[devel] Re: RADIUS

Mikhail Yakshin =?iso-8859-1?q?greycat_=CE=C1_altlinux=2Eru?=
Вт Ноя 11 01:18:11 MSK 2003 

Andy Gorev пишет:

> Mikhail Yakshin wrote:
> 
>> Victor V Ismakaev пишет:
>>
>>> 8 Ноябрь 2003 02:55, Вы написали:
>>>
>>>> Здравствуйте, господа!
>>>>
>>>> Я пытаюсь хоть как-то у себя запустить для начала просто FreeRADIUS
>>>> сервер. Не получается. У меня такое впечатление, что текущая его сборка
>>>> попросту сломана... Симптомы:
>>>>
>>>> По service radiusd start ничего не запускается, [ FAILED ]. Смотрим с
>>>> отладкой:
>>>
>>> Какая сборка?
>>
>> freeradius-0.9.1-alt3_i586.rpm
>>
>> Я уже отослал ответ Andy: если к нему приложить получающиеся при 
>> компиляции .la файлы - то все вроде бы прекрасно работает. Почему они 
>> не кладутся в собранный бинарный пакет?..
> 
> Я переслал ответ мантайнеру.

Вообще-то он был в списках не то To:, не то Cc:

>>>> Второй вопрос - с клиентами к нему:
>>>>
>>>> ====================================================================
>>>> # apt-get --print-uris install radiusclient-utils
>>>> Reading Package Lists... Done
>>>> Building Dependency Tree... Done
>>>> Some packages could not be installed. This may mean that you have
>>>> requested an impossible situation or if you are using the unstable
>>>> distribution that some required packages have not yet been created
>>>> or been moved out of Incoming.
>>>> The following information may help to resolve the situation:
>>>>
>>>> The following packages have unmet dependencies:
>>>>   radiusclient-utils: Depends: libradiusclient (= 0.3.2-alt1.3) but
>>>> 2.4.1.20030923-alt1 is to be installed
>>>> E: Broken packages
>>>> ====================================================================
>>>>
>>>> Сборка libradiusclient 2.4.1.20030923-alt1 - видимо растет из славного
>>>> пакета ppp-radius, который благодаря ей поломал radiusclient-utils. Чем
>>>> тестить сам сервер теперь - не ясно. Либо у меня что-то с настройками
>>>> apt?..
>>>
>>> По этому вопросу - radiusclient-utils вырастал из radiusclient-0.3.2 
>>> , который в свою очередь был собран только для поддржки portslave.В 
>>> связи с выходом ppp-2.4.2beta (это сборки ppp-2.4.1.2003xxx) - 
>>> radiusclient-0.3.2 заменяется radiusclient'том из ppp.
>>> Посему radiusclient-utils-0.3.2 - завис в воздухе по причине 
>>> несовместимости radiusclient-0.3.2 и radiusclient из ppp.
>>> Так что в текущем виде radiusclient-utils-0.3.2 использовать нельзя.
>>> В следующй сборке я исправлю ситуацию с конфликтом между ppp и 
>>> portslave/radiusclient-0.3.2. 
> 
> Как я уже не однократно замечал, radiusclient-utils не рабочий.
> http://bugzilla.altlinux.ru/show_bug.cgi?id=3232

Ситуация с radiusclient-utils ясна.

>> Рассказываю текущую ситуацию:
>>
>> 1. freeradius в сизифе сломан;
>>
>> 2. ppp-radius тоже, очевидно, сломан:
>>
>> http://bugzilla.altlinux.ru/show_bug.cgi?id=3161
> 
> Это как-раз не очевидно IMHO. Вы лично пробовали?

Конечно, и не на одной машине уже. Там даже в описании бага есть очень 
простой способ каждому убедиться самостоятельно: выполнить команду "pppd 
plugin radius.so". Она падает с двумя строчками сообщений об unresolved 
symbol на тему hook'ов CHAP. Воспроизводимость абсолютная.

>> и чинить его что-то никто не собирается; пользоваться им для доступа к 
>> радиусу нельзя;

>> 3. portslave сломан, потому как требует собранный под него 
>> libradiusclient, который сейчас собран под сломанный ppp-radius;
>>
>> 4. radiusclient-utils сломан в том смысле, что нужные в нем утилиты 
>> внесены по сути в libradiusclient - но это в общем-то minor bug уже по 
>> сравнению со всем остальным;
>>
>> В итоге имеем на текущий момент ни одного рабочего решения для VPN + 
>> Radius в сизифе :( Что очень грустно. И, видимо, ситуация меняться 
>> что-то никак не собирается, судя по номерам и длительности лежания 
> 
> Собирается-собирается :) Не все успевается тогда когда желается.

Я понимаю, поэтому и предлагаю свою посильную помощь. Хочется сделать 
все по-человечески для всех, а не для себя один раз собрав просто все из 
исходников без какого-либо использования пакетов Sisyphus.

>> багов. Учитывая, что VPN бывает, видимо, нужен раз в несколько месяцев 
>> очередному админу какой-нибудь домовой сетки (как мне вот сейчас), 
>> который хочет тарифицировать своих пользователей по-человечески - то 
>> копаться, наколько я понял, с этим никто не хочет. Локальному админу 
> 
> Наш ISP тоже хочет тарифицировать VPN в радиус.

А, кстати, есть какие-то иные варианты? Поделитесь, пожалуйста - я 
просто не знаю альтернатив, кроме как писать какие-то наколенные 
варианты самостоятельно...

>> проще взять какой-нибудь ASP или RH и не мучаться. Я бы тоже так 
>> сделал, не будь у меня большей уверенности в принципы разработки 
>> Сизифа и в их правильность.
>>
>> Так вот, я всеми силами хочу предложить свою посильную помощь для 
>> достижения в Сизифе цивилизованной _работающей_ ситуации с решениями 
>> VPN на базе pptpd + pppd 2.4.2 + (ppp-radius | portslave) + freeradius 
>> + (MySQL | PgSQL | LDAP).

> Лично я в данный момент не эксплуатирую радиус, но по указанной выше 
> причине очень скоро буду. Помощь приветствуется. Что касается рабочего 
> решения по VPN, то в ближайшее время я займусь модулем тарификации для 
> радиуса (NIBS).

Я пытался интересоваться тем, что это такое, но их сайт IMHO усиленно 
лежит последние несколько дней :(

 > Еще раньше тестированием ppp-radius и freeradius :-) Это
> моя непосредственная работа. После того, как все заработает, это будет 
> согласовано с мантайнером и включено в пакет (rlm_nibs My&PgSQL). Шаги в 
> этом направлении уже были сделаны (см. ветку про MPPE).

MPPE как раз меня не столь пока интересует, мне хватило бы ppp + pptpd + 
  chap + (ppp_radius | portslave) + radius + модуль files. Моя текущая 
задача - примерно машин на 20 максимум домовая сеть.

 > Просто на все не всегда хватает времени.

:(

> По поводу текущих ошибок сборки, проблем с утилитами и политики с 
> портслэйв ждем ответа Виктора. Как уже было отмечено выше, кое-что из 
> нашей переписки я ему переслал.

Ок, ждем. Пока я постараюсь посмотреть, что такое с ppp и ppp-radius. В 
пакетах от ASP Linux есть некий хитрый патч, который озаглавлен как раз 
патчем для ppp-radius и датирует 25 сентября, т.е. на 2 позже выхода 
ALTовского ppp-radius, который базируется на коде 23-го сентября. 
Кстати, так как это вообще все сборки из CVS - может быть просто можно 
собрать более новый срез?

С уважением, Михаил Якшин.

Подробная информация о списке рассылки Devel