forum.bitel.ru :: Просмотр темы - Авторизация только по логину

Вместо AUTHENTICATION_REJECT может быть выслан AUTHENTICATION_ACCEPT пакет с дополнительными атрибутами. Перечень кодов ошибок, для которых производится подмена Reject-To-Accept определяется переменной конфигурации NASа radius.disable.accessCodes=<codes>, где <codes> - перечень кодов ошибок авторизации через запятую. Например:
radius.disable.accessCodes=1,2,3,4,10,11,12

Соответственно, для Reject-To-Accept могут быть собственные диапазоны IP адресов, например:
radius.disable.ipCategories=3

Для поддержки Reject-To-Accept при ошибке с кодом 1 (Логин не найден), т.е. для предоставления гостевого доступа, необходимо создать договор с балансом меньше лимита и сервисом модуля Inet со статусом закрыт, а id сервиса прописать в конфигурации устройства:
radius.disable.servId=<inetServId>

Автор:	vkulakov [ 25 дек 2012, 20:00 ]
Заголовок сообщения:	Авторизация только по логину
Столкнулись со следующей "проблемой": есть некоторое количество абонентов, возможно и не наших, которые вводят неправильные логины, при этом логины вообще левые. Делают они это очень часто, в мониторе некоторые добрались к отметке 200000 попыток авторизации. Этим они кушают драгоценные ресурсы, засирают логи и т. п. Возникла следующая идея: мы позволяем этим логинам авторизоваться и выдаём такие сервисы, которые не позволят работать в сети в принципе. Проблема здесь следующая: мы не знаем пароль, что не позволяет просто завести сервис. Отсюда к разработчикам следующая просьба: сделайте в настройке типа сервиса ещё галочку "Логин" (в отличии от галочки "Логин + пароль"), которая позволит авторизоваться без пароля. Как вариант можно сделать спец пароль "" (звёздочка), и если в сервисе в качестве пароля стоит , то будут приниматься любые пароля (как в случае с идентификатором).

Автор:	Amir [ 25 дек 2012, 20:24 ]
Заголовок сообщения:	Re: Авторизация только по логину
Это не подойдет? Цитата: Вместо AUTHENTICATION_REJECT может быть выслан AUTHENTICATION_ACCEPT пакет с дополнительными атрибутами. Перечень кодов ошибок, для которых производится подмена Reject-To-Accept определяется переменной конфигурации NASа radius.disable.accessCodes=<codes>, где <codes> - перечень кодов ошибок авторизации через запятую. Например: radius.disable.accessCodes=1,2,3,4,10,11,12 Соответственно, для Reject-To-Accept могут быть собственные диапазоны IP адресов, например: radius.disable.ipCategories=3 Для поддержки Reject-To-Accept при ошибке с кодом 1 (Логин не найден), т.е. для предоставления гостевого доступа, необходимо создать договор с балансом меньше лимита и сервисом модуля Inet со статусом закрыт, а id сервиса прописать в конфигурации устройства: radius.disable.servId=<inetServId> viewtopic.php?f=44&t=7090 Или есть недокументированная фича еще из модуля Dialup, которая должна работать и в Inet (параметры должны быть в конфиге модуля): http://bgbilling.ru/v5.2/doc/ch15s08s04s03.html

Автор:	vkulakov [ 26 дек 2012, 00:57 ]
Заголовок сообщения:	Re: Авторизация только по логину
Reject-To-Accept не хочется внедрять, т. к. это будет работать для всех пользователей, что не есть хорошо. Большинству абонентов это будет только мешать - ошибся при вводе логина и ты уже залогинился, пока разберёшься, что что-то не так, пока дисконнект сделаешь... "Антиспам" - интересная вещь, но она устраняет только проблемы с производительностью, которые пока нас не особо коснулись . В остальном ничего не меняется. Сейчас я сделал скрипт поведения, который повесил только на один договор (FAKE) и событие "Перед ответом на Access-Request". В договоре заведены интересующие нас логины с произвольными паролями. Если идёт Access-Request на указанные логины, то по-умолчанию в ответ идёт Access-Reject с ошибкой "Неправильный пароль". Скрипт подменяет Access-Reject на Access-Accept и добавляет в ответ специальные параметры, которые не позволят получать какие-либо сервисы на данном логине. Это не очень красиво и присутствуют некоторые проблемы, но нас вполне устраивает. Но вариант со звёздочкой в пароле был бы идеальным...

Автор:	Phricker [ 26 дек 2012, 01:25 ]
Заголовок сообщения:	Re: Авторизация только по логину
так вроде ж есть антиспам в модуле Inet? включите его на user-name и mac адрес. и пускай в бан попадают. не будут засирать логи

Автор:	vkulakov [ 26 дек 2012, 02:05 ]
Заголовок сообщения:	Re: Авторизация только по логину
На досуге поэкспериментирую с антиспамом, сейчас как-то сомнений много...

forum.bitel.ru http://forum.bitel.ru/

Авторизация только по логину http://forum.bitel.ru/viewtopic.php?f=44&t=7567	Страница 1 из 1

Автор:	Phricker [ 26 дек 2012, 02:22 ]
Заголовок сообщения:	Re: Авторизация только по логину
vkulakov писал(а): сейчас как-то сомнений много... Зря. у меня стоит 3 попытки в минуту и банит на 15 минут. (модуль DialUp) Шикарно работает ^_^ Главное техподдержку предупредить, что если видят у пользователя over 3-4 попытки подключения за минуту с ошибкой в пароле - то еще 15 минут он не подключится

Страница 1 из 1	Часовой пояс: UTC + 5 часов [ Летнее время ]
Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/