Radius Log

از ویکی پارس پویش
(تفاوت بین نسخه‌ها)
پرش به: ناوبری, جستجو
 
(۴۰ ویرایش میانی توسط ۲ کاربر نشان داده نشده‌است)
سطر ۴: سطر ۴:
 
<div dir=rtl lang=fa>
 
<div dir=rtl lang=fa>
  
= RADIUS LOG =
+
= Radius Log =
 +
 
 +
'''RADIUS'''
 +
 
 +
ردیوس چیست ؟ (Remote Authentication Dail-In User Service (RADIUS یک سرویس مرکزی احراز هویت می باشد . به جای اینکه هر سرور RAS به صورت جداگانه نیازمند یک پایگاه داده باشد تا اشخاص را احراز هویت کند , درخواست های احرازهویت به یک سرور مرکزی ارسال می گردند . تا تمامی کاربران و یا تجهیزات توسط سرویس مرکزی احراز هویت شوند .
  
 
کلیه اطلاعات ارسالی از BRAS توسط AAA به صورت text file در مسیر زیر ذخیره و قابل استناد است.
 
کلیه اطلاعات ارسالی از BRAS توسط AAA به صورت text file در مسیر زیر ذخیره و قابل استناد است.
سطر ۱۱: سطر ۱۵:
 
<div dir=ltr lang=en>
 
<div dir=ltr lang=en>
  
'''/var/log/IBSng/RADIUS '''
+
'''/var/log/IBSng/RADIUS '''
  
 
</div>
 
</div>
  
لازم به ذکر است با توجه به حجم بالای لاگ های Radius،این لاگ ها در بازه ای از زمان rotate می گردد.
+
لازم به ذکر است با توجه به حجم بالای لاگ های Radius، این لاگ ها در بازه ای از زمان rotate می گردد.
  
 
در صورت نیاز به نگهداری RADIUS log می بایست فضای مناسب جهت ذخیره سازی در اختیار IBSng قرار گیرد.
 
در صورت نیاز به نگهداری RADIUS log می بایست فضای مناسب جهت ذخیره سازی در اختیار IBSng قرار گیرد.
  
RADIUS log شامل دو فاز می باشد.
+
Radius شامل سه فاز می باشد:
  
 
:* Authentication
 
:* Authentication
  
 
:* Accounting
 
:* Accounting
 +
 +
:* Authorization
  
  
سطر ۲۹: سطر ۳۵:
  
  
== Authentication ==
+
== '''Authentication''' ==
 +
 
 +
پروسه شناسایی و احراز هویت برای تشخیص کسی و یا چیزی است  . '''authentication''' معمولا و به صورت پیشفرش به صورت یوزر و پسوزر سمت شخص و یا تجهیزات از همدیگر تمیز داده میشوند که به موجب آن دسترسی و عدم دسترسی برای کاربر را به همراه دارد . پیام Authentication از سمت access server به سمت RADIUS توسط پورت 1812 UDP  ارسال میشود .
 +
 
 +
در Radias digram زیر، فاز Authentication با کادر قرمز مشخص شده است:
 +
 
 +
 
 +
[[Image:radius-diag-auth.jpg|center]]
 +
 
 +
 
 +
 
 +
جهت دسترسی به لاگ های این فاز از دستور زیر می توانید استفاده نمایید:
 +
 
 +
 
 +
<div dir=ltr lang=en>
 +
 
 +
'''less /var/log/IBSng/RADIUS/auth.log '''
 +
 
 +
</div>
 +
 
 +
پکت های '''Access-Request'''، '''Access-Accept''' و '''Access-Reject''' در فایل '''auth.log''' قرار گرفته است.
  
Authentication
 
  
 
=== Access-Request ===
 
=== Access-Request ===
  
Access-request  
+
در این قسمت لاگ درخواستهای اتصال کاربران از سمت Bras  به AAA ارسال می شود. نمونه packet ارسالی مشابه نمونه packet زیر می باشد:
 +
 
 +
 
 +
<div dir=ltr lang=en>
 +
 
 +
Nov 16 06:25:06 Ardebil-Core-DB-B RADIUS_WORKER_4: ibs_radius:'''Access-Request''' packet from host 192.168.99.5 port 21734, '''id=75''', length=198
 +
    User-Password = 0x58df6d85d38daaf3hd72eeec173fbc8f8ed
 +
    NAS-IP-Address = 192.168.99.5
 +
    '''User-Name = test'''
 +
    NAS-Port-Id = 1/0/0/409
 +
    Cisco-AVPair = client-mac-address=a1b2.c3d4.f5f6
 +
    Cisco-AVPair = circuit-id-tag=Angut atm 9/24:409:0.35
 +
    Framed-Protocol = PPP
 +
    Service-Type = Framed-User
 +
    Acct-Session-Id = 1/0/0/409_00C40C34
 +
    NAS-Port-Type = Ethernet
 +
    NAS-Port = 268435865
 +
NAS-Port = 15781409
 +
 
 +
</div>
 +
 
 +
موارد کاربردی در نمونه Packet بالا شامل :
 +
 
 +
:* '''Username''': نام کاربری ، کاربر در حال اتصال.
 +
 
 +
:* '''User-Password''' : رمز عبور کاربر که بسته به نوع Authentication که روی RAS ست شده، ممکن است به صورت هش و یا به صورت clear text نمایش داده می شود.
 +
 
 +
:* '''NAS-IP-Address''': ‌‌ب Bras IP که این درخواست را ارسال کرده است.
 +
 
 +
:* '''Framed-Protocol''': پروتکل درخواست اتصال کاربر به Bras
 +
 
 +
:* '''client-mac-address''': مک آدرس کاربر
 +
 
 +
:* '''Acct-Session-Id''': مشخصه یکتایی است برای match شدن start acc و stop acc
 +
 
 +
:* '''id''': مقدار id در access-request مطابق است با id در access-accept
  
 
=== Access-Accept ===
 
=== Access-Accept ===
  
Access-Accept
+
لاگ تایید ارتباط کاربر که از سمت AAA به سمت Bras ارسال می شود. نمونه packet ارسالی مشابه نمونه packet زیر می باشد:
 +
 
 +
در صورت وجود مشخصه ای در AAA مانند IPpool یا policy، این مشخصه در access-accept به Bras ارسال می شود.
 +
 
 +
<div dir=ltr lang=en>
 +
 
 +
Nov 16 06:25:06 Ardebil-Core-DB-B RADIUS_WORKER_2: ibs_radius:Access-Request packet from host 192.168.99.5 port 21734, id=87, length=211
 +
    User-Password = 0xa8286cd4bfeb2ccd9903b1gm99bf29e4e98
 +
    NAS-IP-Address = 192.168.99.5
 +
    '''User-Name = test'''
 +
    NAS-Port-Id = 1/0/0/407
 +
    Cisco-AVPair = client-mac-address=a1b2.c3d4.f5f6
 +
    Cisco-AVPair = circuit-id-tag=Jafarabad-zhone-1 atm 16/37:407:0.35
 +
    Framed-Protocol = PPP
 +
    Service-Type = Framed-User
 +
    Acct-Session-Id = 1/0/0/407_00C40C32
 +
    NAS-Port-Type = Ethernet
 +
    NAS-Port = 268435863
 +
Nov 16 06:25:06 Ardebil-Core-DB-B RADIUS_WORKER_2: ibs_radius:'''Access-Accept''' packet to host 192.168.99.5 port 21734, id=84, length=56 process_start=0.0643s, 
 +
rad_server_handle_start=0.0643s, rad_server_send_to_main=0.0625s, ras_msg_dispatch_start=0.0617s, internet_authenticate_before_late_check=0.0615s,
 +
user_worker_enqueue=0.0615s, internet_authenticate_start=0.0133s, internet_authenticate_ready_to_process=0.0101s, user_worker_run_start=0.0097s,
 +
user_worker_process_start=0.0084s, user_worker_process_finish=0.0056s, user_worker_run_finished=0.0041s, ras_msg_dispatch_finished=0.0028s
 +
    Framed-Protocol = PPP
 +
    Service-Type = Framed-User
 +
    Framed-IP-Netmask = 255.255.255.255
 +
    Framed-IP-Address = xx.xx.xx.xx
 +
    '''Cisco-Policy-Down = 1024'''
 +
    '''Cisco-Policy-Up = 1024'''
 +
 
 +
</div>
 +
 
 +
موارد کاربردی در نمونه Packet بالا شامل :
 +
 
 +
:* '''Username''': نام کاربری ، کاربر در حال اتصال.
 +
 
 +
:* '''User-Password''' : رمز عبور کاربر که بسته به نوع Authentication که روی RAS ست شده، ممکن است به صورت هش و یا به صورت clear text نمایش داده می شود.
 +
 
 +
:* '''NAS-IP-Address''': ‌‌ب Bras IP که این درخواست را ارسال کرده است.
 +
 
 +
:* '''Framed-Protocol''': پروتکل درخواست اتصال کاربر به Bras
 +
 
 +
:* '''client-mac-address''': مک آدرس کاربر
 +
 
 +
:* '''Acct-Session-Id''': مشخصه یکتایی است برای match شدن start acc و stop acc
 +
 
 +
:* '''id''': مقدار id در access-request مطابق است با id در access-accept
 +
 
 +
:* '''Cisco-Policy-Down''': پالیسی rate دانلود کاربر که در گزینه Limit bw (Inras) در شارژ ست شده است.
 +
 
 +
:* '''Cisco-Policy-Up''': پالیسی rate آپلود کاربر که در گزینه Limit bw (Inras) در شارژ ست شده است.
  
 
=== Access-Reject ===
 
=== Access-Reject ===
  
Access-Reject
+
در صورت عدم تایید Access-request ارسالی از سمت Bras، سرور AAA درخواست Access-reject را به Bras ارسال می کند. نمونه packet ارسالی مشابه نمونه packet زیر می باشد:
  
== Accounting ==
 
  
Accounting
+
<div dir=ltr lang=en>
 +
 
 +
Nov 16 06:25:06 Ardebil-Core-DB-B RADIUS_WORKER_3: ibs_radius:'''Access-Request''' packet from host 192.168.99.5 port 21734, id=76, length=200
 +
    User-Password = 0x4ab7705f03b3bgh7718cd78f0b03525a990
 +
    NAS-IP-Address = 192.168.99.5
 +
    '''User-Name= test'''
 +
    NAS-Port-Id = 1/0/0/407
 +
    Cisco-AVPair = client-mac-address=a1b2.c3d4.f5f6
 +
    Cisco-AVPair = circuit-id-tag=Jafarabad-2 atm 3/41:0.35
 +
    Framed-Protocol = PPP
 +
    Service-Type = Framed-User
 +
    Acct-Session-Id = 1/0/0/407_00C40C2D
 +
    NAS-Port-Type = Ethernet
 +
    NAS-Port = 268435863
 +
Nov 16 06:25:06 Ardebil-Core-DB-B RADIUS_WORKER_4: ibs_radius:'''Access-Reject''' packet to host 192.168.99.5 port 21734, id=75, length=39 process_start=0.0317s, 
 +
rad_server_handle_start=0.0317s, rad_server_send_to_main=0.0293s, ras_msg_dispatch_start=0.0286s, internet_authenticate_before_late_check=0.0285s,
 +
user_worker_enqueue=0.0285s, internet_authenticate_start=0.0043s, ras_msg_dispatch_finished=0.0024s
 +
    Framed-Protocol = PPP
 +
    Service-Type = Framed-User
 +
    '''Reply-Message = E=900'''
 +
 
 +
</div>
 +
 
 +
:* '''Username''': نام کاربری ، کاربر در حال اتصال.
 +
 
 +
:* '''User-Password''' : رمز عبور کاربر که بسته به نوع Authentication که روی RAS ست شده، ممکن است به صورت هش و یا به صورت clear text نمایش داده می شود.
 +
 
 +
:* '''NAS-IP-Address''': ‌‌ب Bras IP که این درخواست را ارسال کرده است.
 +
 
 +
:* '''Framed-Protocol''': پروتکل درخواست اتصال کاربر به Bras.
 +
 
 +
:* '''client-mac-address''': مک آدرس کاربر .
 +
 
 +
:* '''Acct-Session-Id''': مشخصه یکتایی است برای match شدن start acc و stop acc.
 +
 
 +
:* '''id''': مقدار id در access-request مطابق است با id در access-reject.
 +
 
 +
:* '''Reply-Message''': دلیل عدم اتصال کاربر.
 +
 
 +
== '''Accounting''' ==
 +
 
 +
طی این فرایند، گزارشی از عملکرد و یا محاسبه میزان مصرف کاربران یا سخت‌افزارهایی که هویت آنها تایید شده است توسط سرور RADIUS آماده میشود . سرور ردیوس این گزارشات و میزان مصرف را از access server بر روی پورت 1813 UDP دریافت کرده و محاسبه می نماید .
 +
 
 +
در Radias digram زیر،فاز Accounting با کادر قرمز مشخص شده است:
 +
 
 +
 
 +
[[Image:radius-diag-acc.jpg|center]]
  
 
=== Start ===
 
=== Start ===
  
start
+
start accounting جواب Bras به Access-accept ارسالی از AAA است.
 +
 
 +
جهت دسترسی به لاگ های این قسمت از دستور زیر می توانید استفاده نمایید:
 +
 
 +
 
 +
<div dir=ltr lang=en>
 +
 
 +
'''less /var/log/IBSng/RADIUS/start_stop.log '''
 +
 
 +
</div>
 +
 
 +
پکت های  '''start''' در فایل '''start_stop.log''' قرار گرفته است.
 +
 
 +
<div dir=ltr lang=en>
 +
 
 +
Nov 16 06:01:03 Ardebil-Core-DB-B RADIUS_WORKER_1: '''ibs_start_stop''':Accounting-Request packet from host 192.168.99.6 port 21673, id=18, length=263
 +
    NAS-IP-Address = 192.168.99.6
 +
    '''User-Name = test'''
 +
    NAS-Port-Id = 5/0/0/519
 +
    Cisco-Policy-Down = 512
 +
    '''Acct-Status-Type = Start'''
 +
    Cisco-AVPair = connect-progress=LAN Ses Up
 +
    Cisco-AVPair = client-mac-address=a1b2.c3d4.f5f6
 +
    Cisco-AVPair = circuit-id-tag=Ard-Bakeri-Zyxel-1 atm 4/15:0.35:519
 +
    Acct-Delay-Time = 0
 +
    Framed-Protocol = PPP
 +
    Framed-IP-Address = xx.xx.xx.xx
 +
    Acct-Authentic = RADIUS
 +
    Acct-Session-Id = 5/0/0/519_132E061A
 +
    NAS-Port-Type = Ethernet
 +
    Service-Type = Framed-User
 +
    NAS-Port = 1342177799
 +
 
 +
</div>
 +
 
 +
:* '''Username''': نام کاربری ، کاربر در حال اتصال.
 +
 
 +
:* '''NAS-IP-Address''': ‌‌ب Bras IP که این درخواست را ارسال کرده است.
 +
 
 +
:* '''Framed-Protocol''': پروتکل درخواست اتصال کاربر به Bras.
 +
 
 +
:* '''client-mac-address''': مک آدرس کاربر .
 +
 
 +
:* '''Acct-Session-Id''': مشخصه یکتایی است برای match شدن start acc و stop acc.
 +
 
 +
:* '''Acct-Status-Type''': نوع پکت ارسالی را مشخص می نماید که شامل '''Start'''، '''Alive''' و '''Stop''' است.
 +
 
  
 
=== Alive ===
 
=== Alive ===
  
Alive
+
تا زمانی که اتصال کاربر برقرار است به ازا هر update accounting یک پکت Alive از سمت Bras ارسال می شود.
 +
 
 +
جهت دسترسی به لاگ های این قسمت از دستور زیر می توانید استفاده نمایید:
 +
 
 +
 
 +
<div dir=ltr lang=en>
 +
 
 +
'''less /var/log/IBSng/RADIUS/alive.log '''
 +
 
 +
</div>
 +
 
 +
پکت های  '''alive''' در فایل '''alive.log''' قرار گرفته است.
 +
 
 +
<div dir=ltr lang=en>
 +
 
 +
Nov 16 00:01:01 Ardebil-Core-DB-B RADIUS_WORKER_4: '''ibs_alive''':Accounting-Request packet from host 192.168.99.5 port 21654, id=71, length=347
 +
    NAS-IP-Address = 192.168.99.5
 +
    '''User-Name = test'''
 +
    NAS-Port-Id = 1/0/0/408
 +
    Cisco-Policy-Down = 3072
 +
    Acct-Session-Time = 36216
 +
    Acct-Output-Packets = 15001
 +
    Framed-IP-Address = xx.xx.xx.xx
 +
    Acct-Input-Packets = 11063
 +
    Framed-Protocol = PPP
 +
    Cisco-AVPair = client-mac-address=a1b2.c3d4.f5f6
 +
    Cisco-AVPair = connect-progress=LAN Ses Up
 +
    Cisco-AVPair = nas-tx-speed=1000000000
 +
    Cisco-AVPair = nas-rx-speed=1000000000
 +
    Cisco-AVPair = circuit-id-tag=Germi-Emam atm 3/2:408:0.35
 +
    Acct-Authentic = RADIUS
 +
    Acct-Delay-Time = 0
 +
    '''Acct-Input-Gigawords = 2'''
 +
    Acct-Session-Id = 1/0/0/408_00BBE309
 +
    '''Acct-Output-Gigawords = 3'''
 +
    '''Acct-Input-Octets = 981842'''
 +
    Service-Type = Framed-User
 +
    '''Acct-Output-Octets = 6771644'''
 +
    NAS-Port-Type = Ethernet
 +
    NAS-Port = 268435864
 +
    '''Acct-Status-Type = Alive'''
 +
 
 +
</div>
 +
 
 +
:* '''Username''': نام کاربری ، کاربر در حال اتصال.
 +
 
 +
:* '''NAS-IP-Address''': ‌‌ب Bras IP که این درخواست را ارسال کرده است.
 +
 
 +
:* '''Framed-Protocol''': پروتکل درخواست اتصال کاربر به Bras.
 +
 
 +
:* '''client-mac-address''': مک آدرس کاربر .
 +
 
 +
:* '''Acct-Session-Id''': مشخصه یکتایی است برای match شدن start acc و stop acc.
 +
 
 +
:* '''Acct-Status-Type''': نوع پکت ارسالی را مشخص می نماید که شامل '''Start'''، '''Alive''' و '''Stop''' است.
 +
 
 +
:* '''Acct-Input-Gigawords''': مقدار ثبت شده در این گزینه معادل '''4 گیگا بایت''' دانلود کاربر است، به عنوان نمونه اگر گزینه عدد 3 را نمایش می دهد یعنی کاربر 12 گیگ مصرف داشته است. 12=3*4
 +
 
 +
:* '''Acct-Output-Gigawords''': مقدار ثبت شده در این گزینه معادل '''4 گیگا بایت''' آپلود کاربر است، به عنوان نمونه اگر گزینه عدد 2 را نمایش می دهد یعنی کاربر 8 گیگ مصرف داشته است. 8=2*4
 +
 
 +
:* '''Acct-Input-Octets''': مقدار ثبت شده در این گزینه میزان دانلود کاربر است، که با '''Gigaword''' جمع و میزان مصرف کلی دانلود محاسبه می شود. واحد آن '''Byte''' است.
 +
 
 +
:* '''Acct-Output-Octets''': مقدار ثبت شده در این گزینه میزان آپلود کاربر است، که با '''Gigaword''' جمع و میزان مصرف کلی آپلود محاسبه می شود. واحد آن '''Byte''' است.
 +
 
  
 
=== Stop ===
 
=== Stop ===
  
Stop
+
جهت دسترسی به لاگ های این قسمت از دستور زیر می توانید استفاده نمایید:
 +
 
 +
 
 +
<div dir=ltr lang=en>
 +
 
 +
'''less /var/log/IBSng/RADIUS/start_stop.log '''
 +
 
 +
</div>
 +
 
 +
پکت های  '''stop''' در فایل '''start_stop.log''' قرار گرفته است.
 +
 
 +
میزان حجم مصرفی کاربر را می توانید در این پکت محاسبه نمایید. مجموع گزینه های Acct-Input-Gigawords و Acct-Input-Octets برای دانلود و Acct-Output-Gigawords و Acct-
 +
Output-Octets را برای آپلود محاسبه نمایید.
 +
 
 +
 
 +
<div dir=ltr lang=en>
 +
 
 +
Nov 16 06:01:03 Ardebil-Core-DB-B RADIUS_WORKER_3: '''ibs_start_stop''':Accounting-Request packet from host 192.168.99.5 port 21761, id=239, length=429
 +
    NAS-IP-Address = 192.168.99.5
 +
    '''User-Name = test'''
 +
    NAS-Port-Id = 1/0/0/408
 +
    Acct-Session-Time = 2703
 +
    Acct-Output-Packets = 585
 +
    Framed-IP-Address = xx.xx.xx.xx
 +
    Acct-Input-Packets = 711
 +
    Framed-Protocol = PPP
 +
    Cisco-AVPair = client-mac-address=a1b2.c3d4.f5f6
 +
    Cisco-AVPair = ppp-disconnect-cause=Lower Layer disconnected
 +
    Cisco-AVPair = connect-progress=LAN Ses Up
 +
    Cisco-AVPair = nas-tx-speed=1000000000
 +
    Cisco-AVPair = nas-rx-speed=1000000000
 +
    Cisco-AVPair = disc-cause-ext=Radius Disc
 +
    Cisco-AVPair = circuit-id-tag=Germi-Emam atm 5/24:408:0.35
 +
    Acct-Authentic = RADIUS
 +
    '''Acct-Terminate-Cause = Admin-Reset'''
 +
    Acct-Session-Id = 1/0/0/408_00C39464
 +
    Acct-Delay-Time = 0
 +
    '''Acct-Input-Gigawords = 4'''
 +
    '''Acct-Input-Octets = 26799'''
 +
    Service-Type = Framed-User
 +
    '''Acct-Output-Octets = 48509'''
 +
    '''Acct-Output-Gigawords = 3'''
 +
    NAS-Port-Type = Ethernet
 +
    NAS-Port = 268435864
 +
    '''Acct-Status-Type = Stop'''
 +
 
 +
</div>
 +
 
 +
:* '''Username''': نام کاربری ، کاربر در حال اتصال.
 +
 
 +
:* '''Framed-Protocol''': پروتکل درخواست اتصال کاربر به Bras.
 +
 
 +
:* '''client-mac-address''': مک آدرس کاربر .
 +
 
 +
:* '''Acct-Session-Id''': مشخصه یکتایی است برای match شدن start acc و stop acc.
 +
 
 +
:* '''Acct-Status-Type''': نوع پکت ارسالی را مشخص می نماید که شامل '''Start'''، '''Alive''' و '''Stop''' است.
 +
 
 +
:* '''Acct-Input-Gigawords''': مقدار ثبت شده در این گزینه معادل '''4 گیگا بایت''' دانلود کاربر است، به عنوان نمونه اگر گزینه عدد 3 را نمایش می دهد یعنی کاربر 12 گیگ مصرف داشته است. 12=3*4
 +
 
 +
:* '''Acct-Output-Gigawords''': مقدار ثبت شده در این گزینه معادل '''4 گیگا بایت''' آپلود کاربر است، به عنوان نمونه اگر گزینه عدد 2 را نمایش می دهد یعنی کاربر 8 گیگ مصرف داشته است. 8=2*4
 +
 
 +
:* '''Acct-Input-Octets''': مقدار ثبت شده در این گزینه میزان دانلود کاربر است، که با '''Gigaword''' جمع و میزان مصرف کلی دانلود محاسبه می شود. واحد آن '''Byte''' است.
 +
 
 +
:* '''Acct-Output-Octets''': مقدار ثبت شده در این گزینه میزان آپلود کاربر است، که با '''Gigaword''' جمع و میزان مصرف کلی آپلود محاسبه می شود. واحد آن '''Byte''' است.
 +
 
 +
:* '''Acct-Terminate-Cause''': علت قطعی کاربر.
 +
 
 +
 
 +
== '''authorization''' ==
 +
 
 +
'''authorization'''، پروسه تصدیق هویت کاربر است. این پروسه در جواب '''authentication''' انجام میشود و پیرو  آن برای تشخیص سطح دسترسی کاربر به اطلاعات می باشد که به منظور جلوگيري از دسترسي افراد غير مجاز به منابع و داده هاي حفاظت شده مي باشد.
 +
 
 +
 
  
END-Behnaz
+
END
 +
[[کاربر:Behnaz|Behnaz]] ([[بحث کاربر:Behnaz|بحث]]) ‏۲۳ نوامبر ۲۰۱۶، ساعت ۱۲:۳۸ (IRST)

نسخهٔ کنونی تا ‏۲۳ نوامبر ۲۰۱۶، ساعت ۱۲:۴۰

محتویات

[ویرایش] Radius Log

RADIUS

ردیوس چیست ؟ (Remote Authentication Dail-In User Service (RADIUS یک سرویس مرکزی احراز هویت می باشد . به جای اینکه هر سرور RAS به صورت جداگانه نیازمند یک پایگاه داده باشد تا اشخاص را احراز هویت کند , درخواست های احرازهویت به یک سرور مرکزی ارسال می گردند . تا تمامی کاربران و یا تجهیزات توسط سرویس مرکزی احراز هویت شوند .

کلیه اطلاعات ارسالی از BRAS توسط AAA به صورت text file در مسیر زیر ذخیره و قابل استناد است.

/var/log/IBSng/RADIUS 

لازم به ذکر است با توجه به حجم بالای لاگ های Radius، این لاگ ها در بازه ای از زمان rotate می گردد.

در صورت نیاز به نگهداری RADIUS log می بایست فضای مناسب جهت ذخیره سازی در اختیار IBSng قرار گیرد.

Radius شامل سه فاز می باشد:

  • Authentication
  • Accounting
  • Authorization


Radius-diagram.jpg


[ویرایش] Authentication

پروسه شناسایی و احراز هویت برای تشخیص کسی و یا چیزی است . authentication معمولا و به صورت پیشفرش به صورت یوزر و پسوزر سمت شخص و یا تجهیزات از همدیگر تمیز داده میشوند که به موجب آن دسترسی و عدم دسترسی برای کاربر را به همراه دارد . پیام Authentication از سمت access server به سمت RADIUS توسط پورت 1812 UDP ارسال میشود .

در Radias digram زیر، فاز Authentication با کادر قرمز مشخص شده است:


Radius-diag-auth.jpg


جهت دسترسی به لاگ های این فاز از دستور زیر می توانید استفاده نمایید:


less /var/log/IBSng/RADIUS/auth.log 

پکت های Access-Request، Access-Accept و Access-Reject در فایل auth.log قرار گرفته است.


[ویرایش] Access-Request

در این قسمت لاگ درخواستهای اتصال کاربران از سمت Bras به AAA ارسال می شود. نمونه packet ارسالی مشابه نمونه packet زیر می باشد:


Nov 16 06:25:06 Ardebil-Core-DB-B RADIUS_WORKER_4: ibs_radius:Access-Request packet from host 192.168.99.5 port 21734, id=75, length=198 
    User-Password = 0x58df6d85d38daaf3hd72eeec173fbc8f8ed
    NAS-IP-Address = 192.168.99.5
    User-Name = test
    NAS-Port-Id = 1/0/0/409
    Cisco-AVPair = client-mac-address=a1b2.c3d4.f5f6
    Cisco-AVPair = circuit-id-tag=Angut atm 9/24:409:0.35
    Framed-Protocol = PPP
    Service-Type = Framed-User
    Acct-Session-Id = 1/0/0/409_00C40C34
    NAS-Port-Type = Ethernet
    NAS-Port = 268435865
NAS-Port = 15781409

موارد کاربردی در نمونه Packet بالا شامل :

  • Username: نام کاربری ، کاربر در حال اتصال.
  • User-Password : رمز عبور کاربر که بسته به نوع Authentication که روی RAS ست شده، ممکن است به صورت هش و یا به صورت clear text نمایش داده می شود.
  • NAS-IP-Address: ‌‌ب Bras IP که این درخواست را ارسال کرده است.
  • Framed-Protocol: پروتکل درخواست اتصال کاربر به Bras
  • client-mac-address: مک آدرس کاربر
  • Acct-Session-Id: مشخصه یکتایی است برای match شدن start acc و stop acc
  • id: مقدار id در access-request مطابق است با id در access-accept

[ویرایش] Access-Accept

لاگ تایید ارتباط کاربر که از سمت AAA به سمت Bras ارسال می شود. نمونه packet ارسالی مشابه نمونه packet زیر می باشد:

در صورت وجود مشخصه ای در AAA مانند IPpool یا policy، این مشخصه در access-accept به Bras ارسال می شود.

Nov 16 06:25:06 Ardebil-Core-DB-B RADIUS_WORKER_2: ibs_radius:Access-Request packet from host 192.168.99.5 port 21734, id=87, length=211 
    User-Password = 0xa8286cd4bfeb2ccd9903b1gm99bf29e4e98
    NAS-IP-Address = 192.168.99.5
    User-Name = test
    NAS-Port-Id = 1/0/0/407
    Cisco-AVPair = client-mac-address=a1b2.c3d4.f5f6
    Cisco-AVPair = circuit-id-tag=Jafarabad-zhone-1 atm 16/37:407:0.35
    Framed-Protocol = PPP
    Service-Type = Framed-User
    Acct-Session-Id = 1/0/0/407_00C40C32
    NAS-Port-Type = Ethernet
    NAS-Port = 268435863
Nov 16 06:25:06 Ardebil-Core-DB-B RADIUS_WORKER_2: ibs_radius:Access-Accept packet to host 192.168.99.5 port 21734, id=84, length=56 process_start=0.0643s,  
rad_server_handle_start=0.0643s, rad_server_send_to_main=0.0625s, ras_msg_dispatch_start=0.0617s, internet_authenticate_before_late_check=0.0615s, 
user_worker_enqueue=0.0615s, internet_authenticate_start=0.0133s, internet_authenticate_ready_to_process=0.0101s, user_worker_run_start=0.0097s, 
user_worker_process_start=0.0084s, user_worker_process_finish=0.0056s, user_worker_run_finished=0.0041s, ras_msg_dispatch_finished=0.0028s
    Framed-Protocol = PPP
    Service-Type = Framed-User
    Framed-IP-Netmask = 255.255.255.255
    Framed-IP-Address = xx.xx.xx.xx
    Cisco-Policy-Down = 1024
    Cisco-Policy-Up = 1024

موارد کاربردی در نمونه Packet بالا شامل :

  • Username: نام کاربری ، کاربر در حال اتصال.
  • User-Password : رمز عبور کاربر که بسته به نوع Authentication که روی RAS ست شده، ممکن است به صورت هش و یا به صورت clear text نمایش داده می شود.
  • NAS-IP-Address: ‌‌ب Bras IP که این درخواست را ارسال کرده است.
  • Framed-Protocol: پروتکل درخواست اتصال کاربر به Bras
  • client-mac-address: مک آدرس کاربر
  • Acct-Session-Id: مشخصه یکتایی است برای match شدن start acc و stop acc
  • id: مقدار id در access-request مطابق است با id در access-accept
  • Cisco-Policy-Down: پالیسی rate دانلود کاربر که در گزینه Limit bw (Inras) در شارژ ست شده است.
  • Cisco-Policy-Up: پالیسی rate آپلود کاربر که در گزینه Limit bw (Inras) در شارژ ست شده است.

[ویرایش] Access-Reject

در صورت عدم تایید Access-request ارسالی از سمت Bras، سرور AAA درخواست Access-reject را به Bras ارسال می کند. نمونه packet ارسالی مشابه نمونه packet زیر می باشد:


Nov 16 06:25:06 Ardebil-Core-DB-B RADIUS_WORKER_3: ibs_radius:Access-Request packet from host 192.168.99.5 port 21734, id=76, length=200 
    User-Password = 0x4ab7705f03b3bgh7718cd78f0b03525a990
    NAS-IP-Address = 192.168.99.5
    User-Name= test
    NAS-Port-Id = 1/0/0/407
    Cisco-AVPair = client-mac-address=a1b2.c3d4.f5f6
    Cisco-AVPair = circuit-id-tag=Jafarabad-2 atm 3/41:0.35
    Framed-Protocol = PPP
    Service-Type = Framed-User
    Acct-Session-Id = 1/0/0/407_00C40C2D
    NAS-Port-Type = Ethernet
    NAS-Port = 268435863
Nov 16 06:25:06 Ardebil-Core-DB-B RADIUS_WORKER_4: ibs_radius:Access-Reject packet to host 192.168.99.5 port 21734, id=75, length=39 process_start=0.0317s,  
rad_server_handle_start=0.0317s, rad_server_send_to_main=0.0293s, ras_msg_dispatch_start=0.0286s, internet_authenticate_before_late_check=0.0285s, 
user_worker_enqueue=0.0285s, internet_authenticate_start=0.0043s, ras_msg_dispatch_finished=0.0024s
    Framed-Protocol = PPP
    Service-Type = Framed-User
    Reply-Message = E=900
  • Username: نام کاربری ، کاربر در حال اتصال.
  • User-Password : رمز عبور کاربر که بسته به نوع Authentication که روی RAS ست شده، ممکن است به صورت هش و یا به صورت clear text نمایش داده می شود.
  • NAS-IP-Address: ‌‌ب Bras IP که این درخواست را ارسال کرده است.
  • Framed-Protocol: پروتکل درخواست اتصال کاربر به Bras.
  • client-mac-address: مک آدرس کاربر .
  • Acct-Session-Id: مشخصه یکتایی است برای match شدن start acc و stop acc.
  • id: مقدار id در access-request مطابق است با id در access-reject.
  • Reply-Message: دلیل عدم اتصال کاربر.

[ویرایش] Accounting

طی این فرایند، گزارشی از عملکرد و یا محاسبه میزان مصرف کاربران یا سخت‌افزارهایی که هویت آنها تایید شده است توسط سرور RADIUS آماده میشود . سرور ردیوس این گزارشات و میزان مصرف را از access server بر روی پورت 1813 UDP دریافت کرده و محاسبه می نماید .

در Radias digram زیر،فاز Accounting با کادر قرمز مشخص شده است:


Radius-diag-acc.jpg

[ویرایش] Start

start accounting جواب Bras به Access-accept ارسالی از AAA است.

جهت دسترسی به لاگ های این قسمت از دستور زیر می توانید استفاده نمایید:


less /var/log/IBSng/RADIUS/start_stop.log 

پکت های start در فایل start_stop.log قرار گرفته است.

Nov 16 06:01:03 Ardebil-Core-DB-B RADIUS_WORKER_1: ibs_start_stop:Accounting-Request packet from host 192.168.99.6 port 21673, id=18, length=263 
    NAS-IP-Address = 192.168.99.6
    User-Name = test
    NAS-Port-Id = 5/0/0/519
    Cisco-Policy-Down = 512
    Acct-Status-Type = Start
    Cisco-AVPair = connect-progress=LAN Ses Up
    Cisco-AVPair = client-mac-address=a1b2.c3d4.f5f6
    Cisco-AVPair = circuit-id-tag=Ard-Bakeri-Zyxel-1 atm 4/15:0.35:519
    Acct-Delay-Time = 0
    Framed-Protocol = PPP
    Framed-IP-Address = xx.xx.xx.xx
    Acct-Authentic = RADIUS
    Acct-Session-Id = 5/0/0/519_132E061A
    NAS-Port-Type = Ethernet
    Service-Type = Framed-User
    NAS-Port = 1342177799
  • Username: نام کاربری ، کاربر در حال اتصال.
  • NAS-IP-Address: ‌‌ب Bras IP که این درخواست را ارسال کرده است.
  • Framed-Protocol: پروتکل درخواست اتصال کاربر به Bras.
  • client-mac-address: مک آدرس کاربر .
  • Acct-Session-Id: مشخصه یکتایی است برای match شدن start acc و stop acc.
  • Acct-Status-Type: نوع پکت ارسالی را مشخص می نماید که شامل Start، Alive و Stop است.


[ویرایش] Alive

تا زمانی که اتصال کاربر برقرار است به ازا هر update accounting یک پکت Alive از سمت Bras ارسال می شود.

جهت دسترسی به لاگ های این قسمت از دستور زیر می توانید استفاده نمایید:


less /var/log/IBSng/RADIUS/alive.log 

پکت های alive در فایل alive.log قرار گرفته است.

Nov 16 00:01:01 Ardebil-Core-DB-B RADIUS_WORKER_4: ibs_alive:Accounting-Request packet from host 192.168.99.5 port 21654, id=71, length=347 
    NAS-IP-Address = 192.168.99.5
    User-Name = test
    NAS-Port-Id = 1/0/0/408
    Cisco-Policy-Down = 3072
    Acct-Session-Time = 36216
    Acct-Output-Packets = 15001
    Framed-IP-Address = xx.xx.xx.xx
    Acct-Input-Packets = 11063
    Framed-Protocol = PPP
    Cisco-AVPair = client-mac-address=a1b2.c3d4.f5f6
    Cisco-AVPair = connect-progress=LAN Ses Up
    Cisco-AVPair = nas-tx-speed=1000000000
    Cisco-AVPair = nas-rx-speed=1000000000
    Cisco-AVPair = circuit-id-tag=Germi-Emam atm 3/2:408:0.35
    Acct-Authentic = RADIUS
    Acct-Delay-Time = 0
    Acct-Input-Gigawords = 2
    Acct-Session-Id = 1/0/0/408_00BBE309
    Acct-Output-Gigawords = 3
    Acct-Input-Octets = 981842
    Service-Type = Framed-User
    Acct-Output-Octets = 6771644
    NAS-Port-Type = Ethernet
    NAS-Port = 268435864
    Acct-Status-Type = Alive
  • Username: نام کاربری ، کاربر در حال اتصال.
  • NAS-IP-Address: ‌‌ب Bras IP که این درخواست را ارسال کرده است.
  • Framed-Protocol: پروتکل درخواست اتصال کاربر به Bras.
  • client-mac-address: مک آدرس کاربر .
  • Acct-Session-Id: مشخصه یکتایی است برای match شدن start acc و stop acc.
  • Acct-Status-Type: نوع پکت ارسالی را مشخص می نماید که شامل Start، Alive و Stop است.
  • Acct-Input-Gigawords: مقدار ثبت شده در این گزینه معادل 4 گیگا بایت دانلود کاربر است، به عنوان نمونه اگر گزینه عدد 3 را نمایش می دهد یعنی کاربر 12 گیگ مصرف داشته است. 12=3*4
  • Acct-Output-Gigawords: مقدار ثبت شده در این گزینه معادل 4 گیگا بایت آپلود کاربر است، به عنوان نمونه اگر گزینه عدد 2 را نمایش می دهد یعنی کاربر 8 گیگ مصرف داشته است. 8=2*4
  • Acct-Input-Octets: مقدار ثبت شده در این گزینه میزان دانلود کاربر است، که با Gigaword جمع و میزان مصرف کلی دانلود محاسبه می شود. واحد آن Byte است.
  • Acct-Output-Octets: مقدار ثبت شده در این گزینه میزان آپلود کاربر است، که با Gigaword جمع و میزان مصرف کلی آپلود محاسبه می شود. واحد آن Byte است.


[ویرایش] Stop

جهت دسترسی به لاگ های این قسمت از دستور زیر می توانید استفاده نمایید:


less /var/log/IBSng/RADIUS/start_stop.log 

پکت های stop در فایل start_stop.log قرار گرفته است.

میزان حجم مصرفی کاربر را می توانید در این پکت محاسبه نمایید. مجموع گزینه های Acct-Input-Gigawords و Acct-Input-Octets برای دانلود و Acct-Output-Gigawords و Acct- 
Output-Octets را برای آپلود محاسبه نمایید. 


Nov 16 06:01:03 Ardebil-Core-DB-B RADIUS_WORKER_3: ibs_start_stop:Accounting-Request packet from host 192.168.99.5 port 21761, id=239, length=429 
    NAS-IP-Address = 192.168.99.5
    User-Name = test
    NAS-Port-Id = 1/0/0/408
    Acct-Session-Time = 2703
    Acct-Output-Packets = 585
    Framed-IP-Address = xx.xx.xx.xx
    Acct-Input-Packets = 711
    Framed-Protocol = PPP
    Cisco-AVPair = client-mac-address=a1b2.c3d4.f5f6
    Cisco-AVPair = ppp-disconnect-cause=Lower Layer disconnected
    Cisco-AVPair = connect-progress=LAN Ses Up
    Cisco-AVPair = nas-tx-speed=1000000000
    Cisco-AVPair = nas-rx-speed=1000000000
    Cisco-AVPair = disc-cause-ext=Radius Disc
    Cisco-AVPair = circuit-id-tag=Germi-Emam atm 5/24:408:0.35
    Acct-Authentic = RADIUS
    Acct-Terminate-Cause = Admin-Reset
    Acct-Session-Id = 1/0/0/408_00C39464
    Acct-Delay-Time = 0
    Acct-Input-Gigawords = 4
    Acct-Input-Octets = 26799
    Service-Type = Framed-User
    Acct-Output-Octets = 48509
    Acct-Output-Gigawords = 3
    NAS-Port-Type = Ethernet
    NAS-Port = 268435864
    Acct-Status-Type = Stop
  • Username: نام کاربری ، کاربر در حال اتصال.
  • Framed-Protocol: پروتکل درخواست اتصال کاربر به Bras.
  • client-mac-address: مک آدرس کاربر .
  • Acct-Session-Id: مشخصه یکتایی است برای match شدن start acc و stop acc.
  • Acct-Status-Type: نوع پکت ارسالی را مشخص می نماید که شامل Start، Alive و Stop است.
  • Acct-Input-Gigawords: مقدار ثبت شده در این گزینه معادل 4 گیگا بایت دانلود کاربر است، به عنوان نمونه اگر گزینه عدد 3 را نمایش می دهد یعنی کاربر 12 گیگ مصرف داشته است. 12=3*4
  • Acct-Output-Gigawords: مقدار ثبت شده در این گزینه معادل 4 گیگا بایت آپلود کاربر است، به عنوان نمونه اگر گزینه عدد 2 را نمایش می دهد یعنی کاربر 8 گیگ مصرف داشته است. 8=2*4
  • Acct-Input-Octets: مقدار ثبت شده در این گزینه میزان دانلود کاربر است، که با Gigaword جمع و میزان مصرف کلی دانلود محاسبه می شود. واحد آن Byte است.
  • Acct-Output-Octets: مقدار ثبت شده در این گزینه میزان آپلود کاربر است، که با Gigaword جمع و میزان مصرف کلی آپلود محاسبه می شود. واحد آن Byte است.
  • Acct-Terminate-Cause: علت قطعی کاربر.


[ویرایش] authorization

authorization، پروسه تصدیق هویت کاربر است. این پروسه در جواب authentication انجام میشود و پیرو آن برای تشخیص سطح دسترسی کاربر به اطلاعات می باشد که به منظور جلوگيري از دسترسي افراد غير مجاز به منابع و داده هاي حفاظت شده مي باشد.


END Behnaz (بحث) ‏۲۳ نوامبر ۲۰۱۶، ساعت ۱۲:۳۸ (IRST)

ابزارهای شخصی

گویش‌ها
فضاهای نام
عملکردها
گشتن
جعبه‌ابزار