| forum.bitel.ru http://forum.bitel.ru/ |
|
| Аутент. пользователя + отсутствие акк. + монитор сессий http://forum.bitel.ru/viewtopic.php?f=5&t=3458 |
Страница 1 из 1 |
| Автор: | Dmitri [ 21 янв 2010, 23:23 ] |
| Заголовок сообщения: | Аутент. пользователя + отсутствие акк. + монитор сессий |
Уважаемые разработчики, просьба пояснить следующую ситуацию. Бекграунд: реализуем b-ras на базе juniper erx. Как я уже говорил, из-за того что bg-radius не поддерживает тегированные атрибуты, приходится делать mediation на базе freeradius2 proxy... И что заметили: если произошла аутентификация пользователя, - сессия поднимается, пользователь работает, но так как это тестовый стенд - не поступает аккаунтинг... и что получается - в мониторе сессий - нет сессии... нет и сессии в биллинге - в принципе. А у пользователя - все работает... и никто не знает что вообще такое получилось, т.к. кроме логов радиуса, в которых есть только auth-req и auth-acc - нет никаких данных... Можно ли избежать таких ситуаций? Что можно сделать? |
|
| Автор: | Amir [ 22 янв 2010, 20:24 ] |
| Заголовок сообщения: | Re: Аутент. пользователя + отсутствие акк. + монитор сессий |
Не понятно - на радиус не приходит аккаунтинг - в итоге нет сессии в биллинге? А как может быть по другому? |
|
| Автор: | Dmitri [ 23 янв 2010, 01:25 ] |
| Заголовок сообщения: | Re: Аутент. пользователя + отсутствие акк. + монитор сессий |
Amir писал(а): Не понятно - на радиус не приходит аккаунтинг - в итоге нет сессии в биллинге? А как может быть по другому? Но ведь аутентификация произошла? Пользователю оказывается сервис! А для АСР - сессии нет... Полагаю, что должна быть хоть какая-то ошибка, иначе в огромном кол-ве сессий - можно очень много незаметить... PS Причем такая сессия получается совершенно бесконечная... |
|
| Автор: | Dmitri [ 26 янв 2010, 02:39 ] |
| Заголовок сообщения: | Re: Аутент. пользователя + отсутствие акк. + монитор сессий |
Dmitri писал(а): Amir писал(а): Не понятно - на радиус не приходит аккаунтинг - в итоге нет сессии в биллинге? А как может быть по другому? Но ведь аутентификация произошла? Пользователю оказывается сервис! А для АСР - сессии нет... Полагаю, что должна быть хоть какая-то ошибка, иначе в огромном кол-ве сессий - можно очень много незаметить... PS Причем такая сессия получается совершенно бесконечная... Уважаемые разработчики, просьба прокомментировать... |
|
| Автор: | Администратор [ 26 янв 2010, 17:56 ] |
| Заголовок сообщения: | Re: Аутент. пользователя + отсутствие акк. + монитор сессий |
Цитата: Но ведь аутентификация произошла? Пользователю оказывается сервис! А для АСР - сессии нет... Полагаю, что должна быть хоть какая-то ошибка, иначе в огромном кол-ве сессий - можно очень много незаметить... PS Причем такая сессия получается совершенно бесконечная... Сессия поднимается по Старт пакету аккаунтинга.. Вам какие атрибуты-то поддержать надо? Может проще их в радиусе поддержать нам? |
|
| Автор: | Dmitri [ 08 фев 2010, 11:03 ] |
| Заголовок сообщения: | Re: Аутент. пользователя + отсутствие акк. + монитор сессий |
Администратор писал(а): Цитата: Но ведь аутентификация произошла? Пользователю оказывается сервис! А для АСР - сессии нет... Полагаю, что должна быть хоть какая-то ошибка, иначе в огромном кол-ве сессий - можно очень много незаметить... PS Причем такая сессия получается совершенно бесконечная... Сессия поднимается по Старт пакету аккаунтинга.. Вам какие атрибуты-то поддержать надо? Может проще их в радиусе поддержать нам? Простите, не совсем понял ваш ответ... Мой вопрос звучал несколько иначе. Я говорил что если нас не отдает аккаунтинг - то сессия аутентифицируется, но в мониторе сессий ее нет, и для биллинга ее не существует, хотя услуги оказываются... Повторюсь: разве это верно? Можно как-то предотвратить такое поведение? |
|
| Автор: | stark [ 08 фев 2010, 13:42 ] |
| Заголовок сообщения: | Re: Аутент. пользователя + отсутствие акк. + монитор сессий |
Dmitri писал(а): Администратор писал(а): Цитата: Но ведь аутентификация произошла? Пользователю оказывается сервис! А для АСР - сессии нет... Полагаю, что должна быть хоть какая-то ошибка, иначе в огромном кол-ве сессий - можно очень много незаметить... PS Причем такая сессия получается совершенно бесконечная... Сессия поднимается по Старт пакету аккаунтинга.. Вам какие атрибуты-то поддержать надо? Может проще их в радиусе поддержать нам? Простите, не совсем понял ваш ответ... Мой вопрос звучал несколько иначе. Я говорил что если нас не отдает аккаунтинг - то сессия аутентифицируется, но в мониторе сессий ее нет, и для биллинга ее не существует, хотя услуги оказываются... Повторюсь: разве это верно? Можно как-то предотвратить такое поведение? Это верно..И этого никак не предотвратить. Авторизация - это не начало сессии , это всего лишь доказательство того, что клиент тот и имеет право начать сессию. Услуги не должны оказываться без start пакета |
|
| Автор: | Dmitri [ 09 фев 2010, 12:28 ] |
| Заголовок сообщения: | Re: Аутент. пользователя + отсутствие акк. + монитор сессий |
Но так ведь я об этом и толкую! Услуги-то оказываются... т.е. биллинг никак не реагирует, что нет старт пакета... Что делать-то? |
|
| Автор: | stark [ 09 фев 2010, 12:56 ] |
| Заголовок сообщения: | Re: Аутент. пользователя + отсутствие акк. + монитор сессий |
Dmitri писал(а): Но так ведь я об этом и толкую! Услуги-то оказываются... т.е. биллинг никак не реагирует, что нет старт пакета... Что делать-то? так это проблема nas-а вроде как . Он не должен давать оказывать услугу без start -пакета. Он должен слать аккаунтинг |
|
| Автор: | Dmitri [ 09 фев 2010, 12:58 ] |
| Заголовок сообщения: | Re: Аутент. пользователя + отсутствие акк. + монитор сессий |
stark писал(а): Dmitri писал(а): Но так ведь я об этом и толкую! Услуги-то оказываются... т.е. биллинг никак не реагирует, что нет старт пакета... Что делать-то? так это проблема nas-а вроде как . Он не должен давать оказывать услугу без start -пакета. Он должен слать аккаунтинг А киллер-процесс не может как-то с эти справиться? Или хотя бы в мониторе было бы неплохо видеть такие сессии что бы принять те или иные меры? |
|
| Автор: | Администратор [ 09 фев 2010, 13:51 ] |
| Заголовок сообщения: | Re: Аутент. пользователя + отсутствие акк. + монитор сессий |
Ну поднять сессии по авторизации можно, теоретически. А вот например NAS-Port в каком виде железка шлёт? Можно ли будет дропать неактивные сессии по повтороной авторизации на тот же NAS-Port? |
|
| Автор: | Amir [ 09 фев 2010, 16:44 ] |
| Заголовок сообщения: | Re: Аутент. пользователя + отсутствие акк. + монитор сессий |
Ну вообще по протоколу это не корректно - аутентификация - это одно, аккаунтинг - совсем другое. Теоретически access-request может попасть на один радиус, accounting-request - на другой, а они могут быть никак не связаны. |
|
| Автор: | Dmitri [ 10 фев 2010, 14:06 ] |
| Заголовок сообщения: | Re: Аутент. пользователя + отсутствие акк. + монитор сессий |
Amir писал(а): Ну вообще по протоколу это не корректно - аутентификация - это одно, аккаунтинг - совсем другое. Теоретически access-request может попасть на один радиус, accounting-request - на другой, а они могут быть никак не связаны. Кстати, некоторые устройства, причем очень большие, например старшие Juniper`ы и RedBAck`и? которые держат по 8-20 тысяч пользователей имеют схему работы когда вообще исключается аккаунтинг по определенным сервисам... Т.е. практически при реализации услуг, где насом выступает большой b-ras, может иметь место такая ситуация, когда аккаунтинг приходит только по одному сервису, а по другим трем - не приходит, ибо не нужен, т.к. например, эти услуги - не требуют тарификации. И в таком случае определяющим является процесс аутентификации... не аккаунтинга... PS Небольшой оффтопик: не планируется ли разработчиками рассмотреть возможность сбора нескольких аккаунтингов по одному логину и обработку атрибутов с тегами? |
|
| Страница 1 из 1 | Часовой пояс: UTC + 5 часов [ Летнее время ] |
| Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/ |
|