The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"ISG + CoA, Account-Logon"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (AAA, Radius, Tacacs)
Изначальное сообщение [ Отслеживать ]

"ISG + CoA, Account-Logon"  +/
Сообщение от ugenk on 10-Ноя-08, 18:39 
Посылаю на ISG CoA, isg почему-то дает NACK.
Вот дебаг:
Nov 10 15:31:34.763: COA: 172.30.1.130 request queued
Nov 10 15:31:34.763: RADIUS:  authenticator AE C3 69 F7 B7 B0 73 7E - 4E 9C 79 BE C8 19 B5 71
Nov 10 15:31:34.763: RADIUS:  Vendor, Cisco       [26]  22  
Nov 10 15:31:34.763: RADIUS:   ssg-account-info   [250] 16  "S192.168.10.94"
Nov 10 15:31:34.763: RADIUS:  User-Name           [1]   6   "niki"
Nov 10 15:31:34.763: RADIUS:  Vendor, Cisco       [26]  13  
Nov 10 15:31:34.763: RADIUS:   ssg-command-code   [252] 7  
Nov 10 15:31:34.763: RADIUS:   01 6E 69 6B 69              [Account-Log-On niki]
Nov 10 15:31:34.763:  ++++++ CoA Attribute List ++++++
Nov 10 15:31:34.763: 20A00F90 0 00000009 ssg-account-info(430) 14 S192.168.10.94
Nov 10 15:31:34.763: 20A022A8 0 00000009 username(396) 4 niki
Nov 10 15:31:34.763: 20A022B8 0 00000009 ssg-command-code(432) 5 01 6E 69 6B 69
Nov 10 15:31:34.763:
Nov 10 15:31:34.763: AAA SRV(0000007D): process response req
Nov 10 15:31:34.763: RADIUS/ENCODE(0000007D):Orig. component type = IEDGE_IP_SIP
Nov 10 15:31:34.763: RADIUS/ENCODE(0000007D): Unsupported AAA attribute clid-mac-addr
Nov 10 15:31:34.763: RADIUS(0000007D): sending
Nov 10 15:31:34.763: RADIUS(0000007D): Send CoA Nack Response to 172.30.1.130:45924 id 3, len 82
Nov 10 15:31:34.763: RADIUS:  authenticator BE 0A F1 6B 91 A0 8E 33 - 9A 04 7D D4 D3 14 AD C6
Nov 10 15:31:34.763: RADIUS:  Vendor, Cisco       [26]  15  
Nov 10 15:31:34.763: RADIUS:   ssg-command-code   [252] 9  
Nov 10 15:31:34.763: RADIUS:   10 32 3B 6E 69 6B 69            [Error-Code 2;niki]
Nov 10 15:31:34.763: RADIUS:  Vendor, Cisco       [26]  25  
Nov 10 15:31:34.763: RADIUS:   ssg-account-info   [250] 19  "$MA001f.5bd1.b96c"
Nov 10 15:31:34.763: RADIUS:  Vendor, Cisco       [26]  22  
Nov 10 15:31:34.763: RADIUS:   ssg-account-info   [250] 16  "S192.168.10.94"


Error-Code 2 - это, на сколько я понимаю, AUTHENTICATE USER FAIL (судя по http://www.cisco.com/en/US/docs/ios/12_2sb/isg/coa/guide/isg...).

Вот control policy-map:
policy-map type control option82
class type control BYE event timed-policy-expiry
  1 service disconnect
!
class type control always event session-start
  21 service-policy type service name LOCALTRAFF_SERVICE
  100 authorize aaa list option82 password cisco identifier mac-address
!
class type control always event session-restart
  21 service-policy type service name LOCALTRAFF_SERVICE
  100 authorize aaa list option82 password cisco identifier mac-address
!
class type control always event account-logon
  10 authenticate aaa list weblogin
  20 service-policy type service unapply name INETTRAFF3_SERVICE
!

(INETTRAFF3_SERVICE - это некий гипотетический сервис, который эпплаится юзеру при логине)

вот настройки aaa:
aaa group server radius option82
server-private 172.30.1.1 auth-port 1812 acct-port 1813 key xxx
ip radius source-interface GigabitEthernet0/0
attribute nas-port format d
!
aaa group server radius weblogin
server-private 172.30.1.1 auth-port 1812 acct-port 1813 key xxx
ip radius source-interface GigabitEthernet0/0
!
aaa authentication login default local
aaa authentication login option82 group option82
aaa authentication login weblogin group weblogin
aaa authorization network default group option82
aaa authorization network option82 group option82
aaa authorization network weblogin group weblogin
aaa authorization subscriber-service default local group option82
aaa authorization subscriber-service option82 group option82
aaa accounting update periodic 1
aaa accounting network option82 start-stop group option82
!
aaa nas port extended
!
!
!
aaa server radius dynamic-author
client 172.30.1.2 server-key xxx
client 172.30.1.130 server-key xxx
auth-type any

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "ISG + CoA, Account-Logon"  +1 +/
Сообщение от ugenk on 10-Ноя-08, 18:50 
IOS - c7301-advipservicesk9_li-mz.122-33.SRD.bin
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "ISG + CoA, Account-Logon"  +/
Сообщение от Basil (??) on 11-Ноя-08, 11:11 

ну во первых сразу бросается в глаза:

Nov 10 15:31:34.763: RADIUS/ENCODE(0000007D): Unsupported AAA attribute clid-mac-addr

Во вторых Account-Logon - это еще не CoA :)

Зачем слать Account-Logon, если пользователя пытаетесь авторизовать по TAL (Transparent Auto Logon) используя "100 authorize aaa list option82 password cisco identifier mac-address"

Что вы хотели добиться этим конфигом ?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "ISG + CoA, Account-Logon"  +/
Сообщение от ugenk on 11-Ноя-08, 12:47 
>
>ну во первых сразу бросается в глаза:
>
>Nov 10 15:31:34.763: RADIUS/ENCODE(0000007D): Unsupported AAA attribute clid-mac-addr

Да, я тоже заметил
>
>Во вторых Account-Logon - это еще не CoA :)

Гкхм, а что же это?
PS http://www.cisco.com/en/US/docs/ios/12_2sb/isg/coa/guide/isg...

>
>Зачем слать Account-Logon, если пользователя пытаетесь авторизовать по TAL (Transparent Auto Logon)
>используя "100 authorize aaa list option82 password cisco identifier mac-address"
>
>Что вы хотели добиться этим конфигом ?

Собственно, ничего. Это некий тестовый конфиг. И я просто хочу, что бы по приходу CoA пакета с 0x1 в аттрибуте SSG-Command-Code отработал блок policy-map'а, который содержится внутри class type control always event account-logon

По сути, у меня есть некая cisco в тестовом стенде, я завернул через нее офисный wifi.
Там сидит какое-то количество пользователей, авторизованых по 100 authorize aaa list option82 password cisco identifier mac-address
Я же сейчас занимаюсь разработкой некоего упрощенного портала, и мне нужно понять, почему account-logon у меня выдает NACK.
PS Все остальные SSG-Command-Code (account-logoff, session-query, service-activate и deactivate работают) Подозрение, что проблема где-то в районе настроек aaa

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "ISG + CoA, Account-Logon"  +/
Сообщение от Basil (??) on 11-Ноя-08, 14:42 

>Я же сейчас занимаюсь разработкой некоего упрощенного портала, и мне нужно понять,
>почему account-logon у меня выдает NACK.

Nov 10 15:31:34.763: RADIUS:   ssg-account-info   [250] 16  "S192.168.10.94"

необходимо, чтобы была сессия с таким ip адресом при выводе команды

sh ip subsc ses all
могу ошибиться, сейчас под рукой коробки нет...

Кстати, могу подсказать контору, которая делала нам портал и как раз под WiFi.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "ISG + CoA, Account-Logon"  +/
Сообщение от ugenk on 11-Ноя-08, 16:24 
>
>>Я же сейчас занимаюсь разработкой некоего упрощенного портала, и мне нужно понять,
>>почему account-logon у меня выдает NACK.
>
>Nov 10 15:31:34.763: RADIUS:   ssg-account-info   [250] 16  
>"S192.168.10.94"
>необходимо, чтобы была сессия с таким ip адресом при выводе команды

Конечно, такая сессия есть

>sh ip subsc ses all

sh ip subscr detail

>Кстати, могу подсказать контору, которая делала нам портал и как раз под
>WiFi.

Хочется вообщем-то самому. Ежели можете показать конфиг и tcpdump CoA radius-пакетов - был бы благодарен :)


Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "ISG + CoA, Account-Logon"  +/
Сообщение от Basil (??) on 11-Ноя-08, 17:30 

>Хочется вообщем-то самому. Ежели можете показать конфиг и tcpdump CoA radius-пакетов -
>был бы благодарен :)

5.5.5.5 - портал
7.7.7.7 - радиус
Сценарий.. приходит Account Logon, эти данные проверяются на радиусе и если все ок, возвращается профайл с запускаемым сервисом и выделенная квота.

RADIUS: Received from id 1812/89 5.5.5.5:43181, Access-Request, len 92
RADIUS:  authenticator 42 83 58 20 95 68 54 CE - C9 84 B9 32 BF 16 DC 49
RADIUS:  User-Name           [1]   12  "testuser"
RADIUS:  User-Password       [2]   18  *
RADIUS:  Vendor, Cisco       [26]  19
RADIUS:   ssg-command-code   [252] 13
RADIUS:   01 39 32 36 35 30 33 33 38 37 31        [Account-Log-On testuser]
RADIUS:  Vendor, Cisco       [26]  23
RADIUS:   ssg-account-info   [250] 17  "S1.1.1.1"
RADIUS(00000000): Received from id 43181/89
RADIUS/ENCODE(000067E5):Orig. component type = IEDGE_IP_SIP
RADIUS(000067E5): Config NAS IP: 6.6.6.6
RADIUS/ENCODE(000067E5): acct_session_id: 32252
RADIUS(000067E5): Config NAS IP: 6.6.6.6
RADIUS(000067E5): sending
RADIUS(000067E5): Send Access-Request to 7.7.7.7:1812 id 1645/76, len 130
RADIUS:  authenticator 4B 06 C7 3D 4F BF 63 35 - FD B1 25 41 12 9C BA 40
RADIUS:  Framed-IP-Address   [8]   6   1.1.1.1
RADIUS:  User-Name           [1]   12  "testuser"
RADIUS:  User-Password       [2]   18  *
RADIUS:  NAS-Port-Type       [61]  6   Virtual                   [5]
RADIUS:  NAS-Port            [5]   6   0
RADIUS:  NAS-Port-Id         [87]  11  "0/0/2/661"
RADIUS:  Service-Type        [6]   6   Login                     [1]
RADIUS:  NAS-IP-Address      [4]   6   6.6.6.6
RADIUS:  Acct-Session-Id     [44]  10  "00007DFC"
RADIUS:  Nas-Identifier      [32]  23  "isg"
RADIUS:  Event-Timestamp     [55]  6   1217400283
RADIUS: Received from id 1645/76 7.7.7.7:1812, Access-Accept, len 80
RADIUS:  authenticator 17 E7 06 40 0B 92 86 EE - 3F B7 D1 57 2F 17 BE E3
RADIUS:  Vendor, Cisco       [26]  30
RADIUS:   ssg-account-info   [250] 24  "NSRV_INTERNET"
RADIUS:  Vendor, Cisco       [26]  30
RADIUS:   ssg-account-info   [250] 24  "ASRV_INTERNET"
RADIUS(000067E5): Received from id 1645/76
RADIUS/ENCODE(000067E5):Orig. component type = IEDGE_IP_SIP
RADIUS(000067E5): Config NAS IP: 6.6.6.6
RADIUS/ENCODE(000067E5): acct_session_id: 32253
RADIUS(000067E5): Config NAS IP: 6.6.6.6
RADIUS(000067E5): sending
RADIUS/ENCODE(000067E5):Orig. component type = IEDGE_IP_SIP
RADIUS(000067E5): sending
RADIUS(000067E5): Send Access-Accept to 5.5.5.5:43181 id 89, len 122
RADIUS:  authenticator D9 A9 61 15 22 FC E9 30 - DD 65 54 6E 35 6D 47 BA
RADIUS:  Vendor, Cisco       [26]  19
RADIUS:   ssg-command-code   [252] 13
RADIUS:   01 39 32 36 35 30 33 33 38 37 31        [Account-Log-On testuser]
RADIUS:  Vendor, Cisco       [26]  23
RADIUS:   ssg-account-info   [250] 17  "S1.1.1.1"
RADIUS:  Vendor, Cisco       [26]  30
RADIUS:   ssg-account-info   [250] 24  "NSRV_INTERNET"
RADIUS:  Vendor, Cisco       [26]  30
RADIUS:   ssg-account-info   [250] 24  "ASRV_INTERNET"
RADIUS(000067E5): Send Access-Request to 7.7.7.7:1812 id 1645/77, len 166
RADIUS:  authenticator 47 16 01 C0 BD 68 0F 74 - F2 ED 59 54 74 1F 50 C5
RADIUS:  User-Name           [1]   12  "testuser"
RADIUS:  User-Password       [2]   18  *
RADIUS:  Vendor, Cisco       [26]  30
RADIUS:   ssg-service-info   [251] 24  "NSRV_INTERNET"
RADIUS:  Framed-Protocol     [7]   6   PPP                       [1]
RADIUS:  Framed-IP-Address   [8]   6   1.1.1.1
RADIUS:  NAS-Port-Type       [61]  6   Virtual                   [5]
RADIUS:  NAS-Port            [5]   6   0
RADIUS:  NAS-Port-Id         [87]  11  "0/0/2/661"
RADIUS:  Service-Type        [6]   6   Framed                    [2]
RADIUS:  NAS-IP-Address      [4]   6   6.6.6.6
RADIUS:  Acct-Session-Id     [44]  10  "00007DFD"
RADIUS:  Nas-Identifier      [32]  23  "isg"
RADIUS:  Event-Timestamp     [55]  6   1217400283
RADIUS: Received from id 1645/77 7.7.7.7:1812, Access-Accept, len 71
RADIUS:  authenticator C7 9F 14 3C C4 BF E6 6C - 9D E4 8E 9B 99 63 39 DC
RADIUS:  Acct-Interim-Interva[85]  6   60
RADIUS:  Vendor, Cisco       [26]  30
RADIUS:   ssg-service-info   [251] 24  "NPREPAID_INTERNET_GOLD"
RADIUS:  Vendor, Cisco       [26]  15
RADIUS:   ssg-control-info   [253] 9   "QT600"

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "ISG + CoA, Account-Logon"  +/
Сообщение от ugenk on 11-Ноя-08, 17:42 
Хм, это всё забавно.  У вас почему-то Account-Logon приходит не как CoA, а как Access-request.

А не могли бы вы конфиг показать?

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "ISG + CoA, Account-Logon"  +/
Сообщение от Basil (??) on 11-Ноя-08, 17:45 
>Хм, это всё забавно.  У вас почему-то Account-Logon приходит не как
>CoA, а как Access-request.
>
>А не могли бы вы конфиг показать?

Ну да.. почему я и грю, что Account-Logon это не CoA :)

Хотя, судя по ссылке - это называется CoA.

В моем понимании, CoA нужен только для динмического изменения политик.

Конфиг, к сожалению не могу.. нет доступа на коробку.

В принципе, все стандартно.
Одно отличие..
aaa server radius sesm, а не dynamic-author
Т.е. я CoA вообще не использую :)

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "ISG + CoA, Account-Logon"  +/
Сообщение от ugenk on 11-Ноя-08, 18:06 
>Хотя, судя по ссылке - это называется CoA.

угу. конечно попробую завтра запихнуть account-logon в access-request.
хотя account-logoff выдавал ACK в CoA.

>В моем понимании, CoA нужен только для динмического изменения политик.

CoA - это просто некий пакет, не более того.

>aaa server radius sesm, а не dynamic-author

попробую, спасибо


Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "ISG + CoA, Account-Logon"  +/
Сообщение от Basil (??) on 11-Ноя-08, 19:03 
Кстати, вот пример CoA запроса...

RADIUS: COA  received from id 5 192.168.1.100:32777, CoA Request, len 84
COA: 192.168.1.100 request queued
RADIUS:  authenticator BF 62 14 C1 6F DE 76 61 - 84 D8 D5 01 14 F8 52 80
RADIUS:  Vendor, Cisco       [26]  23  
RADIUS:   ssg-account-info   [250] 17  "S10.10.10.11:85"
RADIUS:  User-Name           [1]   8   "IP_UC1"
RADIUS:  User-Password       [2]   18  *
RADIUS:  Vendor, Cisco       [26]  15  
RADIUS:   ssg-command-code   [252] 9  
RADIUS:   01 49 50 5F 55 43 31            [Account-Log-On IP_UC1]


Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "ISG + CoA, Account-Logon"  +/
Сообщение от ugenk on 11-Ноя-08, 19:05 
>Кстати, вот пример CoA запроса...

Так это ж вроде с cisco.com пример, я его видал :)

PS Я пробовал и с User-Password, и без него - ничего не меняется.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "ISG + CoA, Account-Logon"  +/
Сообщение от Basil (??) on 11-Ноя-08, 19:59 
>>Кстати, вот пример CoA запроса...
>
>Так это ж вроде с cisco.com пример, я его видал :)
>
>PS Я пробовал и с User-Password, и без него - ничего не
>меняется.

А попробуй включить дебаги.. там ssm все расписывает как, что и почему.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "ISG + CoA, Account-Logon"  +/
Сообщение от kms (??) on 11-Мрт-09, 11:03 
>>Кстати, вот пример CoA запроса...
>
>Так это ж вроде с cisco.com пример, я его видал :)
>
>PS Я пробовал и с User-Password, и без него - ничего не
>меняется.

А какой у вас радиус сервер? Я пытался связать freeradius c cisco 7201, оказалось что просто freeradius не понимает СоА запросы. Может в вашем случае та же проблема?

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

14. "ISG + CoA, Account-Logon"  +/
Сообщение от ugenk on 11-Мрт-09, 14:05 
>>>Кстати, вот пример CoA запроса...
>>
>>Так это ж вроде с cisco.com пример, я его видал :)
>>
>>PS Я пробовал и с User-Password, и без него - ничего не
>>меняется.
>
>А какой у вас радиус сервер? Я пытался связать freeradius c cisco
>7201, оказалось что просто freeradius не понимает СоА запросы. Может в
>вашем случае та же проблема?

а причем тут freeradius к CoA?
PS последние фрирадиусы уже умеют инициировать CoA


Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "ISG + CoA, Account-Logon"  +/
Сообщение от kms (??) on 11-Мрт-09, 16:08 
>[оверквотинг удален]
>>>
>>>PS Я пробовал и с User-Password, и без него - ничего не
>>>меняется.
>>
>>А какой у вас радиус сервер? Я пытался связать freeradius c cisco
>>7201, оказалось что просто freeradius не понимает СоА запросы. Может в
>>вашем случае та же проблема?
>
>а причем тут freeradius к CoA?
>PS последние фрирадиусы уже умеют инициировать CoA

Просто насколько я понял, запрос account-logon, который направляется циске, должен быть отправлен на радиус-сервер. А тот уже должен его обработать и послать ответ (ACK или NACK). В моем случае редирект срабатывал, но так как радиус-сервер не понимает CoA запросы (да, клиент, который идет с фрирадисом иницировать их может, но как мне ответили в мейл-листе фрирадиуса, поддержка CoA запросов для сервера только планируется в будущем) и не слушает 1700 порт (а CoA запросы идут по умолчанию через 1700 порт), то и циска отвечает NACK-ом. Поэтому я и спрашивал, какой у вас сервер :)

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

16. "ISG + CoA, Account-Logon"  +/
Сообщение от ugenk on 11-Мрт-09, 21:37 
>Просто насколько я понял, запрос account-logon, который направляется циске, должен быть отправлен
>на радиус-сервер. А тот уже должен его обработать и послать ответ
>(ACK или NACK). В моем случае редирект срабатывал, но так как
>радиус-сервер не понимает CoA запросы (да, клиент, который идет с фрирадисом
>иницировать их может, но как мне ответили в мейл-листе фрирадиуса, поддержка
>CoA запросов для сервера только планируется в будущем) и не слушает
>1700 порт (а CoA запросы идут по умолчанию через 1700 порт),
>то и циска отвечает NACK-ом. Поэтому я и спрашивал, какой у
>вас сервер :)

нет. CoA отправляется прямо на cisco. Она по сути выступает в роли radius-сервера. А инициатор CoA - портал.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

17. "ISG + CoA, Account-Logon"  +/
Сообщение от enb83 email(ok) on 17-Июл-09, 12:34 
>CoA отправляется прямо на cisco. Она по сути выступает в роли
>radius-сервера. А инициатор CoA - портал.

Здравствуйте ugenk, поделитесь пожалуйста опытом в создании web портала c CoA.
http://www.opennet.ru/openforum/vsluhforumID6/19282.html


Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

18. "ISG + CoA, Account-Logon"  +/
Сообщение от Marcela1950 email on 04-Сен-11, 04:01 
trans Дадзены артыкул была надзвычай цiкавай, тым больш што я шукаВ для думак на гэтую тэму В мiнулы чацвер.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Слёрм
Inferno Solutions
Hosting by Ihor
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2019 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру