Опубликовано 10 ноября, 2008 · Жалоба А вариант чтобы DHCP обращался к RADIUS не устраивает? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
999999999 Опубликовано 10 ноября, 2008 · Жалоба А вариант чтобы DHCP обращался к RADIUS не устраивает? это только ISG DHCР или cisco тоже умеет спрашивать у радиуса? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bambuk Опубликовано 10 ноября, 2008 · Жалоба При чем тут cisco. Я про внешний DHCP сервер говорю. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
999999999 Опубликовано 10 ноября, 2008 · Жалоба При чем тут cisco. Я про внешний DHCP сервер говорю.так циско может выступать в качестве DHCP серверачто значит внешний в данном случае мне не понятно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bambuk Опубликовано 10 ноября, 2008 · Жалоба может, но не умеет того, чего хочется. внешний значит например работающий на том же серваке что и RADIUS или на соседнем. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
999999999 Опубликовано 10 ноября, 2008 · Жалоба может, но не умеет того, чего хочется.внешний значит например работающий на том же серваке что и RADIUS или на соседнем. ну что ж, пока спасибо буду ставить ISG, и читать маны Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bambuk Опубликовано 10 ноября, 2008 · Жалоба ISG пока этого тоже не умеет. Оно может только авторизовать, т.е. разрешить или запретить доступ. IP в связке с DHCP ISG пока назначать не умеет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
999999999 Опубликовано 10 ноября, 2008 (изменено) · Жалоба А вариант чтобы DHCP обращался к RADIUS не устраивает? что ты имел ввиду когда говорил вот это? какой DHCP умеет спрашивать радиус? циска не умеет ISG не умеет, кто ж тогда умеет? Изменено 10 ноября, 2008 пользователем 999999999 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
999999999 Опубликовано 10 ноября, 2008 · Жалоба Bambuk больше нечего сказать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bambuk Опубликовано 10 ноября, 2008 · Жалоба Например посмотрите на http://dhcpd-j.org/ За пару дней из этой заготовки можно сделать то что нужно. А может и вообще надобность в RADIUS отпадет, если реализовать нужную логику. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
999999999 Опубликовано 11 ноября, 2008 (изменено) · Жалоба я уже цитировал RFC4014 When the DHCP relay agent receives a DHCP message from the client, it MAY append a DHCP Relay Agent Information option containing the RADIUS Attributes suboption, along with any other suboptions it is configured to supply. The RADIUS Attributes suboption MUST only contain the attributes provided in the RADIUS Access/Accept message. The DHCP relay agent MUST NOT add more than one RADIUS Attributes suboption in a message. ну ведь в каком-то программном обеспечении это должно быть реализовано. Меня бы очень устроил вариант с dhcp-relay`ем. http://dhcpd-j.org/ это конечно выход но, увы, не в моем случае. :( кстати тем на данную тематику в интернене валом, но все без ответа. Неужели такая востребованная вещь до сих пор не реализована. Изменено 11 ноября, 2008 пользователем 999999999 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...