Amir писал(а):
мне, все-таки, кажется, что идентификатор должен однозначно идентифицировать NAS
Нет же. Чтобы было проще понять - представьте, что в Бител имена машин, т.е. идентификатор одинаковые, а IP адреса разные
| forum.bitel.ru http://forum.bitel.ru/ |
|
| Важен ли NAS-IP адрес для аккаунтинга http://forum.bitel.ru/viewtopic.php?f=44&t=7311 |
Страница 1 из 1 |
| Автор: | maxbond [ 16 окт 2012, 16:35 ] |
| Заголовок сообщения: | Важен ли NAS-IP адрес для аккаунтинга |
Здравствуйте. Важен ли для аккаунтинга NAS-IP-Address при обработке пакетов или достаточно того чтобы NAS-Identifier был верным? |
|
| Автор: | Amir [ 16 окт 2012, 19:27 ] |
| Заголовок сообщения: | Re: Важен ли NAS-IP адрес для аккаунтинга |
Если указан идентификатор и приходит атрибут nas-identifier, то nas-ip-adress не обязателен. Nas ищется сначала по идентификатору, затем по nas-ip-adress, затем по адресу, с которого пришел пакет. |
|
| Автор: | maxbond [ 16 окт 2012, 20:03 ] |
| Заголовок сообщения: | Re: Важен ли NAS-IP адрес для аккаунтинга |
Отлично. Спасибо. |
|
| Автор: | snark [ 17 окт 2012, 03:21 ] |
| Заголовок сообщения: | Re: Важен ли NAS-IP адрес для аккаунтинга |
Amir писал(а): Если указан идентификатор и приходит атрибут nas-identifier, то nas-ip-adress не обязателен. Nas ищется сначала по идентификатору, затем по nas-ip-adress, затем по адресу, с которого пришел пакет. А не правильнее было бы наоборот? Например есть 100 одинаковых NAS-ов и у каждого одинаковый nas-identifier (для унификации конфигов, например), а вот nas-ip-adress у всех скорее всего будет разным. |
|
| Автор: | Amir [ 17 окт 2012, 15:08 ] |
| Заголовок сообщения: | Re: Важен ли NAS-IP адрес для аккаунтинга |
В принципе, несложно сделать параметр в конфигурации модуля, чтобы поиск работал и так (а можно просто атрибут Nas-Identifier из запроса убирать). Но мне, все-таки, кажется, что идентификатор должен однозначно идентифицировать NAS. |
|
| Автор: | snark [ 17 окт 2012, 20:52 ] |
| Заголовок сообщения: | Re: Важен ли NAS-IP адрес для аккаунтинга |
Amir писал(а): мне, все-таки, кажется, что идентификатор должен однозначно идентифицировать NAS Нет же. Чтобы было проще понять - представьте, что в Бител имена машин, т.е. идентификатор одинаковые, а IP адреса разные
|
|
| Автор: | skn [ 17 окт 2012, 21:17 ] |
| Заголовок сообщения: | Re: Важен ли NAS-IP адрес для аккаунтинга |
snark писал(а): Amir писал(а): мне, все-таки, кажется, что идентификатор должен однозначно идентифицировать NAS Нет же. Чтобы было проще понять - представьте, что в Бител имена машин, т.е. идентификатор одинаковые, а IP адреса разные хрень какая то, всегда было, имя величина постоянная, а адреса динамические если имя прошито в конфиге, то где прошит ИП? |
|
| Автор: | stark [ 17 окт 2012, 21:18 ] |
| Заголовок сообщения: | Re: Важен ли NAS-IP адрес для аккаунтинга |
snark писал(а): Amir писал(а): мне, все-таки, кажется, что идентификатор должен однозначно идентифицировать NAS Нет же. Чтобы было проще понять - представьте, что в Бител имена машин, т.е. идентификатор одинаковые, а IP адреса разные по-моему изврат. |
|
| Автор: | Cromeshnic [ 18 окт 2012, 08:34 ] |
| Заголовок сообщения: | Re: Важен ли NAS-IP адрес для аккаунтинга |
Цитата: Важен ли NAS-IP адрес для аккаунтинга прям как Q&A в подростковых журналах: - "Важен ли размер в сексе?" и т.п.  "Аккаунтинг-stop приходит слишком рано, что делать?"
|
|
| Автор: | snark [ 18 окт 2012, 15:50 ] |
| Заголовок сообщения: | Re: Важен ли NAS-IP адрес для аккаунтинга |
skn писал(а): хрень какая то Вот и я считаю, что определять по nas-id - это хрень какая-то. stark писал(а): по-моему изврат Нет же. Вот пример с 3-х NAS-ов: Код: pppoe1# grep -E 'radius (identifier|me)' /usr/local/etc/mpd5/mpd.conf set radius identifier mpd set radius me 10.0.0.11 Код: pppoe2# grep -E 'radius (identifier|me)' /usr/local/etc/mpd5/mpd.conf set radius identifier mpd set radius me 10.0.0.12 Код: pppoe3# grep -E 'radius (identifier|me)' /usr/local/etc/mpd5/mpd.conf set radius identifier mpd set radius me 10.0.0.13 От всех приходит: Код: NAS-Identifier=mpd А вот аккаунтинг шлется с разных IP. Имя машины, по очевидным причинам, в RADIUS обмене не участвует. |
|
| Автор: | skn [ 18 окт 2012, 16:48 ] |
| Заголовок сообщения: | Re: Важен ли NAS-IP адрес для аккаунтинга |
ок, наверно для вас это действительно проблема, хотя почему то для того же уфанета с более сотни mpd серверов, за 10 лет использования это не было проблемой... мне самому приходиться администрировать десяток серверов и мне не хотелось отличать их только по IP адресу, поэтому предложение выше сделать это настраиваемым, мне кажеться более рациональным, чем ваше предложение P.S. существование и широкое использование таких служб как DNS, Avahi - приводит меня к мнению, что людей предпочитающих оперировать именами, а не цифрами - большенство. |
|
| Автор: | snark [ 18 окт 2012, 17:14 ] |
| Заголовок сообщения: | Re: Важен ли NAS-IP адрес для аккаунтинга |
skn писал(а): наверно для вас это действительно проблема Я разве где-то говорил, что для меня это проблема? ЕМНИМС когда-то в БГБ была какая-то проблема (было давно и подробности уже забыл), связанная именно с NAS-Identifier и именно поэтому с тех пор у меня все mpd шлют NAS-Identifier=mpd. skn писал(а): мне самому приходиться администрировать десяток серверов и мне не хотелось отличать их только по IP адресу Пожалуйста, давайте перестанем путать DNS/hostname/ХЗ имена машин и радиус атрибуты, ОК?
|
|
| Автор: | skn [ 18 окт 2012, 17:30 ] |
| Заголовок сообщения: | Re: Важен ли NAS-IP адрес для аккаунтинга |
snark писал(а): Amir писал(а): Если указан идентификатор и приходит атрибут nas-identifier, то nas-ip-adress не обязателен. Nas ищется сначала по идентификатору, затем по nas-ip-adress, затем по адресу, с которого пришел пакет. А не правильнее было бы наоборот? Например есть 100 одинаковых NAS-ов и у каждого одинаковый nas-identifier (для унификации конфигов, например), а вот nas-ip-adress у всех скорее всего будет разным. хм, не проблема говорите, тогда как понимать данное высказывание... и с каких пор IP адрес стал радиус атрибутом... |
|
| Автор: | snark [ 18 окт 2012, 17:46 ] |
| Заголовок сообщения: | Re: Важен ли NAS-IP адрес для аккаунтинга |
skn писал(а): как понимать данное высказывание Выдержку из конфигов приведенную выше посмотрите, пожалуйста. skn писал(а): с каких пор IP адрес стал радиус атрибутом NAS-IP-Address со времен RFC 2865 всегда им был. Пожалуйста, посмотрите на название темы. |
|
| Автор: | skn [ 18 окт 2012, 19:42 ] |
| Заголовок сообщения: | Re: Важен ли NAS-IP адрес для аккаунтинга |
ок, тогда, что по ваше означает атрибут NAS-Identifier, для чего его ввели, следуя вашей логике как я понимаю он определяет ТИП устройства с которого идут запросы, а с какого конкретно устройства надо определять по атрибуту NAS-IP. Т.е. если у меня в сети все устройтва однотипные мне NAS-Identifier в принципе не нужен, а если например у меня стоят несколько НАС серверов обслуживающих разные квартала города, то просматривая радиус лог я должен держать перед собой еще таблицу сответствия в которой будут прописаны какому НАСу какой IP принадлежит и где он находится, так? |
|
| Автор: | snark [ 18 окт 2012, 20:28 ] |
| Заголовок сообщения: | Re: Важен ли NAS-IP адрес для аккаунтинга |
skn писал(а): что по ваше означает атрибут NAS-Identifier Я придерживаюсь точки зрения RFC 2865: RFC 2865 писал(а): Description This Attribute contains a string identifying the NAS originating the Access-Request. It is only used in Access-Request packets. Either NAS-IP-Address or NAS-Identifier MUST be present in an Access-Request packet. Note that NAS-Identifier MUST NOT be used to select the shared secret used to authenticate the request. The source IP address of the Access-Request packet MUST be used to select the shared secret. После чтения выделенного текста может Вы скажете, каким образом NAS-Identifier вообще может относится к аккаунтингу (см. название темы)? skn писал(а): следуя вашей логике как я понимаю он определяет ТИП устройства с которого идут запросы, а с какого конкретно устройства надо определять по атрибуту NAS-IP Где это я про типы устройств писал? skn писал(а): если у меня в сети все устройтва однотипные мне NAS-Identifier в принципе не нужен, а если например у меня стоят несколько НАС серверов обслуживающих разные квартала города, то просматривая радиус лог я должен держать перед собой еще таблицу сответствия в которой будут прописаны какому НАСу какой IP принадлежит и где он находится, так? Нет не так. Я знаю точку зрения мануала: мануал писал(а): NAS, ему прописывается идентификатор (что будет приходить от него в атрибуте NAS-Identifier), IP адрес (что будет приходить от него в атрибуте NAS-IP-Address), RADIUS секрет, вендор и комментарий. Но я всегда считал, что идентификатор - это прежде всего логическое разделение между NAS-ами, т.е. указание кто есть кто (например - те самые кварталы), хотя это, разумеется, и не верно. В БГБ можно каждому NAS-у дать простой и понятный идентификатор на русском языке? Никогда не пробывал, если честно. |
|
| Автор: | Amir [ 18 окт 2012, 20:42 ] |
| Заголовок сообщения: | Re: Важен ли NAS-IP адрес для аккаунтинга |
Цитата: It is only used in Access-Request packets. Здесь скорее всего имеется ввиду, что он не нужен в ответах (Access-Accept/Access-Reject), т.к в RFC 2866 про Accounting-Request написано Цитата: Either NAS-IP-Address or NAS-Identifier MUST be present in a RADIUS Accounting-Request. В таких местах на ссылающихся друг на друга RFC иногда можно голову сломать, прежде чем реализация нормально заработает.
|
|
| Автор: | snark [ 18 окт 2012, 21:26 ] |
| Заголовок сообщения: | Re: Важен ли NAS-IP адрес для аккаунтинга |
Все же я считаю, что отталкиваться надо от адреса, т.к. завтра найдется очередной вендор, который тупо не сочтет нужным реализовать передачу NAS-Identifier, ну или кто нить, заполучив новую железку, впишет в поле идентификатора "моя прелесть"(с), чем сломает логику БГБ. |
|
| Страница 1 из 1 | Часовой пояс: UTC + 5 часов [ Летнее время ] |
| Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/ |
|