Задать опции RADIUS-агентов
Здесь описаны опции модуля LBarcd, которые актуальны для релиза 2.0.52. Устаревшие опции собраны в этой инструкции.
Некоторые опции можно настроить в административном интерфейсе в форме агента. Остальные нужно менять непосредственно в таблице agent_options с помощью SQL-запросов. Опции настраиваются отдельно для каждого RADIUS-агента. Структура sql-запроса:
INSERT INTO agent_options (id,name,descr,value) values ('ID агента','Опция','Описание','Значение') ON DUPLICATE KEY UPDATE value = values(value);
Список опций
auth_guest_no_ip
| Описание |
Допустимые значения |
По умолчанию |
| Действие при авторизации абонента в гостевой сети. |
0: выдавать IP-адреса
1: не выдавать IP-адреса
|
0 |
check_inventory_on_radius
| Описание |
Допустимые значения |
По умолчанию |
| Проверка порта при авторизации. |
0: проверка выключена
1: если учётная запись привязана к порту обрудования, а авторизация происходит с другого порта, то система выдаст Access-Reject
|
0 |
check-ip-when-static
В интерфейсе: форма агента — вкладка «Особые настройки» — блок «Выделение IP-адресов» — флаг «Проверять наличие статического IP-адреса в активных сессиях».
| Описание |
Допустимые значения |
По умолчанию |
| Проверка при выдаче статического IP-адреса на сессию абонента. Эта опция работает, только если выключена опция radius-uses-lbinet.
|
0: система не проводит проверку и может повторно выдать IP-адрес, даже если он назначен активной сессии
1: система проверит, используется ли этот IP-адрес хотя бы в одной активной сесии. Если да — отправит Access-Reject.
|
0 |
gigawords-hacked
| Описание |
Допустимые значения |
По умолчанию |
Прибавлять 4GB к счётчику трафика при переполнении через 2 ** 32. Это нужно, потому что некоторое оборудование не умеет посылать атрибуты Acct-Input-Gigawords и Acct-Output-Gigawords. |
0: выключена
1: включена
|
0 |
interim_update_time
В интерфейсе: форма агента — вкладка «Особые настройки» — блок «Параметры сессий» — флаг «Интервал между Interim-UPDATE запросами аккаунтинга».
| Описание |
Допустимые значения |
По умолчанию |
С каким интервалом нужно генерировать промежуточные пакеты для каждой сессии. Число отправляется в атрибуте Acct-Interim-Interval при Access-Accept. |
Натуральное число |
60 |
lease-segment
| Описание |
Допустимые значения |
По умолчанию |
Маска, которая передаётся в атрибут Framed-IP-Netmask.
- Если в запросе есть атрибут
Framed-Protocol и выдача IP-адреса происходит на стороне агента, то в Access-Accept отдается Framed-IP-Netmask со значением 255.255.255.255, независимо от опции.
- Если в запросе отсутствует
Framed-Protocol и выдача IP-адреса происходит на стороне агента, то значение Framed-IP-Netmask зависит от опции.
|
0: маска подсети, указанная в настройках RADIUS-агента
1: маска подсети, которая назначена пользователю
|
1 |
macregex
В интерфейсе: форма агента — вкладка «Особые настройки» — блок «Настройка авторизации» — поле «Формат сохранения MAC-адреса из запросов авторизации».
| Описание |
Допустимые значения |
По умолчанию |
Регулярное выражение для замены MAC-адреса, который приходит в атрибуте Calling-Station-Id. |
- Регулярное выражение
- Пустая строка: система приведёт MAC-aдрес к нижнему регистру
- «auto»: система преобразует MAC-адрес с помощью регулярного выражения: /(..)[:.-]?(..)[:.-]?(..)[:.-]?(..)[:.-]?(..)[:.-]?(..)/\\1:\\2:\\3:\\4:\\5:\\6/i
|
Пустая строка |
max_status_server_packets_per_second
| Описание |
Допустимые значения |
По умолчанию |
Максимальное количество пакетов Status-Server, которое необходимо обрабатывать за секунду. При его превышении пакеты Status-Server игнорируются. |
Натуральное число; «0» — игнорируются все пакеты; «infinite» — без ограничений |
infinite |
rad-acct-start-timeout
| Описание |
Допустимые значения |
По умолчанию |
Время задержки в секундах перед возвратом IP-адреса в пул. После этого времени система перестаёт ждать, что для прерванной сессии придёт пакет Acct-START. |
Натуральное число |
60 |
radius_insert_mac_staff
В интерфейсе: форма агента — вкладка «Особые настройки» — блок «Настройка авторизации» — флаг «Сохранять MAC-адрес из запросов авторизации».
| Описание |
Допустимые значения |
По умолчанию |
Необходимость сохранения MAC-адресов (значения атрибутов Calling-Station-Id или Mac-Addr) из RADIUS-запросов в процессе авторизации. |
0: выключена
1: включена
|
0 |
radius_keep_only_last_auth_info
В интерфейсе: форма агента — вкладка «Особые настройки» — блок «Настройка авторизации» — флаг «Сохранять только последнюю неудачную попытку авторизации».
| Описание |
Допустимые значения |
По умолчанию |
| При многочисленной неудачной авторизации обновлять существующую запись в auth_history, а не добавлять новые. |
0: выключена
1: включена
|
0 |
radius_shape_calc_timeout
| Описание |
Допустимые значения |
По умолчанию |
| Периодичность расчёта скорости учётной записи в секундах. |
Натуральное число |
120 |
radius-acct-thread-num
| Описание |
Допустимые значения |
По умолчанию |
| Количество потоков аккаунтинга. Если установлено «1» — многопоточный режим выключен |
Натуральное число |
2 |
radius-always-try-service
В интерфейсе: форма агента — вкладка «Особые настройки» — блок «Настройка авторизации» — флаг «Включить авторизацию ISG-сервисов».
| Описание |
Допустимые значения |
По умолчанию |
| При ISG-авторизации всегда пробовать авторизовать пользователя по названию сервиса. |
0: выключена
1: включена
|
0 |
radius-auth-thread-num
| Описание |
Допустимые значения |
По умолчанию |
| Количество потоков авторизации. Рекомендуем устанавливать больше, чем значение опции radius-acct-thread-num. Если установалено значение «1» — многопоточный режим выключен. |
Натуральное число |
2 |
radius-card-opt82-card-set
| Описание |
Допустимые значения |
По умолчанию |
Идентификатор набора карт оплаты, который используется при авторизации по методу CARD_OPT82. Опция обязательна при авторизации пользователей карточной платформы по методу OPT82. |
Натуральное число |
Пустая строка |
radius-disable-blocker
| Описание |
Допустимые значения |
По умолчанию |
| Внутренний механизм блокировки учётных записей RADIUS-агента. |
0: выключен
1: включён
|
0 |
radius-disable-stop-script
| Описание |
Допустимые значения |
По умолчанию |
| Идентификаторы событий, для которых нужно отключить выполнение внешнего скрипта при остановке сессии. |
Идентификаторы нужно указывать через запятую:
- 1 — административная блокировка
- 2 — превышение трафика
- 3 — timeout
- 5 — блокировка по балансу
- 6 — timeout-eap
- 99 — получение STOP-пакета
|
Пустая строка |
radius-enable-ipv6
В интерфейсе: форма агента — вкладка «Особые настройки» — флаг «Включить IPv6».
| Описание |
Допустимые значения |
По умолчанию |
| Поддержка IPv6. |
0: выключена
1: включена
|
0 |
radius-framed-ip-address-processing-type
| Описание |
Допустимые значения |
По умолчанию |
Способ обработки атрибута Framed-IP-Address в Access-Request. |
- 0 — значение
Framed-IP-Address не используется в логике выдачи IP-адресов.
- 1 —
Framed-IP-Address игнорируется на этапе разбора сообщения. Агент ведёт себя так же, как если бы атрибут не был передан.
- 2 — агент пытается выдать IP-адрес абоненту. Если не удаётся, то формируется
Access-Reject.
- 3 — если
Framed-IP-Address передан и его возможно выдать, то агент выдаёт его. Если не получается выдать Framed-IP-Address, используется статический IP-адрес или динамически выдаётся другой — в зависимости от того, какой тип выдачи настроен в RADIUS-агенте
|
0 |
radius-mac-regex
| Описание |
Допустимые значения |
По умолчанию |
Регулярное выражение для замены MAC-адреса, который приходит в атрибуте Calling-Station-Id. Используется при обработке пакетов авторизации, если не активна опция macregex. |
- Регулярное выражение
- Пустая строка: система приведёт MAC-aдрес к нижнему регистру
- «auto»: система преобразует MAC-адрес с помощью регулярного выражения: /(..)[:.-]?(..)[:.-]?(..)[:.-]?(..)[:.-]?(..)[:.-]?(..)/\\1:\\2:\\3:\\4:\\5:\\6/i
|
Пустая строка |
radius-max-packet-lifetime
| Описание |
Допустимые значения |
По умолчанию |
| Время ожидания обработки пакета в миллисекундах. По истечению указанного времени необработанный пакет удаляется из очереди. Эта опция работает, только если включён многопоточный режим обработки пакетов: то есть значения опций radius-acct-thread-num и radius-auth-thread-num не равны «1». |
Целое неотрицательное число; если «0», то пакеты не будут удаляться из очереди |
2000 |
radius-max-script-proc
| Описание |
Допустимые значения |
По умолчанию |
| Максимальное количество handler-скриптов, работающих одновременно. |
Натральное число |
10 |
radius-nameserver
В интерфейсе: форма агента — вкладка «Особые настройки» — блок «DHCP-сервер» — поле «DNS-сервер».
| Описание |
Допустимые значения |
По умолчанию |
| Адрес DNS-сервера, который будет возвращаться в ответах DHCP-сервера. |
IPv4-адрес |
Пустая строка |
radius-opt82-type
| Описание |
Допустимые значения |
По умолчанию |
Формат атрибутов DHCP-Relay-Agent-Information, circuit-id-tag, remote-id-tag. |
- binary: байтовое представление
- hex: строка ASCII-символов в байтовом представлении
|
binary |
radius-reject-blocked
В интерфейсе: форма агента — вкладка «Особые настройки» — блок «Настройки авторизации» — флаг «Отправлять Access-Reject при блокировке».
| Описание |
Допустимые значения |
По умолчанию |
| Доступ заблокированных пользователей в гостевую сеть. |
0: доступ разрешён
1: доступ запрещён
|
0 |
radius-reject-unauthorized
В интерфейсе: форма агента — вкладка «Особые настройки» — блок «Настройки авторизации» — флаг «Отправлять Access-Reject при неуспешной авторизации».
| Описание |
Допустимые значения |
По умолчанию |
| Доступ неавторизованных пользователей в гостевую сеть. Гостем считается пользователь, прошедший аутентификацию, но не прошедший авторизацию. |
0: доступ разрешён. В ответ на Access-Request будет отправлен Access-Accept. Система выдаст RADIUS-атрибуты, привязанные к результату авторизации «Неверные учётные данные».
1: доступ запрещён. В ответ на Access-Request будет отправлен Access-Reject.
|
0 |
radius-same-ip-on-guest
В интерфейсе: форма агента — вкладка «Особые настройки» — блок «Выделение IP-адресов» — флаг «Не использовать гостевые IP-сети при блокировке».
| Описание |
Допустимые значения |
По умолчанию |
| Из каких сегментов выдавать адреса заблокированным учётным записям. Опция не влияет на абонентов, которые не находятся в блокировке, — им выдаются адреса из основного пула. |
0: заблокированным учётным записям агент выделяет IP-адреса только из гостевых сегментов
1: гости считаются обычными пользователями и получают IP-адреса из основного пула
|
0 |
radius-script-timeout
| Описание |
Допустимые значения |
По умолчанию |
| Время в секундах ожидания выполнения handler-скрипта. |
Натуральное число |
1 |
radius-skip-session-timeout
В интерфейсе: форма агента — вкладка «Особые настройки» — блок «Параметры сессий» — флаг «Не отправлять атрибут Session-Timeout».
| Описание |
Допустимые значения |
По умолчанию |
Отправка атрибута Session-Timeout. Обратите внимание: независимо от этой опции можно настроить отправку в разделе RADIUS-атрибуты. |
0: отправлять атрибут Session-Timeout
1: не отправлять
|
0 |
radius-stat-sync-limit
| Описание |
Допустимые значения |
По умолчанию |
| Максимальное количество записей в таблицы статистики, которые могут быть переданы за один раз. |
Натуральное число |
15000 |
radius-stat-sync-period
В интерфейсе: форма агента — вкладка «Общие сведения» — блок «Опции» — поле «Сохранять данные с интервалом».
| Описание |
Допустимые значения |
По умолчанию |
| Интервал в секундах: как часто агент заносит данные о статистике в БД. |
Натуральное число |
60 |
radius-sync-period
| Описание |
Допустимые значения |
По умолчанию |
| Таймаут задержки реакции на события от LBcore. Дубликаты полученных событий агрегируются. |
Натуральное число |
30 |
radius-try-authorize-acct
| Описание |
Допустимые значения |
По умолчанию |
| Авторизация неизвестной сессии по первому пакету аккаунтинга. Для этого используются атрибуты стандартной авторизации: IP, MAC, VLAN и OPT82. Если авторизация сессии не прошла, все дальнейшие пакеты игнорируется. |
0: выключена
1: включена
|
0 |
radius-uses-lbinet
В интерфейсе: форма агента — вкладка «Особые настройки» — блок «DHCP-сервер» — флаг «Включить DHCP-сервер».
| Описание |
Допустимые значения |
По умолчанию |
| DHCP-сервер. |
0: IP-адресами управляет RADIUS-агент
1: IP-адресами управляет DHCP-сервер
|
0 |
skip-empty-framed-ip
В интерфейсе: форма агента — вкладка «Особые настройки» — блок «Выделение IP-адресов» — флаг «Не отправлять атрибут Framed-IP-Address с пустым значением».
| Описание |
Допустимые значения |
По умолчанию |
Отправка атрибута Framed-IP-Address со значением 255.255.255.255. |
0: отправлять
1: не отправлять
|
0 |
trim-username
| Описание |
Допустимые значения |
По умолчанию |
Пробелы в начале и в конце строки в значении атрибута User-Name. |
0: учитывать пробелы
1: игнорировать пробелы
|
0 |
user-name-in-access-accept-response
| Описание |
Допустимые значения |
По умолчанию |
Отправка атрибута User-Name в Access-Accept. Значение атрибута — логин учётной записи, которая была найдена на этапе аутентификации. Работает для всех методов аутентификации.
|
0: не отправлять User-Name в Access-Accept
1: отправлять User-Name. Если аутентификацию провести не удалось либо учётная запись отключена, а агент при этом настроен на авторизацию несуществующих пользователей — то атрибут User-Name будет содержать значение, которое пришло в пакете Access-Request. При авторизации сервисных сессий модели ISG поведение такое: если Access-Request возможно соотнести с уже установленной основной абонентской сессией, то в атрибут User-Name будет передан логин учётной записи основной сессии.
|
0 |