[Из песочницы] HotSpot с помощью Cisco WLC5508, FreeRadius, MySQL и Easyhotspot

Эта статья о том, как создать и настроить HotSpot. При этом мне хотелось подробно описать, как это выглядит изнутри и сделать упор на работу freeRadius, MySQL и простого биллинга Easyhotspot.

Итак, наша система будет строиться на Cisco WLC5508 и CentOS. Чтобы понять как это все между собой взаимодействует, посмотрим на схему.

02cb473fb16b4f849de80e647a7588f1.jpg
Начинается все с сервиса Easyhotspot, по сути это биллинг, который управляется через веб-интерфейс. Это open-source проект и главное его преимущество в том, что он прост для понимания и управления.

С помощью него мы генерируем username и password, которые записываются в базу данных MySQL и передаются для пользования юзеру. Далее пользователь подключается к нашей точке доступа, которая управляется контроллером Cisco WLC. При попытке открыть какую либо страницу в браузере, юзера перекинет на страницу авторизации, где он введет полученные креденциалы.

После этого контроллер их перехватит и в сообщении access-request отправит для проверки серверу авторизации FreeRadius’у. Тот обратится к базе данных, найдет соответствующие логин и пароль, и ответит вай-фай контроллеру, что все ок, при этом выдаст время в течении которого пользователь может быть активен. В терминологии RADIUS, вай-фай контроллер Cisco WLC является для радиус-сервера NAS-клиентом (Network Access Server), в терминологии hotspot этот сервис так же называется captive portal. Задачей этого сервиса является показать пользователю окно авторизации, передать креденциалы радиус-серверу, получить ответ с атрибутами и адекватно их обработать.

И хоть Easyhotspot изначально разрабатывался для работы с captive portal, который называется Chillispot, нам в сущности это неважно.
После того, как пользователь был авторизован, NAS должен в течении пользовательской сессии отправлять радиус-серверу отчеты об использованных юзером ресурсах: количество времени, трафика и тп. Все это дело freeRadius будет логировать в базу данных. А при следующей попытке подключиться, для юзера будет вестись проверка сколько он чего потратил и сколько этого чего ему осталось доступно.

Вспомним, что такое Radius. Это протокол, который условно делистя на две части, это аутентификация/авторизация и аккаунтинг. Первую описывает RFC 2865, вторую RFC 2866. О том, что они работают раздельно говорит и то, что сервер принимает для них запросы на разных портах 1812 и 1813.

Далее мы подробно разберем, как выглядят запросы и ответы, и то, как они обрабатываются FreeRadius’ом, а сейчас приступим к установке. Предположим, что у нас есть сервер CentOS 6.5 с настроенной сетью и доступом в интернет. Установим программу для скачивания файлов из сети:

yum install wget


Загрузим и установим репозиторий:

wget http://download.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm
rpm -ivh epel-release-6-8.noarch.rpm


Обновим репозиторий и установленные программы:

yum repolist
yum update


Установим полезные утилиты, MySQL, Apache и php:

yum install mc vim unzip gcc gcc-c++ make git svn nano
yum install mysql-server php httpd php-mysql php-xml php-gd php-pear php-db
yum install patch mod_ssl openssl dnsmasq


В файле /etc/php.ini нужно раскомментировать строку:

short_open_tag = On


Если забыть об этом параметре, то при попытке открыть страничку биллинга будет появляться такое сообщение:

EasyHotSpot config->item('EASYHOTSPOT_VERSION');?>
load->view($this->config->item('FAL_template_dir').'template/menu');?>

EasyHotspot - Hotspot Management System

GNU Public License


Там же в файле /etc/php.ini:

date.timezone = Europe/Moscow


Сделаем так, чтоб MySQL и Apache после загрузки системы запускались автоматически:

chkconfig --level 235 httpd on
chkconfig --level 235 mysqld on
chkconfig --level 235 dnsmasq on


Установим Easyhotspot. Загрузим easyhotspot отсюда github.com/rafeequl:

cd /opt
git clone https://github.com/rafeequl/EasyHotspot
ln -s /opt/EasyHotspot/htdocs /var/www/html/easyhotspot


Создадим базу данных easyhotspot_opensource:

mysql
mysql> create database easyhotspot_opensource;
mysql> CREATE USER 'easyhotspot'@'localhost';
mysql> SET PASSWORD FOR 'easyhotspot'@'localhost' = PASSWORD('easyhotspot');
mysql> GRANT ALL ON easyhotspot_opensource.* to 'easyhotspot'@'localhost';
mysql> quit
mysql -u root easyhotspot_opensource < /opt/EasyHotspot/install/database_with_sample.sql


В EasyHotspot в меню присутствует страничка Chillispot. Когда мы будем нажимать на нее, мы увидим ошибку. Чтобы избежать этого, удалим ее. Для этого нужно удалить или закомментировать следующие строчки в файле /opt/EasyHotspot/htdocs/system/application/views/admin/header.php:





Установим phpMyAdmin, это своего рода GUI для MySQL, поможет нам в изучении таблиц:

wget https://files.phpmyadmin.net/phpMyAdmin/3.5.5/phpMyAdmin-3.5.5-all-languages.zip
unzip phpMyAdmin-3.5.5-all-languages.zip
cp  phpMyAdmin-3.5.5-all-languages EasyHotspot/htdocs/phpmyadmin -rf


Создадим config.inc.php:

vi EasyHotspot/htdocs/phpmyadmin/config.inc.php




Перезапустим Apache:

service httpd restart


Установка и настройка FreeRadius


Устанавливаем фрирадиус, поддержку mysql и утилиты, которые помогут нам в тестировании системы:

yum install freeradius freeradius-mysql freeradius-utils


Сделаем так, чтоб freeradiu после загрузки системы запускался автоматически:

chkconfig --level 235 radiusd on


В файле /etc/raddb/clients.conf в секции «client localhost» нужно сделать следующее:

ipaddr = 127.0.0.1
secret = easyhotspot
nastype = other


В файле /etc/raddb/radiusd.conf в секции «module» раскомментировать:

$INCLUDE sql.conf
$INCLUDE sql/mysql/counter.conf


В секции «instantiate» добавить:

noresetcounter


В файле /etc/raddb/sites-enabled/default в секции «authorize» расскомментировать «sql» и добавить «noresetcounter»:

sql
noresetcounter


Затем /etc/raddb/sites-enabled/default в секции «accounting» расскомментировать «sql»:

sql


Затем /etc/raddb/sites-enabled/default в секции «session» расскомментировать «sql» и закомментировать «radutmp»:

sql
#radutmp


И затем /etc/raddb/sites-enabled/default в секции «post-auth» расскомментировать «sql»:

sql



В файле /etc/raddb/sql/mysql/counter.conf в конце уже определен счетчик «noresetcounter», мы его подредактируем:

sqlcounter noresetcounter {
counter-name = Session-Timeout
check-name = Session-Timeout
reply-name = Session-Timeout
sqlmod-inst = sql
key = User-Name
reset = never
query = "SELECT IFNULL(SUM(AcctSessionTime),0) FROM radacct WHERE UserName='%{${key}}'"
}



В файле /etc/raddb/sql/mysql/dialup.conf для работы с Simultaneous-Use раскомментируем следующее:

simul_count_query = "SELECT COUNT(*) \
   FROM ${acct_table1} \
   WHERE username = '%{SQL-User-Name}' \
   AND acctstoptime IS NULL"


В файле /etc/raddb/sql.conf в секции «sql» сделаем так:

        database = "mysql"
        driver = "rlm_sql_${database}"
        server = "localhost"
        #port = 3306
        login = "easyhotspot"
        password = "easyhotspot"
        radius_db = "easyhotspot_opensource"


Перезапустим freeRadius:

service radiusd start


Настройка Сisco WLC


Подключаем Radius-сервер к WLC: SECURITY→Authentication. SECURITY→Accounting. При настройке нужно ввести IP и Shared Secret.

a74d6eae6c1945a694116cf1df086153.jpg

Настраиваем редирект с помощью которого неавторизованный пользователь при запросе любой страницы будет перенаправлен на страницу авторизации, где нужно ввести логин и пароль.

6e4e34be190f486abb48dce7264fe6ad.jpg

Настраиваем access-list. Дело в том, что когда пользователь подключается к SSID, всего его запросы из веб-браузера редиректятся на страницу авторизации, но кроме этого его по сути ничего не ограничивает.

Мы должны создать ACL, который разрешит пользователю доступ только к нашей странице авторизации и никуда больше.

f0a7bc55fa064c2caca62d3f8a2eaabf.jpg

Создаем SSID, на вкладке Security→Layer 2 выбираем None. На вкладке Security→Layer 3 выбираем Web Policy — Authentication, в выпадающем списке Preauthentication ACL выбираем наш созданный ранее ACL.

f76d585a9f4b40c48f48ee8e7e185b20.jpg

Выбираем из выпадающего списка ранее добавленный сервер радиуса.

25f20e2e245149988a97ae98bd76ef25.jpg

Осталось донастроить радиус. Добавим IP-адрес нашего WLC и secret
vi /etc/raddb/clients.conf

client 192.168.0.5 {
#       # secret and password are mapped through the "secrets" file.
        secret      = ololo,karl!
#       shortname   = liv1
#       # the following three fields are optional, but may be used by
#       # checkrad.pl for simultaneous usage checks
        nastype     = cisco
#       login       = !root
#       password    = someadminpas
}


Перезапустим freeRadius:

service radiusd restart 


Теперь по адресу х.х.х.х/easyhotspot доступна страница авторизации:

480f7545f1964419bb5c7827864696e7.jpg

Логин: admin
Пароль: admin123

На веб-интерфейсе нам доступно два основных меню [ Cashier Menu ] и [ Admin Menu ].

9b181e07f0334222b880c375c247dd01.jpg

В Admin Menu мы можем создать Billing plan и Account plan, чтобы на основе них генерировать логины/пароли. Создадим биллинг план на час, при этом сгенерированный на его основе ваучер будет действителен до конца следующего дня с момента создания (Valid for = 1), а Idle Timeout сделаем 5 мин.

9cfc086ba576414a9263901d8c9ba21c.jpg

Перейдем в [ Cashier Menu ] → Voucher Management и сгенерируем один ваучер.

381fc806ff894973a96557e5a3037d8c.jpg

Протестируем нашу систему. С помощью утилиты radtest мы отправим радиус-серверу запрос на авторизацию таким образом как это делает NAS. Используем сгенерированные логин/пароль, 'easyhotspot' это secret в файле /etc/raddb/clients.conf:

radtest zupvez10 palkipud 127.0.0.1 100 easyhotspot


Здесь у вас может возникнуть ошибка:

[root@FreeRadius ~]# radtest zupvez10 palkipud 127.0.0.1 100 esyhotspot
radclient:: Failed to find IP address for FreeRadius
radclient: Nothing to send.
[root@FreeRadius ~]#


Связана она с тем, что при отправке радиус-пакета утилита пытается резолвить имя сервера, чтобы добавить в NAS-IP-Address. Если имя не localhost, нужно добавить его в /etc/hosts. Итак:

[root@FreeRadius ~]# radtest zupvez10 palkipud 127.0.0.1 100 easyhotspot
Sending Access-Request of id 189 to 127.0.0.1 port 1812
        User-Name = "zupvez10"
        User-Password = "palkipud"
        NAS-IP-Address = 127.0.0.1
        NAS-Port = 100
        Message-Authenticator = 0x00000000000000000000000000000000
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=189, length=63
        WISPr-Session-Terminate-Time = "2016-1-6T24:00:00"
        Session-Timeout = 3600
        Idle-Timeout = 300
        Acct-Interim-Interval = 120
[root@FreeRadius ~]#


Мы видим, что наша авторизация прошла успешно, при этом мы в ответ получили набор атрибутов:

  • WISPr-Session-Terminate-Time = »2016–1–6T24:00:00» — в полночь следующего дня сессия станет недействительной
  • Session-Timeout = 3600 — означает, что NAS должен будет отключить юзера через час
  • Idle-Timeout = 300 — если в течении 5 мин юзер не проявляет активности, NAS должен скинуть сессию
  • Acct-Interim-Interval = 120 каждые две минуты NAS должен присылать пакет аккаунтинга (interim-update) с отчетом о текущих делах юзера


Отлично, но мы сделали только половину работы NAS, после аутентификации и авторизации должен идти аккаунтинг. Для этого создадим три файла с атрибутами. В поле User-Name = » не забывайте указывать ваш username.

vi start.txt:

Packet-Type=4
Packet-Dst-Port=1813
Acct-Session-Id = "4D2BB8AC-00000098"
Acct-Status-Type = Start
Acct-Authentic = RADIUS
User-Name = "zupvez10" 
NAS-Port = 0
Called-Station-Id = "00-02-6F-AA-AA-AA:My Wireless"
Calling-Station-Id = "00-1C-B3-AA-AA-AA"
NAS-Port-Type = Wireless-802.11
Connect-Info = "CONNECT 48Mbps 802.11b"


В поле User-Name = » не забывайте указывать ваш username.

vi interim-update.txt:

Packet-Type=4
Packet-Dst-Port=1813
Acct-Session-Id = "4D2BB8AC-00000098"
Acct-Status-Type = Interim-Update
Acct-Authentic = RADIUS
User-Name = "zupvez10" 
NAS-Port = 0
Called-Station-Id = "00-02-6F-AA-AA-AA:My Wireless"
Calling-Station-Id = "00-1C-B3-AA-AA-AA"
NAS-Port-Type = Wireless-802.11
Connect-Info = "CONNECT 48Mbps 802.11b"
Acct-Session-Time = 11
Acct-Input-Packets = 15
Acct-Output-Packets = 3
Acct-Input-Octets = 1407
Acct-Output-Octets = 467


В поле User-Name = » не забывайте указывать ваш username.

vi stop.txt:

Packet-Type=4
Packet-Dst-Port=1813
Acct-Session-Id = "4D2BB8AC-00000098"
Acct-Status-Type = Stop
Acct-Authentic = RADIUS
User-Name = "zupvez10" 
NAS-Port = 0
Called-Station-Id = "00-02-6F-AA-AA-AA:My Wireless"
Calling-Station-Id = "00-1C-B3-AA-AA-AA"
NAS-Port-Type = Wireless-802.11
Connect-Info = "CONNECT 48Mbps 802.11b"
Acct-Session-Time = 30
Acct-Input-Packets = 25
Acct-Output-Packets = 7
Acct-Input-Octets = 3407
Acct-Output-Octets = 867
Acct-Terminate-Cause = User-Request


С помощью утилиты radclient мы отправим радиус-серверу пакет аккаунтинга Start.

radclient 127.0.0.1 auto easyhotspot -f start.txt:

[root@FreeRadius ~]# radclient 127.0.0.1 auto easyhotspot -f start.txt
Received response ID 50, code 5, length = 20


Получен ответ, code 5 означает, что все в порядке. Перейдем в [ Cashier Menu ] → Online Users.

ec78c866625946d38d17ab03302ba587.jpg

Видим нашего юзера и время начала сессии. Теперь отправим пакет аккаунтинга interim-update. В этот раз в пакет добавляются новые атрибуты:

  • Acct-Session-Time = 11
  • Acct-Input-Packets = 15
  • Acct-Output-Packets = 3
  • Acct-Input-Octets = 1407
  • Acct-Output-Octets = 467


radclient 127.0.0.1 auto easyhotspot -f interim-update.txt:

[root@FreeRadius ~]# radclient 127.0.0.1 auto easyhotspot -f interim-update.txt
Received response ID 226, code 5, length = 20


Посмотрим Online Users.

0f9937e6cfa5470f9b5b2870ed1c054d.jpg

Теперь мы видим, что юзер потратил из отпущенного ему часа 11 секунд и 1874 байта. Отправим пакет аккаунтинга stop.

radclient 127.0.0.1 auto easyhotspot -f stop.txt:

[root@FreeRadius ~]# radclient 127.0.0.1 auto easyhotspot -f stop.txt
Received response ID 166, code 5, length = 20


Сессия завершена. Перейдем в [ Cashier Menu ] → Voucher Management.

a75e588d72e142ca9db529e46ece1d6b.jpg

Видим, что у нашего пользователя осталось 59 мин. Время округлилось, но это только в биллинге, freeRadius считает с точностью до секунды. Проверим:

radtest zupvez10 palkipud 127.0.0.1 100 easyhotspot:

[root@FreeRadius ~]# radtest zupvez10 palkipud 127.0.0.1 100 easyhotspot
Sending Access-Request of id 93 to 127.0.0.1 port 1812
        User-Name = "zupvez10"
        User-Password = "palkipud"
        NAS-IP-Address = 127.0.0.1
        NAS-Port = 100
        Message-Authenticator = 0x00000000000000000000000000000000
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=93, length=63
        WISPr-Session-Terminate-Time = "2016-1-6T24:00:00"
        Session-Timeout = 3570
        Idle-Timeout = 300
        Acct-Interim-Interval = 120


Как можно догадаться из полученного ответа, freeRadius от изначально заданного значения 3600 отнял потраченные юзером 30 и вернул нам 3570. Давайте теперь пошлем пакет начала сессии аккаунтинга.

radclient 127.0.0.1 auto easyhotspot -f start.txt:

[root@FreeRadius ~]# radclient 127.0.0.1 auto easyhotspot -f start.txt
Received response ID 15, code 5, length = 20


И заново попробуем авторизоваться, представив что пользователь, получив доступ дал свои креденциалы другу.

radtest zupvez10 palkipud 127.0.0.1 100 easyhotspot:

Sending Access-Request of id 99 to 127.0.0.1 port 1812
        User-Name = "zupvez10"
        User-Password = "palkipud"
        NAS-IP-Address = 127.0.0.1
        NAS-Port = 100
        Message-Authenticator = 0x00000000000000000000000000000000
rad_recv: Access-Reject packet from host 127.0.0.1 port 1812, id=99, length=68
        Reply-Message = "\r\nYou are already logged in - access denied\r\n\n"


Болт! Пока сессия не будет завершена, повторно залогиниться никто не сможет. Завершим сессию.

radclient 127.0.0.1 auto easyhotspot -f stop.txt:

[root@FreeRadius ~]# radclient 127.0.0.1 auto easyhotspot -f stop.txt
Received response ID 143, code 5, length = 20


Посмотрим, что происходит внутри freeRadius, когда обрабатывается запрос. Остановим freeRadius:

service radiusd stop


Запустим freeRadius в режиме отладки и запишем выдачу в файл log.txt в фоновом режиме.

radiusd -X > log.txt &

Пошлем запрос авторизации.

radtest zupvez10 palkipud 127.0.0.1 100 easyhotspot

Запрос начала и конца сесии:

radclient 127.0.0.1 auto easyhotspot -f start.txt
radclient 127.0.0.1 auto easyhotspot -f interim-update.txt
radclient 127.0.0.1 auto easyhotspot -f stop.txt

Остановим режим отладки.

kill — у вас должно быть свое значение, выдается после команды radiusd -X > log.txt &

[root@FreeRadius ~]# service radiusd stop
Stopping radiusd:                                          [  OK  ]
[root@FreeRadius ~]# radiusd -X > log.txt &
[1] 4215
[root@FreeRadius ~]# radtest zupvez10 palkipud 127.0.0.1 100 easyhotspot
Sending Access-Request of id 200 to 127.0.0.1 port 1812
        User-Name = "zupvez10"
        User-Password = "palkipud"
        NAS-IP-Address = 127.0.0.1
        NAS-Port = 100
        Message-Authenticator = 0x00000000000000000000000000000000
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=200, length=63
        WISPr-Session-Terminate-Time = "2016-1-6T24:00:00"
        Session-Timeout = 3540
        Idle-Timeout = 300
        Acct-Interim-Interval = 120
[root@FreeRadius ~]# radclient 127.0.0.1 auto easyhotspot -f start.txt
Received response ID 68, code 5, length = 20
[root@FreeRadius ~]# radclient 127.0.0.1 auto easyhotspot -f interim-update.txt
Received response ID 142, code 5, length = 20
[root@FreeRadius ~]# radclient 127.0.0.1 auto easyhotspot -f stop.txt
Received response ID 37, code 5, length = 20
[root@FreeRadius ~]# kill 4215
[root@FreeRadius ~]# kill 4215
bash: kill: (4215) - No such process
[1]+  Done                    radiusd -X > log.txt


Посмотрим лог:

less log.txt


debug_Authentication and authorization
rad_recv: Access-Request packet from host 127.0.0.1 port 50024, id=200, length=78
        User-Name = "zupvez10"
        User-Password = "palkipud"
        NAS-IP-Address = 127.0.0.1
        NAS-Port = 100
        Message-Authenticator = 0x9159a59b8e5c58fe44a95a199f84f9cf
# Executing section authorize from file /etc/raddb/sites-enabled/default
+group authorize {
++[preprocess] = ok
++[chap] = noop
++[mschap] = noop
++[digest] = noop
[suffix] No '@' in User-Name = "zupvez10", looking up realm NULL
[suffix] No such realm "NULL"
++[suffix] = noop
[eap] No EAP-Message, not doing EAP
++[eap] = noop
++[files] = noop
[sql]   expand: %{User-Name} -> zupvez10
[sql] sql_set_user escaped user --> 'zupvez10'
rlm_sql (sql): Reserving sql socket id: 31
[sql]   expand: SELECT id, username, attribute, value, op           FROM radcheck           WHERE username = '%{SQL-User-Name}'           ORDER BY id -> SELECT id, username, attribute, value, op
        FROM radcheck           WHERE username = 'zupvez10'           ORDER BY id
[sql] User found in radcheck table
[sql]   expand: SELECT id, username, attribute, value, op           FROM radreply           WHERE username = '%{SQL-User-Name}'           ORDER BY id -> SELECT id, username, attribute, value, op
        FROM radreply           WHERE username = 'zupvez10'           ORDER BY id
[sql]   expand: SELECT groupname           FROM radusergroup           WHERE username = '%{SQL-User-Name}'           ORDER BY priority -> SELECT groupname           FROM radusergroup           WHER
E username = 'zupvez10'           ORDER BY priority
[sql]   expand: SELECT id, groupname, attribute,           Value, op           FROM radgroupcheck           WHERE groupname = '%{Sql-Group}'           ORDER BY id -> SELECT id, groupname, attribute
,           Value, op           FROM radgroupcheck           WHERE groupname = '1hour'           ORDER BY id
[sql] User found in group 1hour
[sql]   expand: SELECT id, groupname, attribute,           value, op           FROM radgroupreply           WHERE groupname = '%{Sql-Group}'           ORDER BY id -> SELECT id, groupname, attribute
,           value, op           FROM radgroupreply           WHERE groupname = '1hour'           ORDER BY id
rlm_sql (sql): Released sql socket id: 31
++[sql] = ok
rlm_sqlcounter: Entering module authorize code
sqlcounter_expand:  'SELECT IFNULL(SUM(AcctSessionTime),0) FROM radacct WHERE UserName='%{User-Name}''
[noresetcounter]        expand: SELECT IFNULL(SUM(AcctSessionTime),0) FROM radacct WHERE UserName='%{User-Name}' -> SELECT IFNULL(SUM(AcctSessionTime),0) FROM radacct WHERE UserName='zupvez10'
WARNING: Please replace '%S' with '${sqlmod-inst}'
sqlcounter_expand:  '%{sql:SELECT IFNULL(SUM(AcctSessionTime),0) FROM radacct WHERE UserName='zupvez10'}'
[noresetcounter] sql_xlat
[noresetcounter]        expand: %{User-Name} -> zupvez10
[noresetcounter] sql_set_user escaped user --> 'zupvez10'
[noresetcounter]        expand: SELECT IFNULL(SUM(AcctSessionTime),0) FROM radacct WHERE UserName='zupvez10' -> SELECT IFNULL(SUM(AcctSessionTime),0) FROM radacct WHERE UserName='zupvez10'
rlm_sql (sql): Reserving sql socket id: 30
[noresetcounter] sql_xlat finished
rlm_sql (sql): Released sql socket id: 30
[noresetcounter]        expand: %{sql:SELECT IFNULL(SUM(AcctSessionTime),0) FROM radacct WHERE UserName='zupvez10'} -> 60
rlm_sqlcounter: Check item is greater than query result
rlm_sqlcounter: Authorized user zupvez10, check_item=3600, counter=60
rlm_sqlcounter: Sent Reply-Item for user zupvez10, Type=Session-Timeout, value=3540
++[noresetcounter] = ok
[expiration] Checking Expiration time: 'January 6 2016 24:00:00'
++[expiration] = ok
++[logintime] = noop
++[pap] = updated
+} # group authorize = updated
Found Auth-Type = PAP
# Executing group from file /etc/raddb/sites-enabled/default
+group PAP {
[pap] login attempt with password "palkipud"
[pap] Using clear text password "palkipud"
[pap] User authenticated successfully
++[pap] = ok
+} # group PAP = ok
# Executing section session from file /etc/raddb/sites-enabled/default
+group session {
[sql]   expand: %{User-Name} -> zupvez10
[sql] sql_set_user escaped user --> 'zupvez10'
[sql]   expand: SELECT COUNT(*)                              FROM radacct                              WHERE username = '%{SQL-User-Name}'                              AND acctstoptime IS NULL -> SELECT COUNT(*)                              FROM radacct                              WHERE username = 'zupvez10'                              AND acctstoptime IS NULL
rlm_sql (sql): Reserving sql socket id: 29
rlm_sql (sql): Released sql socket id: 29
++[sql] = ok
+} # group session = ok
# Executing section post-auth from file /etc/raddb/sites-enabled/default
+group post-auth {
[sql]   expand: %{User-Name} -> zupvez10
[sql] sql_set_user escaped user --> 'zupvez10'
[sql]   expand: %{User-Password} -> palkipud
[sql]   expand: INSERT INTO radpostauth                           (username, pass, reply, authdate)                           VALUES (                           '%{User-Name}',                           '%{%{User-Password}:-%{Chap-Password}}',                           '%{reply:Packet-Type}', '%S') -> INSERT INTO radpostauth                           (username, pass, reply, authdate)                           VALUES (                           'zupvez10',                           'palkipud',                           'Access-Accept', '2016-01-05 21:20:45')
rlm_sql (sql) in sql_postauth: query is INSERT INTO radpostauth                           (username, pass, reply, authdate)                           VALUES (                           'zupvez10',                           'palkipud',                           'Access-Accept', '2016-01-05 21:20:45')
rlm_sql (sql): Reserving sql socket id: 28
rlm_sql (sql): Released sql socket id: 28
++[sql] = ok
++[exec] = noop
+} # group post-auth = ok
Sending Access-Accept of id 200 to 127.0.0.1 port 50024
        WISPr-Session-Terminate-Time := "2016-1-6T24:00:00"
        Session-Timeout := 3540
        Idle-Timeout := 300
        Acct-Interim-Interval := 120
Finished request 0.
Going to the next request



FreeRadius получил наш пакет и первым делом запустил секцию authorize, описанную в файле /etc/raddb/sites-enabled/default
В квадратных скобках показаны модули, которые поочередно обрабатывают наш запрос.

  • [preprocess] — конфигурируется в raddb/huntgroups и raddb/hints, мы его не используем
  • [chap] [mschap] [eap] [pap] — протоколы проверки подлинности, по дефолту freeRadius не знает какой именно мы будем использовать и в секции authorize проверяет все
  • [digest] — используется для Cisco SIP server, нам этот модуль не нужен
  • [suffix] — этот модуль парсит User-Name аттрибут в поисках realm’а, таким образом может быть настроено проксирование
  • [files] — парсит файл /raddb/users в поисках юзеров, мы используем базу данных, поэтому нам он безразличен
  • [sql] — проверяет базу данных в поисках юзера и его атрибутов, сами запросы описаны в файле /etc/raddb/sql/mysql/dialup.conf


Из выдачи дебага видно, что было сделано пять запросов к БД к пяти различным таблицам, рассмотрим их позже, а пока нам понятно, что пользователь был найден и все ок:

  • [noresetcounter] — тот самый модуль, который высчитывает сколько времени у пользователя осталось, описан в файле /etc/raddb/sql/mysql/counter.conf
  • [expiration] — проверяет атрибут expiration, если время в течении которого креденциалы действительны вышло, то неважно сколько из отведенного времени пользователь успел потратить, в доступе будет отказано
  • [logintime] — можно задать время когда креденциалы будут работать, например в обед по четвергам
  • [pap] — Found Auth-Type = PAP протокол проверки подлинности определен


Переходим к секции аутентификации и тут [pap] определяет, что User authenticated successfully. Далее запускается секция section, в ней [sql] определяется, активна ли сессия в данный момент, если да, значит кто-то уже залогинился и в доступе будет отказано. Сам запрос описан в файле /etc/raddb/sql/mysql/dialup.conf. Секция post-auth логирует успешную аутентификацию в базу данных, в таблицу radpostauth. После этого отправляется ответ.

Итак, мы видим, что при обработке пакета авторизации и аутентификации freeRadius работает с шестью таблицами:

  • radcheck
  • radreply
  • radusergroup
  • radgroupcheck
  • radgroupreply
  • radpostauth


Аутентификация и авторизация пройдена, разберемся теперь с аккаунтингом:

debug_Accounting
rad_recv: Accounting-Request packet from host 127.0.0.1 port 58851, id=142, length=177
        Acct-Session-Id = "4D2BB8AC-00000098"
        Acct-Status-Type = Interim-Update
        Acct-Authentic = RADIUS
        User-Name = "zupvez10"
        NAS-Port = 0
        Called-Station-Id = "00-02-6F-AA-AA-AA:My Wireless"
        Calling-Station-Id = "00-1C-B3-AA-AA-AA"
        NAS-Port-Type = Wireless-802.11
        Connect-Info = "CONNECT 48Mbps 802.11b"
        Acct-Session-Time = 11
        Acct-Input-Packets = 15
        Acct-Output-Packets = 3
        Acct-Input-Octets = 1407
        Acct-Output-Octets = 467
# Executing section preacct from file /etc/raddb/sites-enabled/default
+group preacct {
++[preprocess] = ok
[acct_unique] WARNING: Attribute NAS-Identifier was not found in request, unique ID MAY be inconsistent
[acct_unique] Hashing 'NAS-Port = 0,,NAS-IP-Address = 127.0.0.1,Acct-Session-Id = "4D2BB8AC-00000098",User-Name = "zupvez10"'
[acct_unique] Acct-Unique-Session-ID = "55c4c93f54bb88a7".
++[acct_unique] = ok
[suffix] No '@' in User-Name = "zupvez10", looking up realm NULL
[suffix] No such realm "NULL"
++[suffix] = noop
++[files] = noop
+} # group preacct = ok
# Executing section accounting from file /etc/raddb/sites-enabled/default
+group accounting {
[detail]        expand: %{Packet-Src-IP-Address} -> 127.0.0.1
[detail]        expand: /var/log/radius/radacct/%{%{Packet-Src-IP-Address}:-%{Packet-Src-IPv6-Address}}/detail-%Y%m%d -> /var/log/radius/radacct/127.0.0.1/detail-20160105
[detail] /var/log/radius/radacct/%{%{Packet-Src-IP-Address}:-%{Packet-Src-IPv6-Address}}/detail-%Y%m%d expands to /var/log/radius/radacct/127.0.0.1/detail-20160105
[detail]        expand: %t -> Tue Jan  5 21:21:18 2016
++[detail] = ok
[sql]   expand: %{User-Name} -> zupvez10
[sql] sql_set_user escaped user --> 'zupvez10'
[sql]   expand: %{Acct-Session-Time} -> 11
[sql]   expand: %{Acct-Input-Gigawords} ->
[sql]   ... expanding second conditional
[sql]   expand: %{Acct-Input-Octets} -> 1407
[sql]   expand: %{Acct-Output-Gigawords} ->
[sql]   ... expanding second conditional
[sql]   expand: %{Acct-Output-Octets} -> 467
[sql]   expand:            UPDATE radacct           SET              framedipaddress = '%{Framed-IP-Address}',              acctsessiontime     = '%{%{Acct-Session-Time}:-0}',              acctinpu
toctets     = '%{%{Acct-Input-Gigawords}:-0}'  << 32 |                                    '%{%{Acct-Input-Octets}:-0}',              acctoutputoctets    = '%{%{Acct-Output-Gigawords}:-0}' << 32 |
                                  '%{%{Acct-Output-Octets}:-0}'           WHERE acctsessionid = '%{Acct-Session-Id}'           AND username        = '%{SQL-User-Name}'           AND nasipaddress    = '%{NAS-IP-Address}' ->            UPDATE radacct           SET              framedipaddress = '',              acctsessiontime     = '11',              acctinputoctets     = '0'  << 32 |                                    '1407',              acctoutputoctets    = '0' << 32 |                                    '467'           WHERE acctsessionid = '4D2BB8AC-00000098'           AND username        = 'zupvez10'           AND nas
rlm_sql (sql): Reserving sql socket id: 26
rlm_sql (sql): Released sql socket id: 26
++[sql] = ok
++[exec] = noop
[attr_filter.accounting_response]       expand: %{User-Name} -> zupvez10
attr_filter: Matched entry DEFAULT at line 12
++[attr_filter.accounting_response] = updated
+} # group accounting = updated
Sending Accounting-Response of id 142 to 127.0.0.1 port 58851
Finished request 2.
Cleaning up request 2 ID 142 with timestamp +40
Going to the next request



Рассмотрим процесс обработки пакета Interim-Update. Запускается секция preacct, описанная в файле /etc/raddb/sites-enabled/default:

  • [acct_unique] — берет некоторые атрибуты из пакета и высчитывает хэш, далее записывает его в БД в таблицу radacct, как acctuniqueid
  • [suffix] — этот модуль парсит User-Name атрибут в поисках realm’а, таким образом может быть настроено проксирование
  • [files] — позволяет в зависимости от полученных атрибутов по разному обрабатывать пакет, настраивается в файле /etc/raddb/acct_users


Запускается секция accounting:

  • [detail] — логирует пакет в текстовый файл, настраивается в /etc/raddb/modules/detail Посмотреть эти логи мы можем /var/log/radius/radacct/127.0.0.1/
  • [sql] — логирует наш запрос в базу данных в таблицу radacct, при этом мы видим, что используется запрос UPDATE, то есть не создается новая запись, а обновляется существующая, созданная при обработке пакета start. Это важно, тк при таком подходе одна сессия будет иметь одну запись и на этом будут строиться последующие запросы для биллинга и для таких модулей, как [noresetcounter] и section.Но это работает не всегда так, тк в файле /etc/raddb/sql/mysql/dialup.conf кроме запроса accounting_update_query, который обновляет запись, имеется так же accounting_update_query_alt, который в случае с фейлом accounting_update_query создаст новую запись.
  • [exec] — модуль описан в файле /etc/raddb/modules/exec с помощью него можно динамически менять атрибуты с помощью внешней программы
  • [attr_filter.accounting_response] — модуль для настройки проксирования, определяется в файле /etc/raddb/modules/attr_filter


Отправляется ответ. Итак, мы видим, что при обработке пакета аккаунтинга freeRadius работает всего с одной таблицей:

Рассмотрим таблицы в базе данных MySQL


По адресу х.х.х.х/easyhotspot/phpmyadmin мы можем увидеть наши таблицы с помощью GUI. Переходим в БД easyhotspot_opensource. Нас будут интересовать семь вышеперечисленных таблиц с которыми работал freeRadius:

479ed32a95454ec5a2c385420f7e0db1.jpg

Рассмотрим каждую в отдельности, начнем с radcheck.

77e0b96778f64f218e6c3cb5dba5c20b.jpg

Тут мы видим две строки для нашего юзера. В первой с помощью атрибута Cleartext-Password для него задается пароль, а во второй с помощью атрибута Expiration дата по истечению которой креденциалы перестают быть действительными.

Как мы видели в логах дебага атрибут с паролем обрабатывает модуль [pap] в секции authenticate, а атрибут Expiration обрабатывает модуль [expiration] в секции authorize.

Очевидно, что эти строки сгенерировал и записал для нас наш биллинг easyhotspot. Таблица radcheck нужна для записи атрибутов, которые будут проходить проверку, а в таблицу radreply записываются те атрибуты, которые должны передаваться в ответе.

cc08e47890e9426d91750eee58c6c9dc.jpg

Но здесь мы видим только WISPr-Session-Terminate-Time:= »2016–1–6T24:00:00». Все потому, что атрибуты могут быть сгруппированы. Если мы имеем общий биллинг-план с одинаковым набором атрибутов, зачем нам писать их в таблицу radreply для каждого пользователя.
Мы просто в таблице radusergroup указываем username пользователя, в groupname его принадлежность к группе и приоритет.

05345aa4fbea4b278fbf1201588f6c07.jpg

А дальше в таблице radgroupreply в groupname указываем всю ту же группу и перечисляем все атрибуты, которые должны быть переданы тем пользователям, что в ней состоят.

483a01fdf9f248cf9fb216c7148d5e7b.jpg

И тут мы видим оставшиеся три атрибута, что приходили к нам в ответе от freeRadius. Что если мы хотим иметь в группе атрибуты не только для отправки, но и для проверки? Тут нам на помощь приходит таблица radgroupcheck.

11205cd4162f431eacc8c48c02201a29.jpg

В ней мы видим Session-Timeout, который проверяется модулем [noresetcounter] в секции authorize и Simultaneous-Use, который обрабатывается модулем [sql] в секции session. value = 1 как раз таки и говорит радиусу о том, что в один момент времни может быть только одна активная сессия, все последующие попытки авторизоваться будут получать отказ.

И все это за нас делает наш биллинг easyhotspot. Когда мы создали биллинг-план и нажали кнопку 'Generate Voucher', easyhotspot раскидал все необходимые атрибуты по таблицам самым оптимальным образом. В таблицу radpostauth при помощи модуля [sql] в секции post-auth пишутся логи успешных попыток авторизации.

be50b452503f429aae7cc1c63c5f9b79.jpg

Видим две записи наших успешных попыток. Остается самая объемная таблица radacct, которая создается freeRadius’ом при обработке пакетов аккаунтинга. К ней будет обращаться наш биллинг когда мы будем просить его показать нам кто из юзеров онлайн, кто сколько потратил времени и трафика. Так же к ней будет обращаться и сам freeRadius в тех же целях при обработке запросов от NAS.

Теперь, имея предсталение, как работают в связке NAS-freeRadius-MySQL-Easyhotspot перейдем к практической части. Запустив в продакшн через некоторое время мы увидем следующую картину в меню «Online Users».

58af62f07e954c5d9a00884913b84ceb.jpg

Откуда взялись мак-адреса, мы же не генерировали подобных юзернеймов? Все дело в том, что циска в очередной раз нам доказывает, что аутентификация/авторизация и аккаунтинг могут работать независимо друг от друга. У нас открытый SSID, после того, как юзер подцепился и авторизовался, циска в пакетах аккаунтинга для него будет в поле User-Name вписывать тот username под которым он авторизовался.

А если не авторизовался? Тогда циска все равно будет посылать пакеты аккаунтинга и в поле User-Name будет вставлять мак-адрес. Получается, что все устройства, которые подцепились к открытому SSID и висят целыми днями, не подозревая об этом, заполняют нам таблицу radacct. Что, конечно же, нас не устраивает. Для решения этой проблемы воспользуемся встроенным языком freeRadius’а, который называется unlang и регулярными выражениями.

В файле /etc/raddb/sites-enabled/default в секции preacct в самом ее начале запишем следующее выражение:

#  Pre-accounting.  Decide which accounting type to use.
#
preacct {

        if (User-Name=~ /^[A-Fa-f0-9]{12}$/) {
                reject
        }


Мы создаем условие при котором, атрибут User-Name равен:

  • »~» — означает, что мы в своем условии используем регулярное выражение, записывается оно между слешами »//»
  • »^» — означает начало регулярного выражения
  • »[A-Fa-f0–9]» — в квадратных скобках указывается один символ для которого будет происходить сопоставление. Тут мы указываем диапазон значений, которым записывается hex, т.е. мак-адрес
  • »{12}» — в фигурных скобках записываем количество раз, в котором будет повторяться предыдущее выражение, мак-адрес имеет двенадцать символов.
  • »$» — конец выражения


И тогда такой пакет ждет действие «reject», то есть он будет дропнут. Проверим в режиме отладки:

rad_recv: Accounting-Request packet from host 192.168.80.100 port 32770, id=138, length=246
        User-Name = "6c709f251ec4"
        NAS-Port = 13
        NAS-IP-Address = 192.168.0.5
        Framed-IP-Address = 192.168.13.80
        NAS-Identifier = "5508"
        Airespace-Wlan-Id = 2
        Acct-Session-Id = "567be2a8/6c:70:9f:25:1e:c4/217989"
        Acct-Authentic = Remote
        Tunnel-Type:0 = VLAN
        Tunnel-Medium-Type:0 = IEEE-802
        Tunnel-Private-Group-Id:0 = "13"
        Acct-Status-Type = Interim-Update
        Acct-Input-Octets = 3566315
        Acct-Output-Octets = 99562740
        Acct-Input-Packets = 41757
        Acct-Output-Packets = 66012
        Acct-Session-Time = 8345
        Acct-Delay-Time = 0
        Calling-Station-Id = "6c-70-9f-25-2с-b2"
        Called-Station-Id = "28-94-0f-ae-be-13"
        Cisco-AVPair = "nas-update=true"
# Executing section preacct from file /etc/raddb/sites-enabled/default
+- entering group preacct {...}
++? if (User-Name=~ /^[A-Fa-f0-9]{12}$/)
? Evaluating (User-Name=~ /^[A-Fa-f0-9]{12}$/) -> TRUE
++? if (User-Name=~ /^[A-Fa-f0-9]{12}$/) -> TRUE
++- entering if (User-Name=~ /^[A-Fa-f0-9]{12}$/) {...}
+++[reject] returns reject
++- if (User-Name=~ /^[A-Fa-f0-9]{12}$/) returns reject
Finished request 7.


Работает, при этом помним, что при создании креденциалов мы сами не должны попадать под эти условия, иначе пользователь авторизуется, но аккаунтинга мы от него не увидим. Посмотрим, как теперь выглядит наша таблица «Online Users».

31dc8616d97c49f19acebdaa2e1ac80c.jpg

Мак-адресов в ней теперь не наблюдается, но видно, что некоторые сессии явно зависли. Проверим таблицу radacct, посмотрим, что случилось с пользователем «detpis7».

661f59efda3a4285b8baaa89dc1c027f.jpg

А с его сессией как раз таки все впорядке. Мы видим, что она началась 2015–12–24 18:18:00, а завершилась 2015–12–24 19:11:37
Почему же тогда висит у нас в биллинге со временем старта 2015–12–24 18:18:00? Посмотрим как формируется запрос к базе данных. Это происходит в файле /opt/EasyHotspot/htdocs/system/application/models/onlineusermodel.php:

return $this->db->query('select username, MAX(acctstarttime) as start, (acctstoptime) as stop, sum(acctsessiontime) as time,sum(acctoutputoctets)+sum(acctinputoctets) as packet from radacct  where (acctstoptime IS NULL) group by username');


Из запроса видно, что для каждого пользователя записи группируются вместе по максимальному времени начала сессии и выбирается строка где в acctstoptime записано NULL. Для нашего биллинга этот запрос не будет работать правильно по двум причинам.

Во первых вспомним наши тестовые запросы. Мы выяснили, что при нормальных раскладах одна сессия в таблице должна занимать одну строку. Создается она когда прилетает пакет start, а далее только обновляется. За это отвечает запрос accounting_update_query в файле /etc/raddb/sql/mysql/dialup.conf Но если он зафейлится, freeRadius воспользуется запросом accounting_update_query_alt и создаст новую строку, что у нас и произошло.

Во вторых мы видим, что время начала сессии в пределах одной сессии у нас меняется на секунду. Как это получается? NAS присылает только Acct-Session-Time, а вот acctstarttime для таблицы radacct freeRadius считает сам. Посмотрим запрос accounting_update_query_alt в файле /etc/raddb/sql/mysql/dialup.conf:

DATE_SUB('%S', \
                      INTERVAL (%{%{Acct-Session-Time}:-0} + \
                                %{%{Acct-Delay-Time}:-0}) SECOND)


Из него нам становится ясно, что сервер берет текущее время, отнимает от него Acct-Session-Time (Acct-Delay-Time у нас 0) и получает время начала сессии.

Значит весь механизм работает так: допустим пользователь авторизовался в системе в 12.00.00, допустим в 12.00.20 NAS решил послать пакет Interim-update, из 12.00.20 вычел 12.00.00, получил 20 и отправил атрибут Acct-Session-Time = 20 freeRadius’у. Наш сервер, получив это значение, воспользовался функцией MySQL DATE_SUB (date, INTERVAL expr type) из 12.00.20 вычел 20, получил 12.00.00 и записал это значение в таблицу как acctstarttime.

Допустим через 20 сек NAS сделал все тоже самое, и послал Acct-Session-Time = 40, но теперь пакет на секунду где-то в сети задержался и когда прилетел к серверу на часах было уже 12.00.41, 12.00.41 — 40 = 12.00.01 теперь в новой строке таблицы radacct acctstarttime = 12.00.01.

Посмотрите еще раз на предыдущую таблицу. Вот и получается, что запрашивая для биллинга MAX (acctstarttime) где acctstoptime = NULL мы получаем зависшую сессию.

При этом обратите внимание на значение Duration в биллинге и acctsessiontime в таблице, оно так же считается неверно. В запросе эти значения

© Habrahabr.ru