« -: Oct 02, 2003, 10:45 »
Здравейте!
Използвам IC-Radius 0.18.1 за аутентификация на заявки от рутер CISCO 2620. CISCO-то има конфигурирани два асинхронни групови интерфейса:
interface Group-Async33
ip unnumbered FastEthernet0/0
no ip redirects
no ip proxy-arp
encapsulation ppp
ip tcp header-compression passive
no ip mroute-cache
async mode dedicated
peer default ip address pool DialInExpress
no cdp enable
ppp authentication pap chap
group-range 33 37
и
interface Group-Async41
ip unnumbered FastEthernet0/0
no ip redirects
no ip proxy-arp
encapsulation ppp
ip tcp header-compression passive
no ip mroute-cache
async mode dedicated
peer default ip address pool DialInMain
no cdp enable
ppp authentication pap chap
group-range 41 48
При първоначалната по-проста конфигурация на Radius-а нямаше проблеми:
потребителите бяха в една група, без значение на кой телефон звънят и към кой пул се връзват.
В Radius-а създадох две групи с идеята да диференцирам потребителите в двата пула на рутера. Т.к. Radius-а не поддържа пулове, реших да привържа групите към физически портове на рутера:
mysql> select * from radgroupcheck;
+----+---------------+---------------------+-------+
| id | GroupName | Attribute | Value |
+----+---------------+---------------------+-------+
| 4 | MainPool | Simultaneous-Use | 1 |
| 3 | ExpressPool | Simultaneous-Use | 1 |
| 19 | MainPool | NAS-Port-Id | 42 |
| 16 | MainPool | NAS-Port-Type | Async |
+----+---------------+---------------------+-------+
mysql> select * from radgroupreply;
+----+--------------+--------------------------+--------------------------+
| id | GroupName | Attribute | Value |
+----+--------------+--------------------------+--------------------------+
| 1 | ExpressPool | Service-Type | Framed-User |
| 2 | ExpressPool | Framed-IP-Address | 255.255.255.254 |
| 3 | ExpressPool | Framed-IP-Netmask | 255.255.255.0 |
| 4 | ExpressPool | Framed-MTU | 1500 |
| 5 | ExpressPool | Framed-Protocol | PPP |
| 6 | ExpressPool | Framed-Compression | Van-Jacobson-TCP-IP |
| 7 | ExpressPool | Session-Timeout | 1800 |
| 8 | ExpressPool | Idle-Timeout | 1800 |
| 9 | MainPool | Framed-MTU | 1500 |
| 10 | MainPool | Framed-IP-Address | 255.255.255.254 |
| 11 | MainPool | Framed-IP-Netmask | 255.255.255.0 |
| 12 | MainPool | Framed-Protocol | PPP |
| 13 | MainPool | Framed-Compression | Van-Jacobson-TCP-IP |
| 14 | MainPool | Session-Timeout | 18000 |
| 15 | MainPool | Idle-Timeout | 18000 |
| 24 | MainPool | Service-Type | Framed-User |
+----+-------------+--------------------+-------------------------------+
В групата MainPool добавих потребител alex. При опит за влизане на този потребител през 42-ри порт на рутера, се получава следната грешка от Radius-а:
Wed Oct 1 08:51:51 2003: Auth: Check list does not match request list [alex] (from nas cisco/S42)
PPP-daemon-а на клиентската машина връща:
Remote message: Password validation failure
При премахване на реда:
| 19 | MainPool | NAS-Port-Id | 42 |
от таблицата radgroupcheck всичко тръгва нормално.
Абе, с две думи, привързването на потребител/група към порт на NAS-сървъра не работи.
Може ли някой да помогне?
Автор
Тема: IC-Radius проблем (Прочетена 1956 пъти)
Dec 24, 2002, 12:22