PPP

Grzegorz Stanislawski stangrze w open.net.pl
Czw, 4 Lis 1999, 11:33:56 CET


On Wed, 3 Nov 1999, Bartosz Waszak wrote:

> On pon, lis 01, 1999 at 11:00:14 +0100, Grzegorz Stanislawski wrote:
> > Dla wiekszych( "profesjonalnych") zastosowan trzeba juz portslave'a i
> > radiusa.
> 
> Cóż to jest za ,,cudo''   portslave (może by się przydało zrobić z tym pakiet
> -   ale i tu trzebaby  ustalić   jakiś jednolity sposób konfiguracji dial-in,
> chodzi mi o to aby przy zastosowaniu portslave  na 50 modemów czy mgetty na 1
> modem konfigurowało się prawie tak samo.
> 
Portslave to taki program, ktory zachowuje sie jak getty, z tym ze
auoryzuje userow pytajac sie radiusa. Pozniej ustawia dla nich sesje w
zaleznosci od zawartosci odpowiedzi z serera (ppp, slip, telnet). Nie
wpuszcza userow na lokalna maszyne. Pilnuje rowniez czy user nie
przekracza czegos takiego jak Session-Timeout i rozlacza go w odpowiednim
czasie.

obawiam sie ze nieda sie zrobic tej samej konfiguracji dla portslave
i mgetty. W jakims tam stopniu mozna to razem: przygotowujac trzeci format
i dokonujac konwersji, ale i tak ograniczylo by sie to tylko do
initstringow dla modemu i w ten sposob zblizylibysmy sie niebezpiecznie do
pojecia "driver do modemu".

> PS. Czy  jest  jakiś server radiusa w PLD, czy  pppd wymaga   paczowania   do
> radiusa  aby mogło  współpracować z radiusem  

W pld powinien byc serwer merit-radiusd.
Sa patche do radiusa dla pppd. ale akurat w przypadku uzywania portslave'a
jest to niepotrzebne (chyba ze ktos upiera sie do autentykacji przez CHAPa) 

>  czy wystarczy  dodanie modulu
> pam_radius do /etc/pam.d/ppp.

Pam nie nadaje sie do tego wogole.
Co najwyzej mozna go uzyc jako jedno ze srodel danych dla radiusa.
(konta lokalne w stosunku do maszyny na ktorej chodzi radius. ale wtedy
wsparcie dla pama musi miec radiusd)
Ale nie odwrotnie. (juz to cwiczylem - nie ma to sensu)
pam_radius jest haczykiem dla tych ktorzy maja gotowe bazy userow
serwowane przez radiusa i chca tym userom udostepnic maszyne linuxowa.
Jak sie buduje taki system od poczatku to lepiej to zrobic np. nisem.

> PS2. Chciałbym   się  dowiedzieć  jakie   ficzery  daje RADIUS     (najlepiej
> porównując go z LDAP, gdyż dwie metody  autentykacja  to dla   mnie troche za
> dużo). Gdzieś  słyszałem,    że RADIUS  może ciągnąc    z  wielu miejsc  dane
> (/etc/passwd, na servie, SQL itp)
> 
Dwie (czy wiecej) metody autentykacji to nic strasznego (wszystko zalezy
od aplikacji). Problem jest wtedy gdy massz dwie bazy z userami.
Akurat radius i LDAP ze soba nie koliduja. Ldap jest baza danych a radius
(mniej wiedej) protokolem komunikacyjnym. Mniej wiecej poniewaz radiusd
podejmuje na podstawie bazy danych i requesta decyzje.

Jakie ficzery ma radius? 
Ano moze brac dane z kilku baz, moze sie pytac innych serwerow radiusa o
usera (proxy), zapewnia autentykacjie i autoryzacjie usera po wszystkich
atrybutach, jakie klient przyslal (username, pass, adres serwera i port,
pora dnia, protokol itd.)
Zalatwia to ze dane u userach za zdalen w stosunku do maszyny ktora
wpuszcza usera, i szyfruje dane ktore lataja przez siec.
Zalatwia accountincg, czyli zbieranie informacji o sesjach, rowniez do
pliku typu wtmp (tak ze mozn sobie ogladac userow za pomoca last -f )

 U mnie radius bierze sobie dane z Postgresa, i autentykuje gosci ktory
sie wdzwaniaja sie na portslave'i na NetServa USR'a oraz czytaja poczte
qmailowym pop3 (tu byl potrzebny specjalny checkpassword). Oczywiscie
accounting wskakuje spowrotem do SQLa.

Miquel van Smoorenburg i Alan DeKok pracuja wlasnie nad nowym serwerem
radiusa (www.freeradius.org), troche tez w tym biore udzial. W kazdym
razie jak projekt sie troche ustabilizuje to zrobie z tego rpma. 

> PS3. Obstaje     przy    zastosowaniu /etc/sysconfig/interfaces/ifcfg-*   dla
> konfiguracji  ppp gdyż spójna konfiguracja powinna być na  pierwszym miejscu.
> pon, poff, plog, zrobic skryptami robiącymi ifup lub ifdown.
> 
Fajnie ze ktos sie ze mna zgadza ;-)

>  -=[  Bartosz Waszak  ]--[     Where there's no emotion, there's no       ]=-
> 
Grzegorz Stanislawski.
Open-Net / PKFL



Więcej informacji o liście dyskusyjnej pld-devel-pl