Re: Tacacs+ сервер
> воткнуть, чтобы узнать что ими можно делать?.. Что касается разговорного > языка, то если бы Гоголю знаком был лишь "активно используемый лексикон", то > мы бы и не узнали никогда об этом Гоголе. А вот безграмотность программиста > почему-то совершенно в порядке вещей. Поверьте и посредственных "писателей" есть и было масса, которые впрочем канули в лету. -- best regards Murat D. Kadirov -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Tacacs+ сервер
Andrey Melnikoff wrote: Нет. радиус это средство для авторизации и аутентификации. а статистику он собирает постольку-поскольку. В случае с ISG так вообще может быть на один сеанс по 10 старт-стоп записей. Несогласен. http://en.wikipedia.org/wiki/RADIUS Accounting Accounting is described in RFC 2866. * When network access is granted to the user by the NAS, an Accounting Start request is sent by the NAS to the RADIUS server to signal the start of the user's network access. "Start" records typically contain the user's identification, network address, point of attachment and a unique session identifier. * Periodically, Interim Accounting records may be sent by the NAS to the RADIUS server, to update it on the status of an active session. "Interim" records typically convey the current session duration and information on current data usage. * Finally, when the user's network access is closed, the NAS issues a final Accounting Stop record to the RADIUS server, providing information on the final usage in terms of time, packets transferred, data transferred, reason for disconnect and other information related to the user's network access. The primary purpose of this data is that the user can be billed accordingly; the data is also commonly used for statistical purposes and for general network monitoring. -- Peter Teslenko Jabber: [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Tacacs+ сервер
Alexey Pechnikov <[EMAIL PROTECTED]> wrote: > > > смотреть на него если и нужно, то в процессе аутентификации, а не после. > > > Информация о звонке идет в основном в атрибутах с префиксом "h323-": > > > h323-call-type=Telephony subscriber=RegularLine > > > h323-connect-time=14:10:45.996 MSK Wed Jun 25 2008 > > > h323-disconnect-time=14:11:39.971 MSK Wed Jun 25 2008 > > > h323-disconnect-cause=10 h323-ivr-out=Tariff:Unknown h323-voice-quality=0 > > > и т.п. > > > > всё то-же самое отдается в радиусе. > В радиусе все атрибуты доступны или только урезанное их подмножество? $ grep -hc ^ATTRIBUTE dictionary.all 3887 этого хватит ? > > > А разве ваш радиус отдает логи не в формате NetFlow? Сама циска их шлет > > > как раз в NetFlow? > > > > Точно, на лоботомию пора. Это два РАЗНЫХ сервиса со своими протоколами. И > > одних версий данный netflow порядка 10 разновидностей. > > А то, что всякие биллингисты мешают их в одно ядро - так это им просто > > удобно, ибо не надо морочиться с IPC. > То есть радиус не умеет собирать данные по своему протоколу и отдавать > коллектору в NetFlow? Нет. радиус это средство для авторизации и аутентификации. а статистику он собирает постольку-поскольку. В случае с ISG так вообще может быть на один сеанс по 10 старт-стоп записей. > Мне без надобности, просто странно - винегрет > получается при сборе логов и напрямую с цисок (не все циски обязательно через > радиус работают) и через радиус. Оно еще и по SNMP умеет отдаваться... -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Tacacs+ сервер
В Срд, 02/07/2008 в 13:20 +0400, Alexey Pechnikov пишет: > > >> http://yosefk.com/c++fqa/ > > > > > > "With C++ developers, the rule is that 80% of the developers understand > > > at most 20% of the language" > > > > > > Прикольно. > > > >Один из сомнительных аргументов. В обычном языке > > активно используемый лексикон ~20% общего словаря. > > Правда понимать и использовать немного разные > > вещи, но как оценивать понимание языка в процентах... > > Как я понимаю, это закон Парето подразумевается, в смысле принципа > дисбаланса, > а не точного количественного показателя. Но что сказать о хирурге, который > умеет только скальпелем пользоваться, а остальные инструменты пробует сначала > воткнуть, чтобы узнать что ими можно делать?.. Что касается разговорного > языка, то если бы Гоголю знаком был лишь "активно используемый лексикон", то > мы бы и не узнали никогда об этом Гоголе. А вот безграмотность программиста > почему-то совершенно в порядке вещей. Так везде и во всём. Типа, не всем дано :) -- Покотиленко Костик <[EMAIL PROTECTED]> -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Tacacs+ сервер
> >> http://yosefk.com/c++fqa/ > > > > "With C++ developers, the rule is that 80% of the developers understand > > at most 20% of the language" > > > > Прикольно. > >Один из сомнительных аргументов. В обычном языке > активно используемый лексикон ~20% общего словаря. > Правда понимать и использовать немного разные > вещи, но как оценивать понимание языка в процентах... Как я понимаю, это закон Парето подразумевается, в смысле принципа дисбаланса, а не точного количественного показателя. Но что сказать о хирурге, который умеет только скальпелем пользоваться, а остальные инструменты пробует сначала воткнуть, чтобы узнать что ими можно делать?.. Что касается разговорного языка, то если бы Гоголю знаком был лишь "активно используемый лексикон", то мы бы и не узнали никогда об этом Гоголе. А вот безграмотность программиста почему-то совершенно в порядке вещей. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Tacacs+ сервер
В Срд, 02/07/2008 в 11:08 +0200, [EMAIL PROTECTED] пишет: > On Wed, 2 Jul 2008, > =?KOI8-R?Q?=F0=CF=CB=CF=D4=C9=CC=C5=CE=CB=CF_=EB=CF=D3=D4=C9=CB_ wrote: > > > В Вто, 01/07/2008 в 22:28 +0400, Artem Chuprina пишет: > >> Покотиленко Костик -> debian-russian@lists.debian.org @ Tue, 01 Jul 2008 > >> 18:50:27 +0300: > >> > >> ПК> Сори, что влез, но интересно, чем c++ так плох?? Сам его не люблю, но > >> ПК> думал вследствие того, что его не знаю. > >> > >> http://yosefk.com/c++fqa/ > > > > "With C++ developers, the rule is that 80% of the developers understand > > at most 20% of the language" > > > > Прикольно. > > > >Один из сомнительных аргументов. В обычном языке > активно используемый лексикон ~20% общего словаря. > Правда понимать и использовать немного разные > вещи, но как оценивать понимание языка в процентах... Тоже правильно. Так чем же С++ хуже? ;) -- Покотиленко Костик <[EMAIL PROTECTED]> -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Tacacs+ сервер
On Wed, 2 Jul 2008, =?KOI8-R?Q?=F0=CF=CB=CF=D4=C9=CC=C5=CE=CB=CF_=EB=CF=D3=D4=C9=CB_ wrote: В Вто, 01/07/2008 в 22:28 +0400, Artem Chuprina пишет: Покотиленко Костик -> debian-russian@lists.debian.org @ Tue, 01 Jul 2008 18:50:27 +0300: ПК> Сори, что влез, но интересно, чем c++ так плох?? Сам его не люблю, но ПК> думал вследствие того, что его не знаю. http://yosefk.com/c++fqa/ "With C++ developers, the rule is that 80% of the developers understand at most 20% of the language" Прикольно. Один из сомнительных аргументов. В обычном языке активно используемый лексикон ~20% общего словаря. Правда понимать и использовать немного разные вещи, но как оценивать понимание языка в процентах... Ю.
Re: Tacacs+ сервер
В Вто, 01/07/2008 в 22:28 +0400, Artem Chuprina пишет: > Покотиленко Костик -> debian-russian@lists.debian.org @ Tue, 01 Jul 2008 > 18:50:27 +0300: > > ПК> Сори, что влез, но интересно, чем c++ так плох?? Сам его не люблю, но > ПК> думал вследствие того, что его не знаю. > > http://yosefk.com/c++fqa/ "With C++ developers, the rule is that 80% of the developers understand at most 20% of the language" Прикольно. -- Покотиленко Костик <[EMAIL PROTECTED]> -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Tacacs+ сервер
> > По протоколу такакс циска честно рассазывает все что знает. Разве что > > мак-адрес в такаксе не знаю как получить, но польза его сомнительна, ибо > > Утож. Это вам в телефонии сомнительна, а во всяких там вайфаях очень даже > полезна, ибо по нему можно клиентов сортировать и управлять миграцией. А-а-а, спасибо, буду знать. > > > смотреть на него если и нужно, то в процессе аутентификации, а не после. > > Информация о звонке идет в основном в атрибутах с префиксом "h323-": > > h323-call-type=Telephony subscriber=RegularLine > > h323-connect-time=14:10:45.996 MSK Wed Jun 25 2008 > > h323-disconnect-time=14:11:39.971 MSK Wed Jun 25 2008 > > h323-disconnect-cause=10 h323-ivr-out=Tariff:Unknown h323-voice-quality=0 > > и т.п. > > всё то-же самое отдается в радиусе. В радиусе все атрибуты доступны или только урезанное их подмножество? > > А разве ваш радиус отдает логи не в формате NetFlow? Сама циска их шлет > > как раз в NetFlow? > > Точно, на лоботомию пора. Это два РАЗНЫХ сервиса со своими протоколами. И > одних версий данный netflow порядка 10 разновидностей. > А то, что всякие биллингисты мешают их в одно ядро - так это им просто > удобно, ибо не надо морочиться с IPC. То есть радиус не умеет собирать данные по своему протоколу и отдавать коллектору в NetFlow? Мне без надобности, просто странно - винегрет получается при сборе логов и напрямую с цисок (не все циски обязательно через радиус работают) и через радиус. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Tacacs+ сервер
Alexey Pechnikov <[EMAIL PROTECTED]> wrote: > В сообщении от Wednesday 02 July 2008 09:59:23 Andrey Melnikoff написал(а): > > Alexey Pechnikov <[EMAIL PROTECTED]> wrote: > > > В сообщении от Tuesday 01 July 2008 23:31:59 Dmitriy Sirant написал(а): > > > > Alexey Pechnikov пишет: > > > > > В сообщении от Tuesday 01 July 2008 16:44:43 Andrey Melnikoff > написал(а): > > > > >> А можно поинтересоваться - почему благородных донов не устраивает > > > > >> radius ? На свой фирменный протокол tatacs cisco забило болт уже как > > > > >> лет 8, и всё что умело в то время tacacs давно научилось radius. > > > > > > > > > > Кстати, радиус только UDP умеет или можно через TCP прикрутить? UDP > > > > > для телефонии не годится, потеря 5% это кирдык статистике. > > > > > > > > Ммм... а у Вас access server и billing (radius) териториально разнесены > > > > ? Даже если да, то в радиусе есть настройки таймаута и количество > > > > повторных отправок данных, поэтому вероятность потери стремится к нулю > > > > (я надеюсь). > > > > > > Да, разнесены. А настройки повторов касаются авторизации, на которую > > > циска ждет ответ и может узнать, надо повторять или нет, а поскольку > > > аккаунтинг это только передача данных с циски, то никакой гарантии > > > доставки нет и проверить доставку по UDP нельзя. И NetFlow уж лучше > > > напрямую гонять с циски на > > > > В случае tcp - тоже. Потеря 5% пакетов и для tcp тоже станет проблемой. > > Собственно поэтому мы tacacs+ и выкинули. Трафика между NAS'ами и сервером > > авторизации оно жрет больше, тормозит вследствии tcp. Да, radius послыает > > Accounting response на каждый accounting пакет. Так что кошка может > > догадаться, что пакет радиус не получил. И еще один большой плюс - > > Inteim-update - в такасе такого нету и не будет, ибо протокол сессионный. > > > > Выжми из такаса вот это: > > . > > Connect Info Attribute (77), length: 26, Value: 4/26400 V90/V44/LAPM > > Vendor Specific Attribute (26), length: 55, Value: Vendor: Cisco (9) > >Vendor Attribute: 1, Length: 47, Value: v92-info=V.92 QC MOH/QC Short > > Train Success/0/0 . > > или вот это: > >Vendor Specific Attribute (26), length: 41, Value: Vendor: Cisco (9) > > Vendor Attribute: 1, Length: 33, Value: > > client-mac-address=0030.9412.f919 > Это что? Атрибуты. > По протоколу такакс циска честно рассазывает все что знает. Разве что > мак-адрес в такаксе не знаю как получить, но польза его сомнительна, ибо Утож. Это вам в телефонии сомнительна, а во всяких там вайфаях очень даже полезна, ибо по нему можно клиентов сортировать и управлять миграцией. > смотреть на него если и нужно, то в процессе аутентификации, а не после. > Информация о звонке идет в основном в атрибутах с префиксом "h323-": > h323-call-type=Telephony subscriber=RegularLine > h323-connect-time=14:10:45.996 MSK Wed Jun 25 2008 > h323-disconnect-time=14:11:39.971 MSK Wed Jun 25 2008 > h323-disconnect-cause=10 h323-ivr-out=Tariff:Unknown h323-voice-quality=0 и > т.п. всё то-же самое отдается в радиусе. > > > > > коллектор, а не через радиус на коллектор. > > > > У вас замутнен разум. netflow и radius это две разные разницы а не "муж и > > жена" (C) > А разве ваш радиус отдает логи не в формате NetFlow? Сама циска их шлет как > раз в NetFlow? Точно, на лоботомию пора. Это два РАЗНЫХ сервиса со своими протоколами. И одних версий данный netflow порядка 10 разновидностей. А то, что всякие биллингисты мешают их в одно ядро - так это им просто удобно, ибо не надо морочиться с IPC. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Tacacs+ сервер
В сообщении от Wednesday 02 July 2008 10:31:47 Andrey Melnikoff написал(а): > Alexey Pechnikov <[EMAIL PROTECTED]> wrote: > > В сообщении от Tuesday 01 July 2008 18:22:01 Andrey Melnikoff написал(а): > > > Alexey Pechnikov <[EMAIL PROTECTED]> wrote: > > > > В сообщении от Tuesday 01 July 2008 16:44:43 Andrey Melnikoff написал(а): > > > > > А можно поинтересоваться - почему благородных донов не устраивает > > > > > radius ? > > > > > > > > Если уж зашла речь о радиусе, может, посоветуете надежный и простой > > > > радиус-сервер, написанный или на С или на скриптовых языках? Мне > > > > потребуется работа с sqlite БД, но это я и сам напишу. В этче и ленни > > > > есть xtradius, > > > > > > Неповеришь - есть freeradius в котором (сюрприз) sqlite уже давно > > > прикручен. > > > > Команда > > aptitude search freeradius > > ничего связанного с sqlite не показывает. PostgreSQL и MySQL показывает. > > Где искать SQLite? > > возьми из sid'a и пересобери. В нем rlm_sqlite помечен как > эксперементальный, вот его и не собирают по дефолту. Спасибо, так и сделаю. А сам freeradius стабильно работает? Или какие-то функции в нем лучше не трогать? -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Tacacs+ сервер
Alexey Pechnikov пишет: коллектор, а не через радиус на коллектор. У вас замутнен разум. netflow и radius это две разные разницы а не "муж и жена" (C) А разве ваш радиус отдает логи не в формате NetFlow? Сама циска их шлет как раз в NetFlow? Ммм... нет. Netflow - дамп трафика всего. Radius accounting зависит от девайса который посылает данный акаунтинг, например вот что при терминации pppoe приходит в аккаунтинге: Это данные на начало сессии: Wed Jul 2 09:12:41 2008 Acct-Session-Id = "C1EE740900052027" Cisco-AVPair = "client-mac-address=0002.2db5.2a58" Framed-Protocol = PPP User-Name = "bulgag36" Cisco-AVPair = "connect-progress=Call Up" Acct-Authentic = RADIUS Acct-Status-Type = Start NAS-Port-Type = 5 Attr-9-2 = "0/0/0/109" NAS-Port-Id = 0 Service-Type = Framed-User NAS-IP-Address = 193.238.x.x Attr-55 = "Hk\034Y" Acct-Delay-Time = 0 Client-IP-Address = 193.238.x.x Timestamp = 1214979161 Request-Authenticator = Verified Это уже alive пакет, которые посылаются каждые n сек. Wed Jul 2 09:17:26 2008 Acct-Session-Id = "C1EE740900052027" Cisco-AVPair = "client-mac-address=0002.2db5.2a58" Framed-Protocol = PPP Framed-IP-Address = 193.238.x.x User-Name = "bulgag36" Cisco-AVPair = "connect-progress=LAN Ses Up" Cisco-AVPair = "nas-tx-speed=1" Cisco-AVPair = "nas-rx-speed=1" Acct-Session-Time = 285 Acct-Input-Octets = 124239 Acct-Output-Octets = 333248 Acct-Input-Packets = 1261 Acct-Output-Packets = 1199 Acct-Authentic = RADIUS Acct-Status-Type = Alive NAS-Port-Type = 5 Attr-9-2 = "0/0/0/109" NAS-Port-Id = 0 Service-Type = Framed-User NAS-IP-Address = 193.238.x.x Attr-55 = "Hk\035v" Acct-Delay-Time = 0 Client-IP-Address = 193.238.x.x Timestamp = 1214979446 Request-Authenticator = Verified Потом еще есть stop пакет, где финальные данные по сессии, его искть сейчас влом, но он содержит в принципе туже информацию что и alive. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Tacacs+ сервер
Alexey Pechnikov wrote: > Да, разнесены. А настройки повторов касаются авторизации, на которую циска > ждет ответ и может узнать, надо повторять или нет, а поскольку аккаунтинг это > только передача данных с циски, то никакой гарантии доставки нет и проверить > доставку по UDP нельзя. И NetFlow уж лучше напрямую гонять с циски на > коллектор, а не через радиус на коллектор. Из rfc2866: Upon receipt of an Accounting-Request, the server MUST transmit an Accounting-Response reply if it successfully records the accounting packet, and MUST NOT transmit any reply if it fails to record the accounting packet. К тому же слать одновременно на 2-3 хоста оборудование cisco позволяет. У некоторых других вендоров тоже. А тем, у кого 5% потерь на каналах наверно надо решать проблемы с каналами, а не со сбором статистики. -- tarantul -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Tacacs+ сервер
Alexey Pechnikov <[EMAIL PROTECTED]> wrote: > В сообщении от Tuesday 01 July 2008 18:22:01 Andrey Melnikoff написал(а): > > Alexey Pechnikov <[EMAIL PROTECTED]> wrote: > > > В сообщении от Tuesday 01 July 2008 16:44:43 Andrey Melnikoff написал(а): > > > > А можно поинтересоваться - почему благородных донов не устраивает > > > > radius ? > > > > > > Если уж зашла речь о радиусе, может, посоветуете надежный и простой > > > радиус-сервер, написанный или на С или на скриптовых языках? Мне > > > потребуется работа с sqlite БД, но это я и сам напишу. В этче и ленни > > > есть xtradius, > > > > Неповеришь - есть freeradius в котором (сюрприз) sqlite уже давно > > прикручен. > Команда > aptitude search freeradius > ничего связанного с sqlite не показывает. PostgreSQL и MySQL показывает. Где > искать SQLite? возьми из sid'a и пересобери. В нем rlm_sqlite помечен как эксперементальный, вот его и не собирают по дефолту. > > > который работает со скриптами, но не уверен в достойной > > > производительности > > > > И да - оно таки умеет делать exec() для нужных модулей и умеет перл > > искапропки. > Буду смотреть, раз столько полезностей разработчики предусмотрели. rlm_perl тоже эксперементальный. > > > > > такого решения. Да, сервер на С++ не предлагать. > > > > а что - кто-то умурился такое написать ? (ну за исключением того, что я ща > > наблюдаю унутре своих неонок). > Squid3 написали. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Tacacs+ сервер
В сообщении от Wednesday 02 July 2008 09:59:23 Andrey Melnikoff написал(а): > Alexey Pechnikov <[EMAIL PROTECTED]> wrote: > > В сообщении от Tuesday 01 July 2008 23:31:59 Dmitriy Sirant написал(а): > > > Alexey Pechnikov пишет: > > > > В сообщении от Tuesday 01 July 2008 16:44:43 Andrey Melnikoff написал(а): > > > >> А можно поинтересоваться - почему благородных донов не устраивает > > > >> radius ? На свой фирменный протокол tatacs cisco забило болт уже как > > > >> лет 8, и всё что умело в то время tacacs давно научилось radius. > > > > > > > > Кстати, радиус только UDP умеет или можно через TCP прикрутить? UDP > > > > для телефонии не годится, потеря 5% это кирдык статистике. > > > > > > Ммм... а у Вас access server и billing (radius) териториально разнесены > > > ? Даже если да, то в радиусе есть настройки таймаута и количество > > > повторных отправок данных, поэтому вероятность потери стремится к нулю > > > (я надеюсь). > > > > Да, разнесены. А настройки повторов касаются авторизации, на которую > > циска ждет ответ и может узнать, надо повторять или нет, а поскольку > > аккаунтинг это только передача данных с циски, то никакой гарантии > > доставки нет и проверить доставку по UDP нельзя. И NetFlow уж лучше > > напрямую гонять с циски на > > В случае tcp - тоже. Потеря 5% пакетов и для tcp тоже станет проблемой. > Собственно поэтому мы tacacs+ и выкинули. Трафика между NAS'ами и сервером > авторизации оно жрет больше, тормозит вследствии tcp. Да, radius послыает > Accounting response на каждый accounting пакет. Так что кошка может > догадаться, что пакет радиус не получил. И еще один большой плюс - > Inteim-update - в такасе такого нету и не будет, ибо протокол сессионный. > > Выжми из такаса вот это: > . > Connect Info Attribute (77), length: 26, Value: 4/26400 V90/V44/LAPM > Vendor Specific Attribute (26), length: 55, Value: Vendor: Cisco (9) >Vendor Attribute: 1, Length: 47, Value: v92-info=V.92 QC MOH/QC Short > Train Success/0/0 . > или вот это: >Vendor Specific Attribute (26), length: 41, Value: Vendor: Cisco (9) > Vendor Attribute: 1, Length: 33, Value: > client-mac-address=0030.9412.f919 Это что? По протоколу такакс циска честно рассазывает все что знает. Разве что мак-адрес в такаксе не знаю как получить, но польза его сомнительна, ибо смотреть на него если и нужно, то в процессе аутентификации, а не после. Информация о звонке идет в основном в атрибутах с префиксом "h323-": h323-call-type=Telephony subscriber=RegularLine h323-connect-time=14:10:45.996 MSK Wed Jun 25 2008 h323-disconnect-time=14:11:39.971 MSK Wed Jun 25 2008 h323-disconnect-cause=10 h323-ivr-out=Tariff:Unknown h323-voice-quality=0 и т.п. > > > коллектор, а не через радиус на коллектор. > > У вас замутнен разум. netflow и radius это две разные разницы а не "муж и > жена" (C) А разве ваш радиус отдает логи не в формате NetFlow? Сама циска их шлет как раз в NetFlow? -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Tacacs+ сервер
Alexey Pechnikov <[EMAIL PROTECTED]> wrote: > В сообщении от Tuesday 01 July 2008 23:31:59 Dmitriy Sirant написал(а): > > Alexey Pechnikov пишет: > > > В сообщении от Tuesday 01 July 2008 16:44:43 Andrey Melnikoff написал(а): > > >> А можно поинтересоваться - почему благородных донов не устраивает radius > > >> ? На свой фирменный протокол tatacs cisco забило болт уже как лет 8, и > > >> всё что умело в то время tacacs давно научилось radius. > > > > > > Кстати, радиус только UDP умеет или можно через TCP прикрутить? UDP для > > > телефонии не годится, потеря 5% это кирдык статистике. > > > > Ммм... а у Вас access server и billing (radius) териториально разнесены > > ? Даже если да, то в радиусе есть настройки таймаута и количество > > повторных отправок данных, поэтому вероятность потери стремится к нулю > > (я надеюсь). > Да, разнесены. А настройки повторов касаются авторизации, на которую циска > ждет ответ и может узнать, надо повторять или нет, а поскольку аккаунтинг это > только передача данных с циски, то никакой гарантии доставки нет и проверить > доставку по UDP нельзя. И NetFlow уж лучше напрямую гонять с циски на В случае tcp - тоже. Потеря 5% пакетов и для tcp тоже станет проблемой. Собственно поэтому мы tacacs+ и выкинули. Трафика между NAS'ами и сервером авторизации оно жрет больше, тормозит вследствии tcp. Да, radius послыает Accounting response на каждый accounting пакет. Так что кошка может догадаться, что пакет радиус не получил. И еще один большой плюс - Inteim-update - в такасе такого нету и не будет, ибо протокол сессионный. Выжми из такаса вот это: . Connect Info Attribute (77), length: 26, Value: 4/26400 V90/V44/LAPM Vendor Specific Attribute (26), length: 55, Value: Vendor: Cisco (9) Vendor Attribute: 1, Length: 47, Value: v92-info=V.92 QC MOH/QC Short Train Success/0/0 . или вот это: Vendor Specific Attribute (26), length: 41, Value: Vendor: Cisco (9) Vendor Attribute: 1, Length: 33, Value: client-mac-address=0030.9412.f919 > коллектор, а не через радиус на коллектор. У вас замутнен разум. netflow и radius это две разные разницы а не "муж и жена" (C) -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Tacacs+ сервер
Alexey Pechnikov <[EMAIL PROTECTED]> wrote: > > > Требование заказчика - для работы с телефонией, в т.ч. VoIP. Все > > > "телефонное" оборудование умеет работать с такаксом, а на радиусе только > > > аутентифицироваться может, так что даже при использовании радиуса все > > > равно > > > > Та што ви говорите ? Вон у народа всё на радиусах крутиться и ничего. > Народ - это собственно кто? Билинг "Абсолют" с такаксом работает (и с > радиусом), в газпроме такакс-сервера работают (и радиус тоже) и много где > еще. Про использование только радиуса слышал лишь от админов одного мелкого > провайдера, и то они так и не смогли радиус настроить :-) И что ? > > > нужен такакс-сервер для аккаунтинга. Насчет "забило болт" - это не так - > > > даже > > > > radius вполние принимает и аккаунтинг. И так-же передает акли, и прочие > > привелегии с рестрикшинами. > В рассылку описание аккаунтинга на цисках as5300 через радиус. А также способ Что в твоем понимании аккаунтинг ? > установки уровня доступа (av-пара priv-lvl=N, где N=[1,15] - уровнень > доступа). temnota User-Password == "..." Service-Type = NAS-Prompt-User, Auth-Type = System, Cisco-AVPair = "shell:priv-lvl=15" страшна, да ? > > > самые последние модели цисок умеют работать с такаксом. > > > > По старинке. Предлогаю попробовать на кошках авторизовать клиента с > > MSCHAPv2 в такасе. > Для mschap требуется какой-то там ключ от микрософт, за неимением которого > обработка производится на циске. Кроме того, используется md4 алгоритм. > Возможно, в версии 2 что-то и поправили... или сломали. Но чем вас не > устраивает стандартный chap с md5? Тем, что во всяких свистах надо пользователям ручки тыркать. А они этого не умеют и не любят. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Tacacs+ сервер
В сообщении от Tuesday 01 July 2008 23:31:59 Dmitriy Sirant написал(а): > Alexey Pechnikov пишет: > > В сообщении от Tuesday 01 July 2008 16:44:43 Andrey Melnikoff написал(а): > >> А можно поинтересоваться - почему благородных донов не устраивает radius > >> ? На свой фирменный протокол tatacs cisco забило болт уже как лет 8, и > >> всё что умело в то время tacacs давно научилось radius. > > > > Кстати, радиус только UDP умеет или можно через TCP прикрутить? UDP для > > телефонии не годится, потеря 5% это кирдык статистике. > > Ммм... а у Вас access server и billing (radius) териториально разнесены > ? Даже если да, то в радиусе есть настройки таймаута и количество > повторных отправок данных, поэтому вероятность потери стремится к нулю > (я надеюсь). Да, разнесены. А настройки повторов касаются авторизации, на которую циска ждет ответ и может узнать, надо повторять или нет, а поскольку аккаунтинг это только передача данных с циски, то никакой гарантии доставки нет и проверить доставку по UDP нельзя. И NetFlow уж лучше напрямую гонять с циски на коллектор, а не через радиус на коллектор. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Tacacs+ сервер
Alexey Pechnikov пишет: В сообщении от Tuesday 01 July 2008 16:44:43 Andrey Melnikoff написал(а): А можно поинтересоваться - почему благородных донов не устраивает radius ? На свой фирменный протокол tatacs cisco забило болт уже как лет 8, и всё что умело в то время tacacs давно научилось radius. Кстати, радиус только UDP умеет или можно через TCP прикрутить? UDP для телефонии не годится, потеря 5% это кирдык статистике. Ммм... а у Вас access server и billing (radius) териториально разнесены ? Даже если да, то в радиусе есть настройки таймаута и количество повторных отправок данных, поэтому вероятность потери стремится к нулю (я надеюсь). -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Tacacs+ сервер
Покотиленко Костик -> debian-russian@lists.debian.org @ Tue, 01 Jul 2008 18:50:27 +0300: ПК> Сори, что влез, но интересно, чем c++ так плох?? Сам его не люблю, но ПК> думал вследствие того, что его не знаю. http://yosefk.com/c++fqa/ -- Artem Chuprina RFC2822: Jabber: [EMAIL PROTECTED] Как в notepad тексты редактировать? Руками каждую букву набирать, что ли? (c)vitus -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Tacacs+ сервер
> "Трафик VoIP критичен к задержкам пакетов в сети, но обладает толерантностью > (устойчивостью) к потерям отдельных пакетов. Так, потеря до 5 % пакетов не > приводит к ухудшению разборчивости речи." Угу, а благодаря сотовым операторам клиенты теперь обладают толерантностью к любому качеству связи. -- С уважением, Константин Матюхин
Re: Tacacs+ сервер
В Вто, 01/07/2008 в 18:22 +0400, Andrey Melnikoff пишет: > Alexey Pechnikov <[EMAIL PROTECTED]> wrote: > > В сообщении от Tuesday 01 July 2008 16:44:43 Andrey Melnikoff написал(а): > > > А можно поинтересоваться - почему благородных донов не устраивает radius ? > > > Если уж зашла речь о радиусе, может, посоветуете надежный и простой > > радиус-сервер, написанный или на С или на скриптовых языках? Мне > > потребуется > > работа с sqlite БД, но это я и сам напишу. В этче и ленни есть xtradius, > Неповеришь - есть freeradius в котором (сюрприз) sqlite уже давно прикручен. > > > который работает со скриптами, но не уверен в достойной производительности > И да - оно таки умеет делать exec() для нужных модулей и умеет перл > искапропки. > > > такого решения. Да, сервер на С++ не предлагать. > а что - кто-то умурился такое написать ? (ну за исключением того, что я ща > наблюдаю унутре своих неонок). Сори, что влез, но интересно, чем c++ так плох?? Сам его не люблю, но думал вследствие того, что его не знаю. -- Покотиленко Костик <[EMAIL PROTECTED]> -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Tacacs+ сервер
В сообщении от Tuesday 01 July 2008 21:33:58 Konstantin Matyukhin написал(а): > > Кстати, радиус только UDP умеет или можно через TCP прикрутить? UDP для > > телефонии не годится, потеря 5% это кирдык статистике. > > Для начала, потеря 5% это кирдык телефонии. С чего бы это? см. http://ru.wikipedia.org/wiki/VoIP "Трафик VoIP критичен к задержкам пакетов в сети, но обладает толерантностью (устойчивостью) к потерям отдельных пакетов. Так, потеря до 5 % пакетов не приводит к ухудшению разборчивости речи." -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Tacacs+ сервер
> Кстати, радиус только UDP умеет или можно через TCP прикрутить? UDP для > телефонии не годится, потеря 5% это кирдык статистике. Для начала, потеря 5% это кирдык телефонии. -- С уважением, Константин Матюхин
Re: Tacacs+ сервер
В сообщении от Tuesday 01 July 2008 16:44:43 Andrey Melnikoff написал(а): > А можно поинтересоваться - почему благородных донов не устраивает radius ? > На свой фирменный протокол tatacs cisco забило болт уже как лет 8, и всё > что умело в то время tacacs давно научилось radius. Кстати, радиус только UDP умеет или можно через TCP прикрутить? UDP для телефонии не годится, потеря 5% это кирдык статистике. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Tacacs+ сервер
В сообщении от Tuesday 01 July 2008 19:39:21 Max Kosmach написал(а): > Alexey Pechnikov пишет: > >>> нужен такакс-сервер для аккаунтинга. Насчет "забило болт" - это не так > >>> - даже > >> > >> radius вполние принимает и аккаунтинг. И так-же передает акли, и прочие > >> привелегии с рестрикшинами. > > > > В рассылку описание аккаунтинга на цисках as5300 через радиус. А также > > способ установки уровня доступа (av-пара priv-lvl=N, где N=[1,15] - > > уровнень доступа). > > Если я правильно забыл: > про уровни доступа - > http://www.cisco.com/en/US/tech/tk59/technologies_tech_note09186a008009465c >.shtml > > Про аккаунтинг через радиус в as5300 - > http://www.cisco.com/en/US/docs/ios/12_1t/12_1t3/feature/guide/dt_aaara.htm >l > > Оно или нет? Доберусь до работы с радиусом, проверю. Вообще интересно, удастся ли получить доступ ко всей информации, передаваемой ключевыми парами по протоколу tacacs+. Правда, часть железок все равно радиус не поддерживают, но тем не менее. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Tacacs+ сервер
Alexey Pechnikov пишет: нужен такакс-сервер для аккаунтинга. Насчет "забило болт" - это не так - даже radius вполние принимает и аккаунтинг. И так-же передает акли, и прочие привелегии с рестрикшинами. В рассылку описание аккаунтинга на цисках as5300 через радиус. А также способ установки уровня доступа (av-пара priv-lvl=N, где N=[1,15] - уровнень доступа). Если я правильно забыл: про уровни доступа - http://www.cisco.com/en/US/tech/tk59/technologies_tech_note09186a008009465c.shtml Про аккаунтинг через радиус в as5300 - http://www.cisco.com/en/US/docs/ios/12_1t/12_1t3/feature/guide/dt_aaara.html Оно или нет? Каюсь, давно все это было... -- With MBR Max CCSA/CCSE -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Tacacs+ сервер
В сообщении от Tuesday 01 July 2008 18:22:01 Andrey Melnikoff написал(а): > Alexey Pechnikov <[EMAIL PROTECTED]> wrote: > > В сообщении от Tuesday 01 July 2008 16:44:43 Andrey Melnikoff написал(а): > > > А можно поинтересоваться - почему благородных донов не устраивает > > > radius ? > > > > Если уж зашла речь о радиусе, может, посоветуете надежный и простой > > радиус-сервер, написанный или на С или на скриптовых языках? Мне > > потребуется работа с sqlite БД, но это я и сам напишу. В этче и ленни > > есть xtradius, > > Неповеришь - есть freeradius в котором (сюрприз) sqlite уже давно > прикручен. Команда aptitude search freeradius ничего связанного с sqlite не показывает. PostgreSQL и MySQL показывает. Где искать SQLite? > > который работает со скриптами, но не уверен в достойной > > производительности > > И да - оно таки умеет делать exec() для нужных модулей и умеет перл > искапропки. Буду смотреть, раз столько полезностей разработчики предусмотрели. > > > такого решения. Да, сервер на С++ не предлагать. > > а что - кто-то умурился такое написать ? (ну за исключением того, что я ща > наблюдаю унутре своих неонок). Squid3 написали. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Tacacs+ сервер
> > Требование заказчика - для работы с телефонией, в т.ч. VoIP. Все > > "телефонное" оборудование умеет работать с такаксом, а на радиусе только > > аутентифицироваться может, так что даже при использовании радиуса все > > равно > > Та што ви говорите ? Вон у народа всё на радиусах крутиться и ничего. Народ - это собственно кто? Билинг "Абсолют" с такаксом работает (и с радиусом), в газпроме такакс-сервера работают (и радиус тоже) и много где еще. Про использование только радиуса слышал лишь от админов одного мелкого провайдера, и то они так и не смогли радиус настроить :-) > > нужен такакс-сервер для аккаунтинга. Насчет "забило болт" - это не так - > > даже > > radius вполние принимает и аккаунтинг. И так-же передает акли, и прочие > привелегии с рестрикшинами. В рассылку описание аккаунтинга на цисках as5300 через радиус. А также способ установки уровня доступа (av-пара priv-lvl=N, где N=[1,15] - уровнень доступа). > > > самые последние модели цисок умеют работать с такаксом. > > По старинке. Предлогаю попробовать на кошках авторизовать клиента с > MSCHAPv2 в такасе. Для mschap требуется какой-то там ключ от микрософт, за неимением которого обработка производится на циске. Кроме того, используется md4 алгоритм. Возможно, в версии 2 что-то и поправили... или сломали. Но чем вас не устраивает стандартный chap с md5? -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Tacacs+ сервер
Alexey Pechnikov <[EMAIL PROTECTED]> wrote: > В сообщении от Tuesday 01 July 2008 16:44:43 Andrey Melnikoff написал(а): > > А можно поинтересоваться - почему благородных донов не устраивает radius ? > > На свой фирменный протокол tatacs cisco забило болт уже как лет 8, и всё > > что умело в то время tacacs давно научилось radius. > Требование заказчика - для работы с телефонией, в т.ч. VoIP. Все "телефонное" > оборудование умеет работать с такаксом, а на радиусе только > аутентифицироваться может, так что даже при использовании радиуса все равно Та што ви говорите ? Вон у народа всё на радиусах крутиться и ничего. > нужен такакс-сервер для аккаунтинга. Насчет "забило болт" - это не так - даже radius вполние принимает и аккаунтинг. И так-же передает акли, и прочие привелегии с рестрикшинами. > самые последние модели цисок умеют работать с такаксом. По старинке. Предлогаю попробовать на кошках авторизовать клиента с MSCHAPv2 в такасе. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Tacacs+ сервер
Alexey Pechnikov <[EMAIL PROTECTED]> wrote: > В сообщении от Tuesday 01 July 2008 16:44:43 Andrey Melnikoff написал(а): > > А можно поинтересоваться - почему благородных донов не устраивает radius ? > Если уж зашла речь о радиусе, может, посоветуете надежный и простой > радиус-сервер, написанный или на С или на скриптовых языках? Мне потребуется > работа с sqlite БД, но это я и сам напишу. В этче и ленни есть xtradius, Неповеришь - есть freeradius в котором (сюрприз) sqlite уже давно прикручен. > который работает со скриптами, но не уверен в достойной производительности И да - оно таки умеет делать exec() для нужных модулей и умеет перл искапропки. > такого решения. Да, сервер на С++ не предлагать. а что - кто-то умурился такое написать ? (ну за исключением того, что я ща наблюдаю унутре своих неонок). -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Tacacs+ сервер
On Tue, Jul 01, 2008 at 04:44:43PM +0400, Andrey Melnikoff wrote: > > А можно поинтересоваться - почему благородных донов не устраивает > radius ? На свой фирменный протокол tatacs cisco забило болт уже как > лет 8, и всё что умело в то время tacacs давно научилось radius. Через TACACS можно для IOS ограничивать команды в зависимости от логина. Больше преимуществ я не знаю. Что касается продуктов, то у Cisco есть SecureACS. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Tacacs+ сервер
В сообщении от Tuesday 01 July 2008 16:44:43 Andrey Melnikoff написал(а): > А можно поинтересоваться - почему благородных донов не устраивает radius ? Если уж зашла речь о радиусе, может, посоветуете надежный и простой радиус-сервер, написанный или на С или на скриптовых языках? Мне потребуется работа с sqlite БД, но это я и сам напишу. В этче и ленни есть xtradius, который работает со скриптами, но не уверен в достойной производительности такого решения. Да, сервер на С++ не предлагать. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Tacacs+ сервер
В сообщении от Tuesday 01 July 2008 16:44:43 Andrey Melnikoff написал(а): > А можно поинтересоваться - почему благородных донов не устраивает radius ? > На свой фирменный протокол tatacs cisco забило болт уже как лет 8, и всё > что умело в то время tacacs давно научилось radius. Требование заказчика - для работы с телефонией, в т.ч. VoIP. Все "телефонное" оборудование умеет работать с такаксом, а на радиусе только аутентифицироваться может, так что даже при использовании радиуса все равно нужен такакс-сервер для аккаунтинга. Насчет "забило болт" - это не так - даже самые последние модели цисок умеют работать с такаксом. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Tacacs+ сервер
Alexey Pechnikov <[EMAIL PROTECTED]> wrote: > В сообщении от Tuesday 01 July 2008 11:16:32 Nick 'tarantul' Novikov > написал(а): > > Alexey Pechnikov wrote: > > >>> Сделал в такаксе аутентификацию через sqlite, переопределив директиву > > >>> "file" для указания файла базы. Пароли в базе хранятся шифрованные md5. > > >>> Поддержку mschap с алгоритмом md4 выбросил нафиг. Для авторизации > > >>> запуск внешних скриптов сделал через tclsh вместо bash. Планирую > > >>> сделать логирование в sqlite-базу, сейчас разбираюсь, какую информацию > > >>> в каком виде хранить. > > >>> > > >>> Если кого интересует, обращайтесь. deb-пакета нет, собирается > > >>> стандартными configure;make;make install. > > >> > > >> А я хотел переписать его на erlang, но стало лень. > > > > > > Тоже есть мысль переписать на тикле, но пока не собрался. Имхо, эрланг не > > > очень удобный вариант, поскольку делать скрипты > > > аутентификации/авторизации легче на тикле, да и в циски тикль встроен. > > > > Скрипты по моему сугубо личному мнению надо писать на чем хочется, > > задача сервера лишь организовать IPC. Например через popen. > Я тоже об этом подумал, вернул /bin/sh. Просто подкладываю тиклевские скрипты > с оберткой > #!/bin/sh > # the next line restarts using tclsh \ > exec tclsh "$0" "$@" > А вообще чем дольше копаю, тем хуже впечатление - большая свалка этот код. > Аутентификация проходит 4 (!) раза и прочие "прелести". А можно поинтересоваться - почему благородных донов не устраивает radius ? На свой фирменный протокол tatacs cisco забило болт уже как лет 8, и всё что умело в то время tacacs давно научилось radius. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Tacacs+ сервер
В сообщении от Tuesday 01 July 2008 11:16:32 Nick 'tarantul' Novikov написал(а): > Alexey Pechnikov wrote: > >>> Сделал в такаксе аутентификацию через sqlite, переопределив директиву > >>> "file" для указания файла базы. Пароли в базе хранятся шифрованные md5. > >>> Поддержку mschap с алгоритмом md4 выбросил нафиг. Для авторизации > >>> запуск внешних скриптов сделал через tclsh вместо bash. Планирую > >>> сделать логирование в sqlite-базу, сейчас разбираюсь, какую информацию > >>> в каком виде хранить. > >>> > >>> Если кого интересует, обращайтесь. deb-пакета нет, собирается > >>> стандартными configure;make;make install. > >> > >> А я хотел переписать его на erlang, но стало лень. > > > > Тоже есть мысль переписать на тикле, но пока не собрался. Имхо, эрланг не > > очень удобный вариант, поскольку делать скрипты > > аутентификации/авторизации легче на тикле, да и в циски тикль встроен. > > Скрипты по моему сугубо личному мнению надо писать на чем хочется, > задача сервера лишь организовать IPC. Например через popen. Я тоже об этом подумал, вернул /bin/sh. Просто подкладываю тиклевские скрипты с оберткой #!/bin/sh # the next line restarts using tclsh \ exec tclsh "$0" "$@" А вообще чем дольше копаю, тем хуже впечатление - большая свалка этот код. Аутентификация проходит 4 (!) раза и прочие "прелести". -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Tacacs+ сервер
Alexey Pechnikov wrote: >>> Сделал в такаксе аутентификацию через sqlite, переопределив директиву >>> "file" для указания файла базы. Пароли в базе хранятся шифрованные md5. >>> Поддержку mschap с алгоритмом md4 выбросил нафиг. Для авторизации запуск >>> внешних скриптов сделал через tclsh вместо bash. Планирую сделать >>> логирование в sqlite-базу, сейчас разбираюсь, какую информацию в каком >>> виде хранить. >>> >>> Если кого интересует, обращайтесь. deb-пакета нет, собирается >>> стандартными configure;make;make install. >>> >> А я хотел переписать его на erlang, но стало лень. >> > > Тоже есть мысль переписать на тикле, но пока не собрался. Имхо, эрланг не > очень удобный вариант, поскольку делать скрипты аутентификации/авторизации > легче на тикле, да и в циски тикль встроен. > Скрипты по моему сугубо личному мнению надо писать на чем хочется, задача сервера лишь организовать IPC. Например через popen. -- tarantul -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Tacacs+ сервер
В сообщении от Monday 30 June 2008 16:41:02 Nick 'tarantul' Novikov написал(а): > Alexey Pechnikov wrote: > >> Я воспользовался вот этим: > >> http://www.debian-administration.org/articles/429 > > > > Сделал в такаксе аутентификацию через sqlite, переопределив директиву > > "file" для указания файла базы. Пароли в базе хранятся шифрованные md5. > > Поддержку mschap с алгоритмом md4 выбросил нафиг. Для авторизации запуск > > внешних скриптов сделал через tclsh вместо bash. Планирую сделать > > логирование в sqlite-базу, сейчас разбираюсь, какую информацию в каком > > виде хранить. > > > > Если кого интересует, обращайтесь. deb-пакета нет, собирается > > стандартными configure;make;make install. > > А я хотел переписать его на erlang, но стало лень. Тоже есть мысль переписать на тикле, но пока не собрался. Имхо, эрланг не очень удобный вариант, поскольку делать скрипты аутентификации/авторизации легче на тикле, да и в циски тикль встроен. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Tacacs+ сервер
Alexey Pechnikov wrote: Я воспользовался вот этим: http://www.debian-administration.org/articles/429 Сделал в такаксе аутентификацию через sqlite, переопределив директиву "file" для указания файла базы. Пароли в базе хранятся шифрованные md5. Поддержку mschap с алгоритмом md4 выбросил нафиг. Для авторизации запуск внешних скриптов сделал через tclsh вместо bash. Планирую сделать логирование в sqlite-базу, сейчас разбираюсь, какую информацию в каком виде хранить. Если кого интересует, обращайтесь. deb-пакета нет, собирается стандартными configure;make;make install. А я хотел переписать его на erlang, но стало лень. -- tarantul -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Tacacs+ сервер
> Я воспользовался вот этим: > http://www.debian-administration.org/articles/429 Сделал в такаксе аутентификацию через sqlite, переопределив директиву "file" для указания файла базы. Пароли в базе хранятся шифрованные md5. Поддержку mschap с алгоритмом md4 выбросил нафиг. Для авторизации запуск внешних скриптов сделал через tclsh вместо bash. Планирую сделать логирование в sqlite-базу, сейчас разбираюсь, какую информацию в каком виде хранить. Если кого интересует, обращайтесь. deb-пакета нет, собирается стандартными configure;make;make install. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Tacacs+ сервер
> > Я воспользовался вот этим: > http://www.debian-administration.org/articles/429 Этой статьи я не видел, спасибо. Впрочем, там предлагается исходники брать по ссылке http://www.shrubbery.net/tac_plus/ а там я уже был. Код смахивает на прототип, а не готовую программу - на каждую запись лога отдельное подключение к БД открывается и прочие "фишки". Можно дописать нужную мне поддержку sqlite самому, но если найдется более качественно написанный сервер было бы лучше. P.S. Нашел модули, проксирующие tacacs запросы к radius-серверу, хотелось бы услышать отзывы. На первый взгляд они не умеют accounting. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Tacacs+ сервер
Alexey Pechnikov wrote: > Столкнулся с задачей сделать авторизацию и логирование через tacacs+. Поиски > привели к пакету tac-plus, который есть в etch и которого нет в lenny (пока > не проверял, но есть подозрения, что с новым gcc его проблема собрать - > исходники примерно 99-го года плюс несколько более поздних патчей), а также > еще несколько клонов оригинальных цисковских исходников, заброшенных в 99-м > году в состоянии альфа-версии. > > Вопрос: никто уже не использует tacacs+ или все берут исходники циски (или их > клоны) и патчат при необходимости? Я воспользовался вот этим: http://www.debian-administration.org/articles/429 -- tarantul -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Tacacs+ сервер
Hello! Столкнулся с задачей сделать авторизацию и логирование через tacacs+. Поиски привели к пакету tac-plus, который есть в etch и которого нет в lenny (пока не проверял, но есть подозрения, что с новым gcc его проблема собрать - исходники примерно 99-го года плюс несколько более поздних патчей), а также еще несколько клонов оригинальных цисковских исходников, заброшенных в 99-м году в состоянии альфа-версии. Вопрос: никто уже не использует tacacs+ или все берут исходники циски (или их клоны) и патчат при необходимости? Best regards, Alexey. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: pppd и tacacs+ сервер
> Есть возможность в линуксе научить pppd авторизовать пользователя через > tacacs+ сервер? Причём надо, чтобы он работал с сервером даже при CHAP > авторизации. Т.е. pam'овый модуль не подходит (он же вроде как > используется с ключом login, а он в свою очередь имеет смысл только при > PAP авторизации). > > Может кто знает какое работающее решение? > > PS: всё это надо для организации PPTP серверов под линуксом, поэтому > нужно именно под CHAP. вот что я нашел: http://master-www.linuxrouter.org:8080/listarch/portslave/2001-12-01/msg00055.html -- Konstantin Kubatkin [KUB-RIPE] [KUB-UANIC] Kherson, TriLogiC Group Fido: 2:468/[EMAIL PROTECTED]
pppd и tacacs+ сервер
Здравствуйте! Есть возможность в линуксе научить pppd авторизовать пользователя через tacacs+ сервер? Причём надо, чтобы он работал с сервером даже при CHAP авторизации. Т.е. pam'овый модуль не подходит (он же вроде как используется с ключом login, а он в свою очередь имеет смысл только при PAP авторизации). Может кто знает какое работающее решение? PS: всё это надо для организации PPTP серверов под линуксом, поэтому нужно именно под CHAP. -- С уважением, Игорь.
