Новые ответы

ISG + CoA, Account-Logon,

ugenk, 10-Ноя-08, 18:39 [смотреть все]

Посылаю на ISG CoA, isg почему-то дает NACK.
Вот дебаг:
Nov 10 15:31:34.763: COA: 172.30.1.130 request queued
Nov 10 15:31:34.763: RADIUS:  authenticator AE C3 69 F7 B7 B0 73 7E - 4E 9C 79 BE C8 19 B5 71
Nov 10 15:31:34.763: RADIUS:  Vendor, Cisco       [26]  22
Nov 10 15:31:34.763: RADIUS:   ssg-account-info   [250] 16  "S192.168.10.94"
Nov 10 15:31:34.763: RADIUS:  User-Name           [1]   6   "niki"
Nov 10 15:31:34.763: RADIUS:  Vendor, Cisco       [26]  13
Nov 10 15:31:34.763: RADIUS:   ssg-command-code   [252] 7
Nov 10 15:31:34.763: RADIUS:   01 6E 69 6B 69              [Account-Log-On niki]
Nov 10 15:31:34.763:  ++++++ CoA Attribute List ++++++
Nov 10 15:31:34.763: 20A00F90 0 00000009 ssg-account-info(430) 14 S192.168.10.94
Nov 10 15:31:34.763: 20A022A8 0 00000009 username(396) 4 niki
Nov 10 15:31:34.763: 20A022B8 0 00000009 ssg-command-code(432) 5 01 6E 69 6B 69
Nov 10 15:31:34.763:
Nov 10 15:31:34.763: AAA SRV(0000007D): process response req
Nov 10 15:31:34.763: RADIUS/ENCODE(0000007D):Orig. component type = IEDGE_IP_SIP
Nov 10 15:31:34.763: RADIUS/ENCODE(0000007D): Unsupported AAA attribute clid-mac-addr
Nov 10 15:31:34.763: RADIUS(0000007D): sending
Nov 10 15:31:34.763: RADIUS(0000007D): Send CoA Nack Response to 172.30.1.130:45924 id 3, len 82
Nov 10 15:31:34.763: RADIUS:  authenticator BE 0A F1 6B 91 A0 8E 33 - 9A 04 7D D4 D3 14 AD C6
Nov 10 15:31:34.763: RADIUS:  Vendor, Cisco       [26]  15
Nov 10 15:31:34.763: RADIUS:   ssg-command-code   [252] 9
Nov 10 15:31:34.763: RADIUS:   10 32 3B 6E 69 6B 69            [Error-Code 2;niki]
Nov 10 15:31:34.763: RADIUS:  Vendor, Cisco       [26]  25
Nov 10 15:31:34.763: RADIUS:   ssg-account-info   [250] 19  "$MA001f.5bd1.b96c"
Nov 10 15:31:34.763: RADIUS:  Vendor, Cisco       [26]  22
Nov 10 15:31:34.763: RADIUS:   ssg-account-info   [250] 16  "S192.168.10.94"

Error-Code 2 - это, на сколько я понимаю, AUTHENTICATE USER FAIL (судя по http://www.cisco.com/en/US/docs/ios/12_2sb/isg/coa/guide/isg...).
Вот control policy-map:
policy-map type control option82
class type control BYE event timed-policy-expiry
  1 service disconnect
!
class type control always event session-start
  21 service-policy type service name LOCALTRAFF_SERVICE
  100 authorize aaa list option82 password cisco identifier mac-address
!
class type control always event session-restart
  21 service-policy type service name LOCALTRAFF_SERVICE
  100 authorize aaa list option82 password cisco identifier mac-address
!
class type control always event account-logon
  10 authenticate aaa list weblogin
  20 service-policy type service unapply name INETTRAFF3_SERVICE
!
(INETTRAFF3_SERVICE - это некий гипотетический сервис, который эпплаится юзеру при логине)
вот настройки aaa:
aaa group server radius option82
server-private 172.30.1.1 auth-port 1812 acct-port 1813 key xxx
ip radius source-interface GigabitEthernet0/0
attribute nas-port format d
!
aaa group server radius weblogin
server-private 172.30.1.1 auth-port 1812 acct-port 1813 key xxx
ip radius source-interface GigabitEthernet0/0
!
aaa authentication login default local
aaa authentication login option82 group option82
aaa authentication login weblogin group weblogin
aaa authorization network default group option82
aaa authorization network option82 group option82
aaa authorization network weblogin group weblogin
aaa authorization subscriber-service default local group option82
aaa authorization subscriber-service option82 group option82
aaa accounting update periodic 1
aaa accounting network option82 start-stop group option82
!
aaa nas port extended
!
!
!
aaa server radius dynamic-author
client 172.30.1.2 server-key xxx
client 172.30.1.130 server-key xxx
auth-type any

Ответить | Сообщить модератору

ISG + CoA, Account-Logon, ugenk, 18:50 , 10-Ноя-08 (1) +1
IOS - c7301-advipservicesk9_li-mz.122-33.SRD.bin
Ответить | Сообщить модератору
ISG + CoA, Account-Logon, Basil, 11:11 , 11-Ноя-08 (2)

ISG + CoA, Account-Logon, ugenk, 12:47 , 11-Ноя-08 (3)
>
>ну во первых сразу бросается в глаза:
>
>Nov 10 15:31:34.763: RADIUS/ENCODE(0000007D): Unsupported AAA attribute clid-mac-addr
Да, я тоже заметил
>
>Во вторых Account-Logon - это еще не CoA :)
Гкхм, а что же это?
PS http://www.cisco.com/en/US/docs/ios/12_2sb/isg/coa/guide/isg...

>
>Зачем слать Account-Logon, если пользователя пытаетесь авторизовать по TAL (Transparent Auto Logon)
>используя "100 authorize aaa list option82 password cisco identifier mac-address"
>
>Что вы хотели добиться этим конфигом ?
Собственно, ничего. Это некий тестовый конфиг. И я просто хочу, что бы по приходу CoA пакета с 0x1 в аттрибуте SSG-Command-Code отработал блок policy-map'а, который содержится внутри class type control always event account-logon
По сути, у меня есть некая cisco в тестовом стенде, я завернул через нее офисный wifi.
Там сидит какое-то количество пользователей, авторизованых по 100 authorize aaa list option82 password cisco identifier mac-address
Я же сейчас занимаюсь разработкой некоего упрощенного портала, и мне нужно понять, почему account-logon у меня выдает NACK.
PS Все остальные SSG-Command-Code (account-logoff, session-query, service-activate и deactivate работают) Подозрение, что проблема где-то в районе настроек aaa
Ответить | Сообщить модератору

ISG + CoA, Account-Logon, Basil, 14:42 , 11-Ноя-08 (4)

ISG + CoA, Account-Logon, ugenk, 16:24 , 11-Ноя-08 (5)
>
>>Я же сейчас занимаюсь разработкой некоего упрощенного портала, и мне нужно понять,
>>почему account-logon у меня выдает NACK.
>
>Nov 10 15:31:34.763: RADIUS: ssg-account-info [250] 16
>"S192.168.10.94"
>необходимо, чтобы была сессия с таким ip адресом при выводе команды
Конечно, такая сессия есть
>sh ip subsc ses all
sh ip subscr detail
>Кстати, могу подсказать контору, которая делала нам портал и как раз под
>WiFi.
Хочется вообщем-то самому. Ежели можете показать конфиг и tcpdump CoA radius-пакетов - был бы благодарен :)

Ответить | Сообщить модератору

ISG + CoA, Account-Logon, Basil, 17:30 , 11-Ноя-08 (6)

ISG + CoA, Account-Logon, ugenk, 17:42 , 11-Ноя-08 (7)
Хм, это всё забавно. У вас почему-то Account-Logon приходит не как CoA, а как Access-request.
А не могли бы вы конфиг показать?
Ответить | Сообщить модератору

ISG + CoA, Account-Logon, Basil, 17:45 , 11-Ноя-08 (8)

ISG + CoA, Account-Logon, ugenk, 18:06 , 11-Ноя-08 (9)
>Хотя, судя по ссылке - это называется CoA.
угу. конечно попробую завтра запихнуть account-logon в access-request.
хотя account-logoff выдавал ACK в CoA.
>В моем понимании, CoA нужен только для динмического изменения политик.
CoA - это просто некий пакет, не более того.
>aaa server radius sesm, а не dynamic-author
попробую, спасибо

Ответить | Сообщить модератору

ISG + CoA, Account-Logon, Basil, 19:03 , 11-Ноя-08 (10)

ISG + CoA, Account-Logon, ugenk, 19:05 , 11-Ноя-08 (11)
>Кстати, вот пример CoA запроса...
Так это ж вроде с cisco.com пример, я его видал :)
PS Я пробовал и с User-Password, и без него - ничего не меняется.
Ответить | Сообщить модератору

ISG + CoA, Account-Logon, Basil, 19:59 , 11-Ноя-08 (12)
ISG + CoA, Account-Logon, kms, 11:03 , 11-Мрт-09 (13)

ISG + CoA, Account-Logon, ugenk, 14:05 , 11-Мрт-09 (14)
>>>Кстати, вот пример CoA запроса...
>>
>>Так это ж вроде с cisco.com пример, я его видал :)
>>
>>PS Я пробовал и с User-Password, и без него - ничего не
>>меняется.
>
>А какой у вас радиус сервер? Я пытался связать freeradius c cisco
>7201, оказалось что просто freeradius не понимает СоА запросы. Может в
>вашем случае та же проблема?
а причем тут freeradius к CoA?
PS последние фрирадиусы уже умеют инициировать CoA

Ответить | Сообщить модератору
ISG + CoA, Account-Logon, kms, 16:08 , 11-Мрт-09 (15)
ISG + CoA, Account-Logon, ugenk, 21:37 , 11-Мрт-09 (16)
>Просто насколько я понял, запрос account-logon, который направляется циске, должен быть отправлен
>на радиус-сервер. А тот уже должен его обработать и послать ответ
>(ACK или NACK). В моем случае редирект срабатывал, но так как
>радиус-сервер не понимает CoA запросы (да, клиент, который идет с фрирадисом
>иницировать их может, но как мне ответили в мейл-листе фрирадиуса, поддержка
>CoA запросов для сервера только планируется в будущем) и не слушает
>1700 порт (а CoA запросы идут по умолчанию через 1700 порт),
>то и циска отвечает NACK-ом. Поэтому я и спрашивал, какой у
>вас сервер :)
нет. CoA отправляется прямо на cisco. Она по сути выступает в роли radius-сервера. А инициатор CoA - портал.
Ответить | Сообщить модератору
ISG + CoA, Account-Logon, enb83, 12:34 , 17-Июл-09 (17)

ISG + CoA, Account-Logon, Marcela1950, 04:01 , 04-Сен-11 (18)