BiTel

Уважаемые разработчики, просьба пояснить следующую ситуацию.

Бекграунд: реализуем b-ras на базе juniper erx. Как я уже говорил, из-за того что bg-radius не поддерживает тегированные атрибуты, приходится делать mediation на базе freeradius2 proxy...

И что заметили: если произошла аутентификация пользователя, - сессия поднимается, пользователь работает, но так как это тестовый стенд - не поступает аккаунтинг... и что получается - в мониторе сессий - нет сессии... нет и сессии в биллинге - в принципе. А у пользователя - все работает... и никто не знает что вообще такое получилось, т.к. кроме логов радиуса, в которых есть только auth-req и auth-acc - нет никаких данных...

Можно ли избежать таких ситуаций? Что можно сделать?

_________________
God Bless Linux! and blessings to FreeBSD!

Не понятно - на радиус не приходит аккаунтинг - в итоге нет сессии в биллинге?
А как может быть по другому?

Но ведь аутентификация произошла? Пользователю оказывается сервис! А для АСР - сессии нет... Полагаю, что должна быть хоть какая-то ошибка, иначе в огромном кол-ве сессий - можно очень много незаметить...

PS Причем такая сессия получается совершенно бесконечная...

_________________
God Bless Linux! and blessings to FreeBSD!

Уважаемые разработчики, просьба прокомментировать...

_________________
God Bless Linux! and blessings to FreeBSD!

Сессия поднимается по Старт пакету аккаунтинга.. Вам какие атрибуты-то поддержать надо? Может проще их в радиусе поддержать нам?

Простите, не совсем понял ваш ответ... Мой вопрос звучал несколько иначе. Я говорил что если нас не отдает аккаунтинг - то сессия аутентифицируется, но в мониторе сессий ее нет, и для биллинга ее не существует, хотя услуги оказываются... Повторюсь: разве это верно? Можно как-то предотвратить такое поведение?

_________________
God Bless Linux! and blessings to FreeBSD!

Это верно..И этого никак не предотвратить. Авторизация - это не начало сессии , это всего лишь доказательство того, что клиент тот и имеет право начать сессию. Услуги не должны оказываться без start пакета

Но так ведь я об этом и толкую! Услуги-то оказываются... т.е. биллинг никак не реагирует, что нет старт пакета... Что делать-то?

_________________
God Bless Linux! and blessings to FreeBSD!

так это проблема nas-а вроде как . Он не должен давать оказывать услугу без start -пакета. Он должен слать аккаунтинг

А киллер-процесс не может как-то с эти справиться? Или хотя бы в мониторе было бы неплохо видеть такие сессии что бы принять те или иные меры?

_________________
God Bless Linux! and blessings to FreeBSD!

Ну поднять сессии по авторизации можно, теоретически. А вот например NAS-Port в каком виде железка шлёт? Можно ли будет дропать неактивные сессии по повтороной авторизации на тот же NAS-Port?

Ну вообще по протоколу это не корректно - аутентификация - это одно, аккаунтинг - совсем другое. Теоретически access-request может попасть на один радиус, accounting-request - на другой, а они могут быть никак не связаны.

Кстати, некоторые устройства, причем очень большие, например старшие Juniper`ы и RedBAck`и? которые держат по 8-20 тысяч пользователей имеют схему работы когда вообще исключается аккаунтинг по определенным сервисам... Т.е. практически при реализации услуг, где насом выступает большой b-ras, может иметь место такая ситуация, когда аккаунтинг приходит только по одному сервису, а по другим трем - не приходит, ибо не нужен, т.к. например, эти услуги - не требуют тарификации. И в таком случае определяющим является процесс аутентификации... не аккаунтинга...

PS Небольшой оффтопик: не планируется ли разработчиками рассмотреть возможность сбора нескольких аккаунтингов по одному логину и обработку атрибутов с тегами?

_________________
God Bless Linux! and blessings to FreeBSD!