|
Титла: IC-Radius проблем Публикувано от: alex_c в Oct 02, 2003, 10:45 Здравейте!
Използвам IC-Radius 0.18.1 за аутентификация на заявки от рутер CISCO 2620. CISCO-то има конфигурирани два асинхронни групови интерфейса: interface Group-Async33 ip unnumbered FastEthernet0/0 no ip redirects no ip proxy-arp encapsulation ppp ip tcp header-compression passive no ip mroute-cache async mode dedicated peer default ip address pool DialInExpress no cdp enable ppp authentication pap chap group-range 33 37 и interface Group-Async41 ip unnumbered FastEthernet0/0 no ip redirects no ip proxy-arp encapsulation ppp ip tcp header-compression passive no ip mroute-cache async mode dedicated peer default ip address pool DialInMain no cdp enable ppp authentication pap chap group-range 41 48 При първоначалната по-проста конфигурация на Radius-а нямаше проблеми: потребителите бяха в една група, без значение на кой телефон звънят и към кой пул се връзват. В Radius-а създадох две групи с идеята да диференцирам потребителите в двата пула на рутера. Т.к. Radius-а не поддържа пулове, реших да привържа групите към физически портове на рутера: mysql> select * from radgroupcheck; +----+---------------+---------------------+-------+ | id | GroupName | Attribute | Value | +----+---------------+---------------------+-------+ | 4 | MainPool | Simultaneous-Use | 1 | | 3 | ExpressPool | Simultaneous-Use | 1 | | 19 | MainPool | NAS-Port-Id | 42 | | 16 | MainPool | NAS-Port-Type | Async | +----+---------------+---------------------+-------+ mysql> select * from radgroupreply; +----+--------------+--------------------------+--------------------------+ | id | GroupName | Attribute | Value | +----+--------------+--------------------------+--------------------------+ | 1 | ExpressPool | Service-Type | Framed-User | | 2 | ExpressPool | Framed-IP-Address | 255.255.255.254 | | 3 | ExpressPool | Framed-IP-Netmask | 255.255.255.0 | | 4 | ExpressPool | Framed-MTU | 1500 | | 5 | ExpressPool | Framed-Protocol | PPP | | 6 | ExpressPool | Framed-Compression | Van-Jacobson-TCP-IP | | 7 | ExpressPool | Session-Timeout | 1800 | | 8 | ExpressPool | Idle-Timeout | 1800 | | 9 | MainPool | Framed-MTU | 1500 | | 10 | MainPool | Framed-IP-Address | 255.255.255.254 | | 11 | MainPool | Framed-IP-Netmask | 255.255.255.0 | | 12 | MainPool | Framed-Protocol | PPP | | 13 | MainPool | Framed-Compression | Van-Jacobson-TCP-IP | | 14 | MainPool | Session-Timeout | 18000 | | 15 | MainPool | Idle-Timeout | 18000 | | 24 | MainPool | Service-Type | Framed-User | +----+-------------+--------------------+-------------------------------+ В групата MainPool добавих потребител alex. При опит за влизане на този потребител през 42-ри порт на рутера, се получава следната грешка от Radius-а: Wed Oct 1 08:51:51 2003: Auth: Check list does not match request list [alex] (from nas cisco/S42) PPP-daemon-а на клиентската машина връща: Remote message: Password validation failure При премахване на реда: | 19 | MainPool | NAS-Port-Id | 42 | от таблицата radgroupcheck всичко тръгва нормално. Абе, с две думи, привързването на потребител/група към порт на NAS-сървъра не работи. Може ли някой да помогне? |