[GTER] Freeradius: atributos de checagem do grupo não funcionam

Alexandre J. Correa - Onda Internet alexandre at onda.psi.br
Wed Jun 3 00:12:10 -03 2009


um script externo tambem resolve o seu problema ...


Eduardo Schoedler wrote:
> Pessoal.
>
> Andei fazendo mais alguns testes...
>
> Aparentemente, os atributos de verificação por grupos só serve para 
> dizer ao FR quando enviar ou não atributos de retorno do grupo ao NAS.
> Não consegui fazer qualquer verificação de atributos utilizando a 
> tabela radgroupcheck.
>
> Abaixo, segue um exemplo.
>
> 'test-user' pertence ao grupo 'test-group'.
>
> Na tabela de radgroupcheck, adicionei a seguinte "regra":
> 'test-group' => Framed-Protocol == PPP
>
> Na tabela de radgroupreply, adicionei um atributo de retorno:
> 'test-group' => Idle-Timeout <= 600
>
> Então começou a funcionar... mas não do jeito que eu imaginava ou 
> precisava.
> Quando enviei 'Framed-Protocol' na requisição, ele respondia o 
> atributo especificado no grupo.
>
> Na verdade, eu precisaria que ele rejeitasse (Access-Reject) se a 
> requisição não tivesse 'Framed-Protocol' ou então o valor desse 
> atributo fosse diferente de PPP.
>
> # radtest test-user test-pass localhost 0 testing123 1
> Sending Access-Request of id 110 to 127.0.0.1 port 1812
>        User-Name = "test-user"
>        User-Password = "test-pass"
>        NAS-IP-Address = 127.0.0.1
>        NAS-Port = 0
>        Framed-Protocol = PPP
> rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=110, 
> length=26
>        Idle-Timeout = 600
>
> Quando mandava sem, ele respondia Access-Accept de qualquer jeito... 
> mas não retornava 'Idle-Timeout'.
>
> # radtest test-user test-pass localhost 0 testing123
> Sending Access-Request of id 12 to 127.0.0.1 port 1812
>        User-Name = "test-user"
>        User-Password = "test-pass"
>        NAS-IP-Address = 127.0.0.1
>        NAS-Port = 0
> rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=12, 
> length=20
>
> Ou seja: se eu quiser recusar qualquer login a partir dos atributos da 
> requisição, terei de adicionar atributos em usuário por usuário.... 
> nada prático e muito suscetível a erros por parte do operador.
>
> Acredito que uma solução seria alterar a consulta SQL de 
> authorize_check_query ... talvez um UNION trazendo junto os atributos 
> do radgroupcheck.
> Não é a melhor solução, mas acho que funcionaria.
>
> Abraços.
> -- 
> gter list    https://eng.registro.br/mailman/listinfo/gter
>




More information about the gter mailing list