Задать опции RADIUS-агентов

Здесь описаны опции модуля LBarcd, которые актуальны для релиза 2.0.47. Устаревшие опции собраны в этой инструкции.

Некоторые опции можно настроить в административном интерфейсе в форме агента. Остальные нужно менять непосредственно в таблице agent_options с помощью SQL-запросов. Опции настраиваются отдельно для каждого RADIUS-агента. Структура sql-запроса:

INSERT INTO agent_options (id,name,descr,value) values ('ID агента','Опция','Описание','Значение') ON DUPLICATE KEY UPDATE value = values(value);

Список опций

auth_guest_no_ip
Описание Допустимые значения По умолчанию
Действие при авторизации абонента в гостевой сети. 0: выдавать IP-адреса
1: не выдавать IP-адреса
0
check_inventory_on_radius
Описание Допустимые значения По умолчанию
Проверка порта при авторизации. 0: проверка выключена
1: если учётная запись привязана к порту обрудования, а авторизация происходит с другого порта, то система выдаст Access-Reject
0
check-ip-when-static

В интерфейсе: форма агента — вкладка «Особые настройки» — блок «Выделение IP-адресов» — флаг «Проверять наличие статического IP-адреса в активных сессиях».

Описание Допустимые значения По умолчанию
Проверка при выдаче статического IP-адреса на сессию абонента. Эта опция работает, только если выключена опция radius-uses-lbinet. 0: система не проводит проверку и может повторно выдать IP-адрес, даже если он назначен активной сессии
1: система проверит, используется ли этот IP-адрес хотя бы в одной активной сесии. Если да — отправит Access-Reject.
0
gigawords-hacked
Описание Допустимые значения По умолчанию
Прибавлять 4GB к счётчику трафика при переполнении через 2 ** 32. Это нужно, потому что некоторое оборудование не умеет посылать атрибуты Acct-Input-Gigawords и Acct-Output-Gigawords. 0: выключена
1: включена
0
interim_update_time

В интерфейсе: форма агента — вкладка «Особые настройки» — блок «Параметры сессий» — флаг «Интервал между Interim-UPDATE запросами аккаунтинга».

Описание Допустимые значения По умолчанию
С каким интервалом нужно генерировать промежуточные пакеты для каждой сессии. Число отправляется в атрибуте Acct-Interim-Interval при Access-Accept. Натуральное число 60
lease-segment
Описание Допустимые значения По умолчанию
Маска, которая передаётся в атрибут Framed-IP-Netmask.
  • Если в запросе есть атрибут Framed-Protocol и выдача IP-адреса происходит на стороне агента, то в Access-Accept отдается Framed-IP-Netmask со значением 255.255.255.255, независимо от опции.
  • Если в запросе отсутствует Framed-Protocol и выдача IP-адреса происходит на стороне агента, то значение Framed-IP-Netmask зависит от опции.
0: маска подсети, указанная в настройках RADIUS-агента
1: маска подсети, которая назначена пользователю
1
macregex

В интерфейсе: форма агента — вкладка «Особые настройки» — блок «Настройка авторизации» — поле «Формат сохранения MAC-адреса из запросов авторизации».

Описание Допустимые значения По умолчанию
Регулярное выражение для замены MAC-адреса, который приходит в атрибуте Calling-Station-Id.
  • Регулярное выражение
  • Пустая строка: система приведёт MAC-aдрес к нижнему регистру
  • «auto»: система преобразует MAC-адрес с помощью регулярного выражения: /(..)[:.-]?(..)[:.-]?(..)[:.-]?(..)[:.-]?(..)[:.-]?(..)/\\1:\\2:\\3:\\4:\\5:\\6/i
Пустая строка
max_status_server_packets_per_second
Описание Допустимые значения По умолчанию
Максимальное количество пакетов Status-Server, которое необходимо обрабатывать за секунду. При его превышении пакеты Status-Server игнорируются. Натуральное число; «0» — игнорируются все пакеты; «infinite» — без ограничений infinite
rad-acct-start-timeout
Описание Допустимые значения По умолчанию
Время задержки в секундах перед возвратом IP-адреса в пул. После этого времени система перестаёт ждать, что для прерванной сессии придёт пакет Acct-START. Натуральное число 60
radius_insert_mac_staff

В интерфейсе: форма агента — вкладка «Особые настройки» — блок «Настройка авторизации» — флаг «Сохранять MAC-адрес из запросов авторизации».

Описание Допустимые значения По умолчанию
Необходимость сохранения MAC-адресов (значения атрибутов Calling-Station-Id или Mac-Addr) из RADIUS-запросов в процессе авторизации. 0: выключена
1: включена
0
radius_keep_only_last_auth_info

В интерфейсе: форма агента — вкладка «Особые настройки» — блок «Настройка авторизации» — флаг «Сохранять только последнюю неудачную попытку авторизации».

Описание Допустимые значения По умолчанию
При многочисленной неудачной авторизации обновлять существующую запись в auth_history, а не добавлять новые. 0: выключена
1: включена
0
radius_shape_calc_timeout
Описание Допустимые значения По умолчанию
Периодичность расчёта скорости учётной записи в секундах. Натуральное число 120
radius-acct-thread-num
Описание Допустимые значения По умолчанию
Количество потоков аккаунтинга. Если установлено «1» — многопоточный режим выключен Натуральное число 2
radius-always-try-service

В интерфейсе: форма агента — вкладка «Особые настройки» — блок «Настройка авторизации» — флаг «Включить авторизацию ISG-сервисов».

Описание Допустимые значения По умолчанию
При ISG-авторизации всегда пробовать авторизовать пользователя по названию сервиса. 0: выключена
1: включена
0
radius-auth-thread-num
Описание Допустимые значения По умолчанию
Количество потоков авторизации. Рекомендуем устанавливать больше, чем значение опции radius-acct-thread-num. Если установалено значение «1» — многопоточный режим выключен. Натуральное число 2
radius-card-opt82-card-set
Описание Допустимые значения По умолчанию
Идентификатор набора карт оплаты, который используется при авторизации по методу CARD_OPT82. Опция обязательна при авторизации пользователей карточной платформы по методу OPT82. Натуральное число Пустая строка
radius-disable-blocker
Описание Допустимые значения По умолчанию
Внутренний механизм блокировки учётных записей RADIUS-агента. 0: выключен
1: включён
0
radius-disable-stop-script
Описание Допустимые значения По умолчанию
Идентификаторы событий, для которых нужно отключить выполнение внешнего скрипта при остановке сессии. Идентификаторы нужно указывать через запятую:
  • 1 — административная блокировка
  • 2 — превышение трафика
  • 3 — timeout
  • 5 — блокировка по балансу
  • 6 — timeout-eap
  • 99 — получение STOP-пакета
Пустая строка
radius-enable-ipv6

В интерфейсе: форма агента — вкладка «Особые настройки» — флаг «Включить IPv6».

Описание Допустимые значения По умолчанию
Поддержка IPv6. 0: выключена
1: включена
0
radius-framed-ip-address-processing-type
Описание Допустимые значения По умолчанию
Способ обработки атрибута Framed-IP-Address в Access-Request.
  • 0 — значение Framed-IP-Address не используется в логике выдачи IP-адресов.
  • 1 — Framed-IP-Address игнорируется на этапе разбора сообщения. Агент ведёт себя так же, как если бы атрибут не был передан.
  • 2 — агент пытается выдать IP-адрес абоненту. Если не удаётся, то формируется Access-Reject.
  • 3 — если Framed-IP-Address передан и его возможно выдать, то агент выдаёт его. Если не получается выдать Framed-IP-Address, используется статический IP-адрес или динамически выдаётся другой — в зависимости от того, какой тип выдачи настроен в RADIUS-агенте
0
radius-mac-regex
Описание Допустимые значения По умолчанию
Регулярное выражение для замены MAC-адреса, который приходит в атрибуте Calling-Station-Id. Используется при обработке пакетов авторизации, если не активна опция macregex.
  • Регулярное выражение
  • Пустая строка: система приведёт MAC-aдрес к нижнему регистру
  • «auto»: система преобразует MAC-адрес с помощью регулярного выражения: /(..)[:.-]?(..)[:.-]?(..)[:.-]?(..)[:.-]?(..)[:.-]?(..)/\\1:\\2:\\3:\\4:\\5:\\6/i
Пустая строка
radius-max-packet-lifetime
Описание Допустимые значения По умолчанию
Время ожидания обработки пакета в миллисекундах. По истечению указанного времени необработанный пакет удаляется из очереди. Эта опция работает, только если включён многопоточный режим обработки пакетов: то есть значения опций radius-acct-thread-num и radius-auth-thread-num не равны «1». Целое неотрицательное число; если «0», то пакеты не будут удаляться из очереди 2000
radius-max-script-proc
Описание Допустимые значения По умолчанию
Максимальное количество handler-скриптов, работающих одновременно. Натральное число 10
radius-nameserver

В интерфейсе: форма агента — вкладка «Особые настройки» — блок «DHCP-сервер» — поле «DNS-сервер».

Описание Допустимые значения По умолчанию
Адрес DNS-сервера, который будет возвращаться в ответах DHCP-сервера. IPv4-адрес Пустая строка
radius-opt82-type
Описание Допустимые значения По умолчанию
Формат атрибутов DHCP-Relay-Agent-Information, circuit-id-tag, remote-id-tag.
  • binary: байтовое представление
  • hex: строка ASCII-символов в байтовом представлении
binary
radius-reject-blocked

В интерфейсе: форма агента — вкладка «Особые настройки» — блок «Настройки авторизации» — флаг «Отправлять Access-Reject при блокировке».

Описание Допустимые значения По умолчанию
Доступ заблокированных пользователей в гостевую сеть. 0: доступ разрешён
1: доступ запрещён
0
radius-reject-unauthorized

В интерфейсе: форма агента — вкладка «Особые настройки» — блок «Настройки авторизации» — флаг «Отправлять Access-Reject при неуспешной авторизации».

Описание Допустимые значения По умолчанию
Доступ неавторизованных пользователей в гостевую сеть. Гостем считается пользователь, прошедший аутентификацию, но не прошедший авторизацию. 0: доступ разрешён. В ответ на Access-Request будет отправлен Access-Accept. Система выдаст RADIUS-атрибуты, привязанные к результату авторизации «Неверные учётные данные».
1: доступ запрещён. В ответ на Access-Request будет отправлен Access-Reject.
0
radius-same-ip-on-guest

В интерфейсе: форма агента — вкладка «Особые настройки» — блок «Выделение IP-адресов» — флаг «Не использовать гостевые IP-сети при блокировке».

Описание Допустимые значения По умолчанию
Из каких сегментов выдавать адреса заблокированным учётным записям. Опция не влияет на абонентов, которые не находятся в блокировке, — им выдаются адреса из основного пула. 0: заблокированным учётным записям агент выделяет IP-адреса только из гостевых сегментов
1: гости считаются обычными пользователями и получают IP-адреса из основного пула
0
radius-script-timeout
Описание Допустимые значения По умолчанию
Время в секундах ожидания выполнения handler-скрипта. Натуральное число 1
radius-skip-session-timeout

В интерфейсе: форма агента — вкладка «Особые настройки» — блок «Параметры сессий» — флаг «Не отправлять атрибут Session-Timeout».

Описание Допустимые значения По умолчанию
Отправка атрибута Session-Timeout. Обратите внимание: независимо от этой опции можно настроить отправку в разделе RADIUS-атрибуты. 0: отправлять атрибут Session-Timeout
1: не отправлять
0
radius-stat-sync-limit
Описание Допустимые значения По умолчанию
Максимальное количество записей в таблицы статистики, которые могут быть переданы за один раз. Натуральное число 15000
radius-stat-sync-period

В интерфейсе: форма агента — вкладка «Общие сведения» — блок «Опции» — поле «Сохранять данные с интервалом».

Описание Допустимые значения По умолчанию
Интервал в секундах: как часто агент заносит данные о статистике в БД. Натуральное число 60
radius-sync-period
Описание Допустимые значения По умолчанию
Таймаут задержки реакции на события от LBcore. Дубликаты полученных событий агрегируются. Натуральное число 30
radius-time-meter
Описание Допустимые значения По умолчанию
Запись информации о состоянии очереди обработки пакетов в журнал LBarcd. Запись ведётся в формате «queue size N, X in, Y out, Z dropped»
  • N — количествово необработанных пакетов в очереди;
  • X — общее количествво пакетов, которое было поставлено в очередь;
  • Y — количествво пакетов, отправленных на обработку;
  • Z — количествво пакетов, отброшенных по таймауту

Эта опция работает, только если включён многопоточный режим обработки пакетов: то есть значения опций radius-acct-thread-num и radius-auth-thread-num не равны «1».

0: запись выключена
Натуральное число до 4 294 967 295: интервал в секундах, с которым ведётся запись. Соблюдение интервала не гарантируется, если в очереди нет пакетов.
0
radius-try-authorize-acct
Описание Допустимые значения По умолчанию
Авторизация неизвестной сессии по первому пакету аккаунтинга. Для этого используются атрибуты стандартной авторизации: IP, MAC, VLAN и OPT82. Если авторизация сессии не прошла, все дальнейшие пакеты игнорируется. 0: выключена
1: включена
0
radius-uses-lbinet

В интерфейсе: форма агента — вкладка «Особые настройки» — блок «DHCP-сервер» — флаг «Включить DHCP-сервер».

Описание Допустимые значения По умолчанию
DHCP-сервер. 0: IP-адресами управляет RADIUS-агент
1: IP-адресами управляет DHCP-сервер
0
skip-empty-framed-ip

В интерфейсе: форма агента — вкладка «Особые настройки» — блок «Выделение IP-адресов» — флаг «Не отправлять атрибут Framed-IP-Address с пустым значением».

Описание Допустимые значения По умолчанию
Отправка атрибута Framed-IP-Address со значением 255.255.255.255. 0: отправлять
1: не отправлять
0
trim-username
Описание Допустимые значения По умолчанию
Пробелы в начале и в конце строки в значении атрибута User-Name. 0: учитывать пробелы
1: игнорировать пробелы
0
user-name-in-access-accept-response
Описание Допустимые значения По умолчанию
Отправка атрибута User-Name в Access-Accept. Значение атрибута — логин учётной записи, которая была найдена на этапе аутентификации. Работает для всех методов аутентификации. 0: не отправлять User-Name в Access-Accept
1: отправлять User-Name. Если аутентификацию провести не удалось либо учётная запись отключена, а агент при этом настроен на авторизацию несуществующих пользователей — то атрибут User-Name будет содержать значение, которое пришло в пакете Access-Request. При авторизации сервисных сессий модели ISG поведение такое: если Access-Request возможно соотнести с уже установленной основной абонентской сессией, то в атрибут User-Name будет передан логин учётной записи основной сессии.
0