RFC3576 support in free radius implementations?

Vladimir Litovka (vlitovka)

23 Oct 2006 23 Oct '06

9 p.m.

Коллеги, а какие open source Радиусы поддерживают RFC3576 (Dynamic Authorization Extensions to Radius)? Спасибо. P.S. Inet-Admins промолчал на эту тему... -- /doka =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Show replies by date

Andrew Degtiariov

24 Oct 24 Oct

10:37 a.m.

On Mon, Oct 23, 2006 at 08:00:36PM +0200, Vladimir Litovka (vlitovka) wrote:

...

Коллеги,

а какие open source Радиусы поддерживают RFC3576 (Dynamic Authorization Extensions to Radius)?

Спасибо.

P.S. Inet-Admins промолчал на эту тему...

Судя по наличию rfc3576.txt в каталоге с документацией FreeRADIUS, он это умеет. А там разве какая-то особая логика нужна от radius-сервера? Помоему достаточно словаря с атрибутами. -- Andrew Degtiariov DA-RIPE =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Vladimir Litovka

10:41 a.m.

Change of Authorization предполагает, что не только NAS может инициировать обращение к Radius, но и радиус может инициировать изменения в сессии на NAS'е On 10/24/06, Andrew Degtiariov wrote:

...

On Mon, Oct 23, 2006 at 08:00:36PM +0200, Vladimir Litovka (vlitovka) wrote:

...
Коллеги,

а какие open source Радиусы поддерживают RFC3576 (Dynamic Authorization Extensions to Radius)?

Спасибо.

P.S. Inet-Admins промолчал на эту тему...

Судя по наличию rfc3576.txt в каталоге с документацией FreeRADIUS, он это умеет.

А там разве какая-то особая логика нужна от radius-сервера? Помоему достаточно словаря с атрибутами.

-- Andrew Degtiariov DA-RIPE =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

-- /doka =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Andrew Degtiariov

11:29 a.m.

On Tue, Oct 24, 2006 at 10:41:20AM +0300, Vladimir Litovka wrote:

...

Change of Authorization предполагает, что не только NAS может инициировать обращение к Radius, но и радиус может инициировать изменения в сессии на NAS'е

В реальности это всегда так (закончилось время на балансе у пользователя или лимит какой). Переодически запускается скрипт (или висит постоянно запущенным ожидая NOTIFY от сервера баз данных), что-то там проверяет и выполняет нужные действия. Думаю в коммерческих продуктах все так же, только скрипт или программа уже написана. -- Andrew Degtiariov DA-RIPE =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Vladimir Litovka

11:38 a.m.

насколько я помню, то время сессии, если оно ограничено, всегда передавалось в параметрах авторизации при старте сессии и не могло быть модифицировано. К слову сказать, типичный вопрос нескольких лет - "а как по SNMP сбросить dialup-сессию?" :) Так вот, rfc3576 реализовал механизм сброса сессии по команде с радиус-сервера :) On 10/24/06, Andrew Degtiariov wrote:

...

On Tue, Oct 24, 2006 at 10:41:20AM +0300, Vladimir Litovka wrote:

...
Change of Authorization предполагает, что не только NAS может инициировать обращение к Radius, но и радиус может инициировать изменения в сессии на NAS'е

В реальности это всегда так (закончилось время на балансе у пользователя или лимит какой). Переодически запускается скрипт (или висит постоянно запущенным ожидая NOTIFY от сервера баз данных), что-то там проверяет и выполняет нужные действия. Думаю в коммерческих продуктах все так же, только скрипт или программа уже написана.

-- Andrew Degtiariov DA-RIPE =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Andrew Degtiariov

11:47 a.m.

On Tue, Oct 24, 2006 at 11:38:49AM +0300, Vladimir Litovka wrote:

...

насколько я помню, то время сессии, если оно ограничено, всегда передавалось в параметрах авторизации при старте сессии и не могло быть модифицировано. К слову сказать, типичный вопрос нескольких лет - "а как по SNMP сбросить dialup-сессию?" :) Так вот, rfc3576 реализовал механизм сброса сессии по команде с радиус-сервера :)

Не всегда можно угадать насколько хватит пользовательского баланса по времени. Особенно если считаются мегабайты :-) А насчет поддержки rfc3576 FreeRADIUS лучше спросить у них в рассылке. -- Andrew Degtiariov DA-RIPE =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Vladimir Litovka

12:36 p.m.

On 10/24/06, Andrew Degtiariov wrote:

...

Не всегда можно угадать насколько хватит пользовательского баланса по времени. Особенно если считаются мегабайты :-)

Зачем угадывать? Нужно ставить умные BRAS'ы, которые сами спросят что делать по факту исчерпания мегабайтовой квоты ;-) -- /doka =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Mykola Dzham

12:55 p.m.

Vladimir Litovka wrote:

...

On 10/24/06, Andrew Degtiariov wrote:

...
Не всегда можно угадать насколько хватит пользовательского баланса по времени. Особенно если считаются мегабайты :-)

Зачем угадывать? Нужно ставить умные BRAS'ы, которые сами спросят что делать по факту исчерпания мегабайтовой квоты ;-)

Может эти умные BRAS'ы еще и разные мегабайты считать умеют? Хотя ой, у нас же светлое будущее без разделения по направлениям. -- Mykola Dzham, LEFT-(UANIC|RIPE) JID: levsha@jabber.net.ua =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Vladimir Litovka

1:20 p.m.

On 10/24/06, Mykola Dzham wrote:

...

...
Зачем угадывать? Нужно ставить умные BRAS'ы, которые сами спросят что делать по факту исчерпания мегабайтовой квоты ;-)

Может эти умные BRAS'ы еще и разные мегабайты считать умеют? Хотя ой, у нас же светлое будущее без разделения по направлениям.

если разные мегабайты могут быть определены посредством access-list'ов - то могут. То есть задача смещатся в область автоматического апдейта ACL при изменении картины мира :) -- /doka =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Alexandre Snarskii

1:22 p.m.

On Tue, Oct 24, 2006 at 12:55:34PM +0300, Mykola Dzham wrote:

...

Vladimir Litovka wrote:

...
On 10/24/06, Andrew Degtiariov wrote:

...
Не всегда можно угадать насколько хватит пользовательского баланса по времени. Особенно если считаются мегабайты :-)

Зачем угадывать? Нужно ставить умные BRAS'ы, которые сами спросят что делать по факту исчерпания мегабайтовой квоты ;-)

Может эти умные BRAS'ы еще и разные мегабайты считать умеют? Хотя ой, у нас же светлое будущее без разделения по направлениям.

c7301 + ISG. Таки да, умеют. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Alexandre Snarskii

1:24 p.m.

On Tue, Oct 24, 2006 at 01:20:59PM +0300, Vladimir Litovka wrote:

...

On 10/24/06, Mykola Dzham wrote:

...
...
Зачем угадывать? Нужно ставить умные BRAS'ы, которые сами спросят что делать по факту исчерпания мегабайтовой квоты ;-)

Может эти умные BRAS'ы еще и разные мегабайты считать умеют? Хотя ой, у нас же светлое будущее без разделения по направлениям.

если разные мегабайты могут быть определены посредством access-list'ов - то могут. То есть задача смещатся в область автоматического апдейта ACL при изменении картины мира :)

Даже это не обязательно. QPPB (QoS policy propagation via BGP) никто не отменял :) =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Andrew Degtiariov

2:42 p.m.

On Tue, Oct 24, 2006 at 02:22:40PM +0400, Alexandre Snarskii wrote:

...

...
...
...
Не всегда можно угадать насколько хватит пользовательского баланса по времени. Особенно если считаются мегабайты :-)

Зачем угадывать? Нужно ставить умные BRAS'ы, которые сами спросят что делать по факту исчерпания мегабайтовой квоты ;-)

Может эти умные BRAS'ы еще и разные мегабайты считать умеют? Хотя ой, у нас же светлое будущее без разделения по направлениям.

c7301 + ISG. Таки да, умеют.

Если считать, что c7301 - это наше светлое будущее, то я тут с нашим пролетарским настроящим: народ, а как в linux определить PID процесса, открывшим pppX интерфейс? -- Andrew Degtiariov DA-RIPE =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Vladimir Litovka

2:44 p.m.

7301, равно как и linux-router - это сегодняшнее :) On 10/24/06, Andrew Degtiariov wrote:

...

On Tue, Oct 24, 2006 at 02:22:40PM +0400, Alexandre Snarskii wrote:

...
...
...
...
Не всегда можно угадать насколько хватит пользовательского баланса по времени. Особенно если считаются мегабайты :-)

Зачем угадывать? Нужно ставить умные BRAS'ы, которые сами спросят что делать по факту исчерпания мегабайтовой квоты ;-)

Может эти умные BRAS'ы еще и разные мегабайты считать умеют? Хотя ой, у нас же светлое будущее без разделения по направлениям.

c7301 + ISG. Таки да, умеют.

Если считать, что c7301 - это наше светлое будущее, то я тут с нашим пролетарским настроящим: народ, а как в linux определить PID процесса, открывшим pppX интерфейс?

-- Andrew Degtiariov DA-RIPE =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Andrew Degtiariov

3:04 p.m.

On Tue, Oct 24, 2006 at 02:44:15PM +0300, Vladimir Litovka wrote:

...

7301, равно как и linux-router - это сегодняшнее :)

Я к тому, что в массовом применении c7301 у нас я не вижу. Понятно, что при количестве абонентов XXXX, без аппаратов подобного класса уже не обойтись, но операторов с таким количеством абонентов у нас не так много. А тех, которые осознают необходимость в BRAS'ах за n килобаксов и готовы их купить, еще меньше. -- Andrew Degtiariov DA-RIPE =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Pavel Narozhnyy

3:10 p.m.

On 10/24/06, Andrew Degtiariov wrote:

...

On Tue, Oct 24, 2006 at 02:44:15PM +0300, Vladimir Litovka wrote:

...
7301, равно как и linux-router - это сегодняшнее :)

Я к тому, что в массовом применении c7301 у нас я не вижу. Понятно, что при количестве абонентов XXXX, без аппаратов подобного класса уже не обойтись, но операторов с таким количеством абонентов у нас не так много. А тех, которые осознают необходимость в BRAS'ах за n килобаксов и готовы их купить, еще меньше.

Как и в любой индустрии, небольшая кучка операторов, которые держат процентов 80 рынка доступа в Интернет. У них железки на миллионы долларов и прочая, прочая, прочая. И есть большая кучка операторов, у которых 20 процентов рынка оборудования на тысячи долларов. Судя по всему, Вы работаете в каком-то операторе из второй кучки. :)

Alexander V Soroka

3:17 p.m.

Привет ! Tuesday, October 24, 2006, 3:10:21 PM, you wrote: PN> Как и в любой индустрии, небольшая кучка операторов, которые PN> держат процентов 80 рынка доступа в Интернет. У них железки на PN> миллионы долларов и прочая, прочая, прочая. И есть большая кучка PN> операторов, у которых 20 процентов рынка оборудования на тысячи PN> долларов. Судя по всему, Вы работаете в каком-то операторе из второй кучки. :) Если думать ГОЛОВОЙ, то можно и ХХХХХ абонентов обслуживать не железками за лимоны баксов :) ... ...конечно, гораздо проще работодателю сказать - "плати лимоны вот за эту железяку а то щастья не будет..." и потом попивая кофе пинать х... рядом с тушами оборудования которому ты нафик не нужен - это по нашему, мы типа денег чужих (фирмы своей) не считаем - это дело владельца... -- Best regards, Alexander V Soroka http://www.unet.net.ua AS106-RIPE http://www.spacegate.kiev.ua mailto:alex@euro.net.ua =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Vladimir Litovka

4:05 p.m.

On 10/24/06, Alexander V Soroka wrote:

...

потом попивая кофе пинать х... рядом с тушами оборудования которому ты нафик не нужен

:-))))))) -- /doka =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Andrew Stesin

7:15 p.m.

24.10.06, Vladimir Litovka написал(а):

...

On 10/24/06, Alexander V Soroka wrote:

...
потом попивая кофе пинать х... рядом с тушами оборудования которому ты нафик не нужен

:-)))))))

ага, мне тоже прикольно стало... эти люди с другой планеты какой-то, однозначно =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

6590

Age (days ago)

6591

Last active (days ago)

List overview

Download

17 comments

8 participants

participants (8)

Alexander V Soroka
Alexandre Snarskii
Andrew Degtiariov
Andrew Stesin
Mykola Dzham
Pavel Narozhnyy
Vladimir Litovka
Vladimir Litovka (vlitovka)