On Tue, Oct 29, 2002 at 01:08:41PM +0200, Sergey Saley wrote:

Связка poptop+ppp+xtradius+mysql вполне работоспособна. poptop использует юзер-левел ppp, которому сказано авторизоваться у радиуса, который использует exec-program-wait для запроса к mysql. PS: Это все на FreeBSD, естественно.

А как при этом обстоит с MPPE? Радиус хранит пароли в каком виде? -- Regards, Yaroslav Halchinsky =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

On Tue, 29 Oct 2002, Yaroslav Halchinsky wrote:

On Tue, Oct 29, 2002 at 01:08:41PM +0200, Sergey Saley wrote:

...

Связка poptop+ppp+xtradius+mysql вполне работоспособна. poptop использует юзер-левел ppp, которому сказано авторизоваться у радиуса, который использует exec-program-wait для запроса к mysql. PS: Это все на FreeBSD, естественно.

А как при этом обстоит с MPPE? Радиус хранит пароли в каком виде?

Радиус в этом случае _вообще_ не хранит паролей ни в каком виде. Они должны лежать в mysql в виде, потребном для нужд настраивающего :-) -- WBR, Sergey Saley SA-RIPE =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Hi Sergey,

А смысл изобретать очередной велосипед? Можно напрячься и рашпилем пройтись по сырцам ппп на предмет сборки с либами mysql, но _зачем_?

Так я и не спорю :)

А Радиус, как стандартное средство, очень даже неплохо справляется, причем не только с аутентикацией, но еще и с эккаунтингом по отношению к тому же юзер-левел ппп. ИМХО.

Угу. -- Michael Hичто так не кpасит стол, как петаpда в оливье. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

On Tue, 29 Oct 2002, Yaroslav Halchinsky wrote:

On Tue, Oct 29, 2002 at 01:17:19PM +0200, Sergey Saley wrote:

...

...

А как при этом обстоит с MPPE? Радиус хранит пароли в каком виде?

Радиус в этом случае _вообще_ не хранит паролей ни в каком виде. Они должны лежать в mysql в виде, потребном для нужд настраивающего :-)

backend используемый для хранения радиусом всего подряд не принципиален. но если хотите переформулирую вопрос: mysql хранит plain text, md5, lanman/nt password hash или еще что? Отвечает ли радиус RAD_VENDOR_MICROSOFT атрибутами, чтоб дать user-level ppp возможность установления mppe, или же производится обычная chap (еще хуже pap) аутентификация без каких либо идущих в направлении mppe последствий?

AFAIR тот самый рад_вендор_мокрософт использует тип данных octets, о котором xtradius ничего не знает. Потому при попытке этот dictionary прикрутить радиус матено ругается на синтаксис. Возможно другие радиусы это умеют, но я их не употреблял, поэтому ничего внятного сказать не могу. Что касаемо mysql, то оно хранит в базе то, что туда положит хозяин исходя из требований схемы аутентикации ... :-) Другими словами, нужно строить цепочку и наблюдать. Мне недосуг ... -- WBR, Sergey Saley SA-RIPE =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

On Tue, 29 Oct 2002, Alexander Trotsai wrote:

а не проще pptp + ppp + pam + pam_mysql?

On Tue, Oct 29, 2002 at 01:08:41PM +0200, Sergey Saley wrote: SS>On Tue, 29 Oct 2002, Konstantin N. Bezruchenko wrote:

SS>> Добрый день! SS>> SS>> Не встречали ли Вы где-нибудь pptpd сервер который умеет авторизовать SS>> через mysql? Может быть how-to, примеры, заготовки?

SS>Связка poptop+ppp+xtradius+mysql вполне работоспособна. SS>poptop использует юзер-левел ppp, которому сказано авторизоваться у SS>радиуса, который использует exec-program-wait для запроса к mysql. SS>PS: Это все на FreeBSD, естественно.

Может и проще. На первый взгляд. Но все это наверное строится не в вакууме, а для решения каких-то задач. Значит учет на каком-то этапе все равно вылезет. И вот здесь как раз радиус будет на своем штатном месте. ЗЫ: да и pam во FreeBSD - скорее даже не протез, а просто костыль. ИМХО, разумеется :-) -- WBR, Sergey Saley SA-RIPE =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

опс я думал про linux btw. а poptop работает на фре? мне просто оно очень надо On Tue, Oct 29, 2002 at 02:42:33PM +0200, Sergey Saley wrote: SS>On Tue, 29 Oct 2002, Alexander Trotsai wrote: SS>> а не проще pptp + ppp + pam + pam_mysql? SS>> SS>> On Tue, Oct 29, 2002 at 01:08:41PM +0200, Sergey Saley wrote: SS>> SS>On Tue, 29 Oct 2002, Konstantin N. Bezruchenko wrote: SS>> SS>> SS>> Добрый день! SS>> SS>> SS>> SS>> Не встречали ли Вы где-нибудь pptpd сервер который умеет авторизовать SS>> SS>> через mysql? Может быть how-to, примеры, заготовки? SS>> SS>> SS>Связка poptop+ppp+xtradius+mysql вполне работоспособна. SS>> SS>poptop использует юзер-левел ppp, которому сказано авторизоваться у SS>> SS>радиуса, который использует exec-program-wait для запроса к mysql. SS>> SS>PS: Это все на FreeBSD, естественно. SS>Может и проще. На первый взгляд. Но все это наверное строится не в SS>вакууме, а для решения каких-то задач. Значит учет на каком-то этапе все SS>равно вылезет. И вот здесь как раз радиус будет на своем штатном месте. SS>ЗЫ: да и pam во FreeBSD - скорее даже не протез, а просто костыль. ИМХО, SS>разумеется :-) SS>-- SS>WBR, Sergey Saley SS>SA-RIPE SS>=================================================================== SS>uanog mailing list. SS>To Unsubscribe: send mail to majordomo@uanog.kiev.ua SS>with "unsubscribe uanog" in the body of the message -- Best regard, Aleksander Trotsai aka MAGE-RIPE aka MAGE-UANIC My PGP key at ftp://blackhole.adamant.ua/pgp/trotsai.key[.asc] Big trouble - ether leak =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

ядро патчится? On Tue, Oct 29, 2002 at 03:12:39PM +0200, Sergey Saley wrote: SS>On Tue, 29 Oct 2002, Alexander Trotsai wrote: SS>> опс SS>> я думал про linux SS>> btw. а poptop работает на фре? мне просто оно очень надо SS>Да. Работает. У меня. Из проблем - только мусор в сислог на предмет GRE, SS>на который можно не обращать никакого внимания. Или сислог поправить )) SS>-- SS>WBR, Sergey Saley SS>SA-RIPE SS>=================================================================== SS>uanog mailing list. SS>To Unsubscribe: send mail to majordomo@uanog.kiev.ua SS>with "unsubscribe uanog" in the body of the message -- Best regard, Aleksander Trotsai aka MAGE-RIPE aka MAGE-UANIC My PGP key at ftp://blackhole.adamant.ua/pgp/trotsai.key[.asc] Big trouble - Program load too heavy for processor to lift. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

On Tue, Oct 29, 2002 at 03:33:53PM +0200, Sergey Saley wrote: SS>On Tue, 29 Oct 2002, Alexander Trotsai wrote: SS>> ядро патчится? SS>> SS>> On Tue, Oct 29, 2002 at 03:12:39PM +0200, Sergey Saley wrote: SS>> SS>On Tue, 29 Oct 2002, Alexander Trotsai wrote: SS>> SS>> SS>> опс SS>> SS>> я думал про linux SS>> SS>> btw. а poptop работает на фре? мне просто оно очень надо SS>> SS>> SS>Да. Работает. У меня. Из проблем - только мусор в сислог на предмет GRE, SS>> SS>на который можно не обращать никакого внимания. Или сислог поправить )) SS>> SS>Нет. Совершенно стандартный писюк с FreeBSD 4.7-STABLE. Poptop из портов. SS>Старт из inetd. Единственная работа руками - написать махонькие программки SS>для работы с utmp и wtmp, потому как при работе на девайсах tun ppp не SS>хочет пользователя в utmp и wtmp заносить. Приходится из ppp.link{up|down} а ms-chap v2 и шифрование сессии работают? -- Best regard, Aleksander Trotsai aka MAGE-RIPE aka MAGE-UANIC My PGP key at ftp://blackhole.adamant.ua/pgp/trotsai.key[.asc] Big trouble - The file system is full of it =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

On Tue, 29 Oct 2002, Alexander Trotsai wrote:

On Tue, Oct 29, 2002 at 03:33:53PM +0200, Sergey Saley wrote: SS>On Tue, 29 Oct 2002, Alexander Trotsai wrote:

SS>> ядро патчится? SS>> SS>> On Tue, Oct 29, 2002 at 03:12:39PM +0200, Sergey Saley wrote: SS>> SS>On Tue, 29 Oct 2002, Alexander Trotsai wrote: SS>> SS>> SS>> опс SS>> SS>> я думал про linux SS>> SS>> btw. а poptop работает на фре? мне просто оно очень надо SS>> SS>> SS>Да. Работает. У меня. Из проблем - только мусор в сислог на предмет GRE, SS>> SS>на который можно не обращать никакого внимания. Или сислог поправить )) SS>>

SS>Нет. Совершенно стандартный писюк с FreeBSD 4.7-STABLE. Poptop из портов. SS>Старт из inetd. Единственная работа руками - написать махонькие программки SS>для работы с utmp и wtmp, потому как при работе на девайсах tun ppp не SS>хочет пользователя в utmp и wtmp заносить. Приходится из ppp.link{up|down}

а ms-chap v2 и шифрование сессии работают?

Там совсем недавно сменилась версия user-level ppp, и в ней добавилось фич как раз на эту тему. Но у меня еще руки не дошли посмотреть и разобраться. -- WBR, Sergey Saley SA-RIPE =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

On Tue, 29 Oct 2002, Konstantin Nikonenko wrote:

Hello Sergey,

Tuesday, October 29, 2002, 3:33:53 PM, you wrote: SS> Нет. Совершенно стандартный писюк с FreeBSD 4.7-STABLE. Poptop из портов. SS> Старт из inetd. Единственная работа руками - написать махонькие программки SS> для работы с utmp и wtmp, потому как при работе на девайсах tun ppp не SS> хочет пользователя в utmp и wtmp заносить. Приходится из ppp.link{up|down} а можно на них взглянуть? Да смотреть нечего особенно ... Писалось в спешке )) Возможно можно было сделать и лучше.

# cat ppp-login.c #include #include #include #include #include #include #include #include void login( struct utmp *ut, int tty) { register int fd; if ((fd = open(_PATH_UTMP, O_WRONLY|O_CREAT, 0644)) >= 0) { (void)lseek(fd, (off_t)(tty * sizeof(struct utmp)), L_SET); (void)write(fd, ut, sizeof(struct utmp)); (void)close(fd); } if ((fd = open(_PATH_WTMP, O_WRONLY|O_APPEND, 0)) >= 0) { (void)write(fd, ut, sizeof(struct utmp)); (void)close(fd); } } int main( int ac , char ** av) { struct utmp ut; int tty; char * s; strcpy(ut.ut_line, av[1]); strcpy(ut.ut_name, av[2]); strcpy(ut.ut_host, av[3]); ut.ut_time=time(0); tty = 128 + strtol(&av[1][3], &s, 10); login(&ut, tty); } # cat ppp-logout.c #include #include #include int main( int ac , char ** av) { logout(av[1]); logwtmp(av[1],"",""); } #cat ppp-linkup ... shell /etc/ppp/ppp-login INTERFACE USER point02 ... #cat ppp-linkdown ... bg /etc/ppp/ppp-logout INTERFACE ... -- WBR, Sergey Saley SA-RIPE =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

On Tue, Oct 29, 2002 at 07:29:55PM +0200, Alexander Trotsai wrote:

chap - да, это ppp а сессионное шифрование - imho на уровне gre

Шифрование MPPE - это уровень CCP PPP. -- Regards, Yaroslav Halchinsky =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message