- ISG + CoA, Account-Logon, ugenk, 18:50 , 10-Ноя-08 (1) +1
IOS - c7301-advipservicesk9_li-mz.122-33.SRD.bin
- ISG + CoA, Account-Logon, Basil, 11:11 , 11-Ноя-08 (2)
- ISG + CoA, Account-Logon, ugenk, 12:47 , 11-Ноя-08 (3)
> >ну во первых сразу бросается в глаза: > >Nov 10 15:31:34.763: RADIUS/ENCODE(0000007D): Unsupported AAA attribute clid-mac-addrДа, я тоже заметил > >Во вторых Account-Logon - это еще не CoA :) Гкхм, а что же это? PS http://www.cisco.com/en/US/docs/ios/12_2sb/isg/coa/guide/isg... > >Зачем слать Account-Logon, если пользователя пытаетесь авторизовать по TAL (Transparent Auto Logon) >используя "100 authorize aaa list option82 password cisco identifier mac-address" > >Что вы хотели добиться этим конфигом ? Собственно, ничего. Это некий тестовый конфиг. И я просто хочу, что бы по приходу CoA пакета с 0x1 в аттрибуте SSG-Command-Code отработал блок policy-map'а, который содержится внутри class type control always event account-logon По сути, у меня есть некая cisco в тестовом стенде, я завернул через нее офисный wifi. Там сидит какое-то количество пользователей, авторизованых по 100 authorize aaa list option82 password cisco identifier mac-address Я же сейчас занимаюсь разработкой некоего упрощенного портала, и мне нужно понять, почему account-logon у меня выдает NACK. PS Все остальные SSG-Command-Code (account-logoff, session-query, service-activate и deactivate работают) Подозрение, что проблема где-то в районе настроек aaa
- ISG + CoA, Account-Logon, Basil, 14:42 , 11-Ноя-08 (4)
- ISG + CoA, Account-Logon, ugenk, 16:24 , 11-Ноя-08 (5)
> >>Я же сейчас занимаюсь разработкой некоего упрощенного портала, и мне нужно понять, >>почему account-logon у меня выдает NACK. > >Nov 10 15:31:34.763: RADIUS: ssg-account-info [250] 16 >"S192.168.10.94" >необходимо, чтобы была сессия с таким ip адресом при выводе команды Конечно, такая сессия есть >sh ip subsc ses all sh ip subscr detail >Кстати, могу подсказать контору, которая делала нам портал и как раз под >WiFi. Хочется вообщем-то самому. Ежели можете показать конфиг и tcpdump CoA radius-пакетов - был бы благодарен :)
- ISG + CoA, Account-Logon, Basil, 17:30 , 11-Ноя-08 (6)
- ISG + CoA, Account-Logon, ugenk, 17:42 , 11-Ноя-08 (7)
Хм, это всё забавно. У вас почему-то Account-Logon приходит не как CoA, а как Access-request.А не могли бы вы конфиг показать?
- ISG + CoA, Account-Logon, Basil, 17:45 , 11-Ноя-08 (8)
- ISG + CoA, Account-Logon, ugenk, 18:06 , 11-Ноя-08 (9)
>Хотя, судя по ссылке - это называется CoA. угу. конечно попробую завтра запихнуть account-logon в access-request. хотя account-logoff выдавал ACK в CoA. >В моем понимании, CoA нужен только для динмического изменения политик. CoA - это просто некий пакет, не более того. >aaa server radius sesm, а не dynamic-author попробую, спасибо
- ISG + CoA, Account-Logon, Basil, 19:03 , 11-Ноя-08 (10)
- ISG + CoA, Account-Logon, ugenk, 19:05 , 11-Ноя-08 (11)
>Кстати, вот пример CoA запроса... Так это ж вроде с cisco.com пример, я его видал :) PS Я пробовал и с User-Password, и без него - ничего не меняется.
- ISG + CoA, Account-Logon, Basil, 19:59 , 11-Ноя-08 (12)
- ISG + CoA, Account-Logon, kms, 11:03 , 11-Мрт-09 (13)
- ISG + CoA, Account-Logon, ugenk, 14:05 , 11-Мрт-09 (14)
>>>Кстати, вот пример CoA запроса... >> >>Так это ж вроде с cisco.com пример, я его видал :) >> >>PS Я пробовал и с User-Password, и без него - ничего не >>меняется. > >А какой у вас радиус сервер? Я пытался связать freeradius c cisco >7201, оказалось что просто freeradius не понимает СоА запросы. Может в >вашем случае та же проблема? а причем тут freeradius к CoA? PS последние фрирадиусы уже умеют инициировать CoA
- ISG + CoA, Account-Logon, kms, 16:08 , 11-Мрт-09 (15)
- ISG + CoA, Account-Logon, ugenk, 21:37 , 11-Мрт-09 (16)
>Просто насколько я понял, запрос account-logon, который направляется циске, должен быть отправлен >на радиус-сервер. А тот уже должен его обработать и послать ответ >(ACK или NACK). В моем случае редирект срабатывал, но так как >радиус-сервер не понимает CoA запросы (да, клиент, который идет с фрирадисом >иницировать их может, но как мне ответили в мейл-листе фрирадиуса, поддержка >CoA запросов для сервера только планируется в будущем) и не слушает >1700 порт (а CoA запросы идут по умолчанию через 1700 порт), >то и циска отвечает NACK-ом. Поэтому я и спрашивал, какой у >вас сервер :) нет. CoA отправляется прямо на cisco. Она по сути выступает в роли radius-сервера. А инициатор CoA - портал.
- ISG + CoA, Account-Logon, enb83, 12:34 , 17-Июл-09 (17)
- ISG + CoA, Account-Logon, Marcela1950, 04:01 , 04-Сен-11 (18)
|