Авторизация по RADIUS

Skip to end of metadata
Go to start of metadata

Настройка авторизации (RADIUS AUTH)

Биллинг может проводить авторизацию через RADIUS по различным входным данным из radius request, который приходит на биллинг. Данные параметры выбираются на вкладке Оборудование - NAS - Дополнительно
По умолчанию при выборе определенной стандартной OSS схемы данные опции уже выбраны и менять их не нужно, однако Вы так же можете настроить авторизацию под свою пользовательскую схему, если это необходимо.

Данные настройки отвечают за то, по какому именно полю биллинг будет пытаться найти абонента в БД.

Описание полей

  • Проверять login - Поиск пользователя по полю Логин в учетной записи
  • Проверять IP - Поиск пользователя по полю IPv4 в учетной записи
  • Проверять MAC - Используется для схемы Mikrotik IPoE + Radius, совместно с опцией Проверять логин
  • Не отправлять framed-ip-address - Используется для того, чтобы в Access-accept'e от биллинга не отправлялся атрибут FRAMED-IP-ADDRESS
  • Проверять HW_SERIAL - Поиск пользователя идет по полю Серийный номер оборудования в учетной записи. Если в поле Тип выбрано Cisco IPoE - биллинг сравнивает серийный номер оборудования с атрибутом User-Name из Radius запроса, если в поле Тип выбрано любое другое значение - биллинг сравнивает серийный номер оборудования с атрибутом ADSL-Agent-Circuit-Id

Примеры

Пример запроса Access-Request от Microtik CHR
rad_recv: Access-Request packet from host 10.90.185.100 port 38454, id=3, length=133
        NAS-Port-Type = Ethernet
        NAS-Port = 2206203907
        Calling-Station-Id = "1:52:54:0:d7:cc:2b"
        Framed-IP-Address = 10.64.15.20
        Called-Station-Id = "mikrotik_carbon_dhcp"
        User-Name = "test123"
        User-Password = ""
        NAS-Identifier = "MikroTik"
        NAS-IP-Address = 10.90.185.100

В случае, если в настройках NAS'a выбран тип Проверять login - биллинг будет пытаться найти абонента в БД, у которого в поле login будет test123. Сопоставление будет происходить всегда по полю User-Name из Access-Request

Особые настройки

Разрешить переподключаться с первого раза, рекомендуется на время интеграции

Включена

Все запросы на авторизацию от одного и того же абонента, в случае, если абонент найден и не заблокирован, будут разрешены биллингом и в ответ на них биллинг отправит Access-Accept.
Access-Accept будет отправлен независимо от того авторизован пользователь уже на биллинге или не авторизован.

Отключена

Если на биллинг придет запрос на авторизацию от абонента, который считается биллингом уже авторизованным - биллинг сначала отправит на оборудование команду user_disconnect и сбросит сессию на своей стороне. При этом на первый запрос авторизации будет отправлен Access-reject с ошибкой you already logged in

Основные настройки

Описание полей

  • Пересоздавать сессию. В случае, если по какой то причине на биллинге будет информации о том, что авторизованный на оборудовании пользователь не авторизован в данный момент (например, не пришел radius accounting start пакет), при включении данной опции сессия будет создана при получении radius accounting update.
  • Передавать пароль в скрипт событий. Если данная опция включена - биллинг будет передавать пароль из учетной записи пользователя в скрипт событий session в поле user_psw.

Отладка авторизации

  1. В настройках в файле включите опцию "Включить DEBUG для Radius демона"
  2. В терминале запустите мониторинг лога
    tail -f /app/asr_billing/var/log/radius/radius_debug.log
  3. Совершите авторизацию
  4. Дальше - по ситуации, но нужно помнить что для успешной авторизации в логе должны быть три SQL-запроса:
    • Первый возвращает радиусу информацию о наличии учётной записи
      SELECT ... FROM RAD6_CHECK ('CHECK'
    • Второй возвращает необходимые атрибуты, которые нужно отправить в Access-Accept
      SELECT ... FROM RAD6_CHECK ('REPLY'
    • Третий проводит дополнительные проверки. Должен вернуть "0"
      SELECT ... FROM RAD6_CHECK ('SIMUL'
Введите метки, чтобы добавить к этой странице:
Please wait 
Ищите метку? просто начните печатать.