Più Server Radius

[morpheus1978]

Buongiorno a tutti è un pò che seguo lo sviluppo di questo bel forum.
Così oggi ho deciso di porvi una domanda.

A breve la mia società implementerà un secondo server radius per le più disparate esigenze.
Secondo Voi esiste un modo per direi ai mikrotik che se non risponde il primo di andare sul secondo ?
Oppure che se non trova un utente sul primo di cercarlo sul secondo ?

Cordiali Saluti.

Matteo Casarino

[parabolino]

Secondo Voi esiste un modo per direi ai mikrotik che se non risponde il primo di andare sul secondo ?
Oppure che se non trova un utente sul primo di cercarlo sul secondo ?

1) In RADIUS sul Mikrotik, inserisci i parametri dei due server RADIUS, in sequenza. Se il primo non risponde, va sul secondo.
2) Non è previsto il funzionamento che dici: se non trova l'utente sul primo RADIUS (RADIUS funzinante), non prosegue la ricerca.

[morpheus1978]

Grazie per la risposta ma secondo Te è proprio impossibile una soluzione per il punto 2 ?

[parabolino]

Grazie per la risposta ma secondo Te è proprio impossibile una soluzione per il punto 2 ?

Mikrotik rispose ecplicitamente che il meccanismo è quello.
Non so se ci sono workaround, ma è difficile perchè è un meccanismo interno al ROS.
Usare domini diversi ti può aiutare?

[maxumi]

non so se puo esserti uno spunto utile, pero nel Radius puoi implementare che vengano eseguite delle ricerce su più basi dati in modo ricorsivo.
Ad esempio io prima eseguo una ricerca su LDAP, poi su un db MySQL, ed infine in file user.

potresti farti una gerarchia di Proxy Radius:

- 2 server Radius di front end che inserisci nel NAS
(in questi imposti che sono dei proxy dei tuoi server radius principali)
- e poi appunto i due radius con i dati di Auth

in questo modo teoricamente nei server principali risiedono i DB degli user, nei Proxy confluiranno solamente i log.

lo scomodo è che alla fine dovresti avere almeno 4 macchine attive.

[morpheus1978]

Eh avevo pensato anche io a questa soluzione per altro il mio è basato su freeradius che prevede il sistema di proxy...
però poi dovrei controllare i log d 4 macchine....mumble mumble....

Proverò a cercare ancora e a testare....secondo me dev'esserci il modo stupido di dirli se non trovi qui cerca li....


Domini in che senso ??


Grazie
MAtteo

[maxumi]

quando inserisci il nome utente, se specificato puo essere anche di tipo pippo@disnay.it ovviamente tutto quello dopo la @ costituisce il dominio. Puoi specificare (anche sul NAS) se gli user che hanno un determinato dominio debbano andare a cercare la propria autenticazione in un server o in un altro. Per lo meno mi sembra di aver capito che sia cosi.

[iz3dvm]

Salve,
ma quale porta devo aprire per far si che il client radius vada sul radius server ? E sul server radius cosa devo settare ?
Saluti

[procad]

In genere le porte sono 1812 per l'autenticazione e 1813 per l'accounting.

P.

[parabolino]

Basta accettarsi quali sono state configurate...