PPP
Grzegorz Stanislawski
stangrze w open.net.pl
Czw, 4 Lis 1999, 11:33:56 CET
On Wed, 3 Nov 1999, Bartosz Waszak wrote:
> On pon, lis 01, 1999 at 11:00:14 +0100, Grzegorz Stanislawski wrote:
> > Dla wiekszych( "profesjonalnych") zastosowan trzeba juz portslave'a i
> > radiusa.
>
> Cóż to jest za ,,cudo'' portslave (może by się przydało zrobić z tym pakiet
> - ale i tu trzebaby ustalić jakiś jednolity sposób konfiguracji dial-in,
> chodzi mi o to aby przy zastosowaniu portslave na 50 modemów czy mgetty na 1
> modem konfigurowało się prawie tak samo.
>
Portslave to taki program, ktory zachowuje sie jak getty, z tym ze
auoryzuje userow pytajac sie radiusa. Pozniej ustawia dla nich sesje w
zaleznosci od zawartosci odpowiedzi z serera (ppp, slip, telnet). Nie
wpuszcza userow na lokalna maszyne. Pilnuje rowniez czy user nie
przekracza czegos takiego jak Session-Timeout i rozlacza go w odpowiednim
czasie.
obawiam sie ze nieda sie zrobic tej samej konfiguracji dla portslave
i mgetty. W jakims tam stopniu mozna to razem: przygotowujac trzeci format
i dokonujac konwersji, ale i tak ograniczylo by sie to tylko do
initstringow dla modemu i w ten sposob zblizylibysmy sie niebezpiecznie do
pojecia "driver do modemu".
> PS. Czy jest jakiś server radiusa w PLD, czy pppd wymaga paczowania do
> radiusa aby mogło współpracować z radiusem
W pld powinien byc serwer merit-radiusd.
Sa patche do radiusa dla pppd. ale akurat w przypadku uzywania portslave'a
jest to niepotrzebne (chyba ze ktos upiera sie do autentykacji przez CHAPa)
> czy wystarczy dodanie modulu
> pam_radius do /etc/pam.d/ppp.
Pam nie nadaje sie do tego wogole.
Co najwyzej mozna go uzyc jako jedno ze srodel danych dla radiusa.
(konta lokalne w stosunku do maszyny na ktorej chodzi radius. ale wtedy
wsparcie dla pama musi miec radiusd)
Ale nie odwrotnie. (juz to cwiczylem - nie ma to sensu)
pam_radius jest haczykiem dla tych ktorzy maja gotowe bazy userow
serwowane przez radiusa i chca tym userom udostepnic maszyne linuxowa.
Jak sie buduje taki system od poczatku to lepiej to zrobic np. nisem.
> PS2. Chciałbym się dowiedzieć jakie ficzery daje RADIUS (najlepiej
> porównując go z LDAP, gdyż dwie metody autentykacja to dla mnie troche za
> dużo). Gdzieś słyszałem, że RADIUS może ciągnąc z wielu miejsc dane
> (/etc/passwd, na servie, SQL itp)
>
Dwie (czy wiecej) metody autentykacji to nic strasznego (wszystko zalezy
od aplikacji). Problem jest wtedy gdy massz dwie bazy z userami.
Akurat radius i LDAP ze soba nie koliduja. Ldap jest baza danych a radius
(mniej wiedej) protokolem komunikacyjnym. Mniej wiecej poniewaz radiusd
podejmuje na podstawie bazy danych i requesta decyzje.
Jakie ficzery ma radius?
Ano moze brac dane z kilku baz, moze sie pytac innych serwerow radiusa o
usera (proxy), zapewnia autentykacjie i autoryzacjie usera po wszystkich
atrybutach, jakie klient przyslal (username, pass, adres serwera i port,
pora dnia, protokol itd.)
Zalatwia to ze dane u userach za zdalen w stosunku do maszyny ktora
wpuszcza usera, i szyfruje dane ktore lataja przez siec.
Zalatwia accountincg, czyli zbieranie informacji o sesjach, rowniez do
pliku typu wtmp (tak ze mozn sobie ogladac userow za pomoca last -f )
U mnie radius bierze sobie dane z Postgresa, i autentykuje gosci ktory
sie wdzwaniaja sie na portslave'i na NetServa USR'a oraz czytaja poczte
qmailowym pop3 (tu byl potrzebny specjalny checkpassword). Oczywiscie
accounting wskakuje spowrotem do SQLa.
Miquel van Smoorenburg i Alan DeKok pracuja wlasnie nad nowym serwerem
radiusa (www.freeradius.org), troche tez w tym biore udzial. W kazdym
razie jak projekt sie troche ustabilizuje to zrobie z tego rpma.
> PS3. Obstaje przy zastosowaniu /etc/sysconfig/interfaces/ifcfg-* dla
> konfiguracji ppp gdyż spójna konfiguracja powinna być na pierwszym miejscu.
> pon, poff, plog, zrobic skryptami robiącymi ifup lub ifdown.
>
Fajnie ze ktos sie ze mna zgadza ;-)
> -=[ Bartosz Waszak ]--[ Where there's no emotion, there's no ]=-
>
Grzegorz Stanislawski.
Open-Net / PKFL
Więcej informacji o liście dyskusyjnej pld-devel-pl