Radius (Bylo: Kilka rzeczy ...)

Grzegorz Stanislawski stangrze w open.net.pl
Pią, 30 Kwi 1999, 19:24:55 CEST 

On Fri, 30 Apr 1999, Tomasz Kłoczko wrote:

> On Fri, 30 Apr 1999, Grzegorz Stanislawski wrote:
> [..]
> > -Jakies slady obslugi radiusa sa tez w libpwdb, ale ze sposobu jak to jest
> > tam zrobione wynika ze chlopaki nie maja pojecia jak dziala radius, a
> > mojego patcha ktory to poprawial - olali. Zreszta libpwdb jest martwe od
> > dluzszego czasu.
> 
> Zdaje się, że RH team wqrwiony tym bezruchem sam zaczął się zajmować pwdb
> i wyszła już kolejna wersja. Zdok wynika, że 0.57 ma już NIS, a w RH 6.0
> jest 0.58. Z diff-a miedzy 0.57 i 0.58 wynika, że poprawiono tam obsługę
Nis byl juz od dawna, tylko bez shadow'a, pewnie wkoncu dorobili. 

> rekord uzyskiwany z zapytanai poprzez pwdb. Widać, że konsekwentnie radius
> jest konserwowany (nie jest nic usuwane, a tylko przebudowywane).
 hehe, bo tam niewiele jest ;-)

>
Jest jeszcze jedna rzecz z pwdb+PAM (samo pwdb nie da sie zrobic bo ma za
slaba autentkyacje).
Baza danych z userami, obojetnie jaka by byla, jest przeszukiwana przez
taki uklad 5 razy, kolejno
pam_pwdb (auth)
pam_pwdb (acct)
pam_pwdb (passwd)
pam_pwdb (session)
i raz przez sama aplikacje 
Znam przypadki gdzie admini narzekali se jest to zbyt wolne w przypadku
samego nawet vanilaunix lub shadow. Jesli bylby to radius to trzeba
przemnorzyc przez to czas transmisji przez siec i reakcji serwera.
Pomijam juz to jak bedzie wygladal przy takim najezdzie serwer i jego
logi. 

IMHO jesli mielibysmy zrobic z radiusa jakis wazny element systemu to:
1. trzeba ustalic numeracje atrybutow unixowych (uig gid gecos shell dir
etc) i wstawic to do dictionary. Najlepiej by bylo zeby byly to "Vendor
Specific Attributes" wtedy bedzie latwiej nie zderzyc sie z jakimis innymi
slownikami (atrbuty pomiedzy serwerem i klijentem sa przenoszone wlasnie
przez numery. Serwer na podstewie swojego dict zamienia jes na numery a
klijent na podstawie swojego robi odwrotnie).
2. Zrobienie serwera.
 Niestety jak Vendor Specific to odpada Liningston radiusd krory AFAIK
nie ma wsparcia dla tegoz (chyba ze dorobili). Zostaje merit, ktory jest
troche kobylasty, albo napisanie wlasnego. (w mericie widzialem jakies API
do pisania pluginow z innymi sposobami autentykacji wies moze sie
przydac).
Napisane wlasnego nie jest porwaniem sie z motyka na slonce, mam
biblioteke libradius dzieki ktorej prostego serwera mozna napisac w 60
linijkach kodu.
 Serwer trzeba rozszerzyc o info_request, zapytanie ktore zwroci nietajne
dane na temat usera. (dla takich aplikajci jak finger)

3. Zrobienie strony klienckiej.
 Ja bym to widzial w postaci modulu do PNIAM'a.

Do tego (jakby niezaleznie) przerobienie wszystkich programow ktore maja
cos wspolnego z kontami userow zeby uzywaly pniama.

> kloczek
> -- 
Grzegorz Stanislawski
Open-Net / PKFL

Więcej informacji o liście dyskusyjnej pld-devel-pl