В этом разделе приведены минимальные изменения в конфигурацию FreeRadius 3 для взаимодействия с FastPCRF.

Предположим, IP-адрес у Radius-сервера 192.168.1.200, порт 1812.

Сначала следует добавить словарь vendor-specific атрибутов dictionary.vasexperts (актуальный словарь находится в /usr/share/dpi/dictionary.vasexperts) в словарь Radius-сервера. Для этого:

• Копируем словарь /usr/share/dpi/dictionary.vasexperts из дистрибутива fastpcrf в каталог $freeRadius/share/freeradius
• Добавляем в главный словарь $freeRadius/share/freeradius/dictionary строку:

$INCLUDE dictionary.vasexperts

В файле конфигурации fastpcrf.conf нашего инстанса, который является Radius-клиентом, должно быть прописано соединение с Radius-сервером:

radius_server=secret123@192.168.1.200%eth0:1812;msg_auth_attr=1

Здесь eth0 – это имя локального для клиента устройства (сетевой карты), с которой будет устанавливаться соединение с сервером 192.168.1.200.

Для каждого инстанса FastPCRF первым делом следует создать клиента в FreeRadius. Назовем клиента fastdpi1. Все клиенты (инстансы FastPCRF) будут ссылаться на один и тот же виртуальный сервер fastdpi-vs.

Добавляем в raddb/clients.conf Radius-сервера следующие строки:

client fastdpi1 {
ipaddr = 192.168.1.32
secret = secret123
require_message_authenticator = yes
# add_cui = yes
virtual_server = fastdpi-vs
}

Здесь:

• ipaddr - задает IP-адрес инстанса FastPCRF, в нашем примере это 192.168.1.32
• secret – уникальный секрет, известный Radius-серверу и клиенту (то есть инстансу FastPCRF). Значение является произвольным и должно совпадать с настройкой в fastpcrf.conf: radius_server=secret123@192.168.1.200%eth0:1812
• require_message_authenticator – флаг, устанавливающий обязательность присутствия в Radius-запросе атрибута Message-Authenticator. RFC 2869 настоятельно рекомендует использовать данный атрибут. Эта настройка должна быть согласована с параметром msg_auth_attr в fastpcrf.conf: radius_server=…;msg_auth_attr=1
• add_cui – этот параметр должен быть де-активирован. В целях безопасности Radius-сервер передает атрибут CUI (Chargeable-User-Identity) как зашифрованное хеш-значение логина пользователя, что неприемлемо для FastDPI, - нам нужен истинный логин пользователя. Поэтому параметр add_cui закомментирован.
• virtual_server – задает имя виртуального сервера, который мы сконфигурируем далее.

Для создания конфигурации виртуального сервера копируем файл raddb/sites-available/default, входящий в поставку FreeRadius, в raddb/sites-enabled/fastdpi-vs и затем редактируем fastdpi-vs:

• задаем имя виртуального сервера - меняем в начале файла строку server default на server fastdpi-vs
• в секции listen для auth-запросов (type = auth) прописываем, на каком IP-адресе и каком порту слушать входящие запросы (заметим, это локальный адрес Radius-сервера):

ipaddr = 192.168.1.200
port = 1814
interface = eth0

• остальные секции listen удаляем (или закомментируем – они нам не нужны)
• всю основную работу по составлению ответа на Access-Request прописываем в секции post-auth. Здесь дать какие-то рекомендации невозможно – все зависит от конкретного провайдера, от окружения Radius-сервера – откуда брать данные. Список необходимых атрибутов см. Параметры ответов от Radius-серверов к FastPCRF. В качестве примера приводится статическое заполнение атрибутов ответа Access-Accept (не забываем, наличие в запросе Access-Request атрибута CUI (Chargeable-User-Identity), содержащего единственный нулевой байт, означает, что fastpcrf не знает логин пользователя и запрашивает его у Radius-сервера; в данном примере CUI формируется из Framed-IP-Address только в качестве иллюстрации):

post-auth {
…
#
# Add VasExperts attributes
#
if ( Chargeable-User-Identity == 0x00 ) {
update reply {
Chargeable-User-Identity := "u-%{Framed-IP-Address}"
}
}
else {
update reply {
Chargeable-User-Identity := "%{Chargeable-User-Identity}"
}
}
update reply {
Framed-IP-Address := "%{Framed-IP-Address}"
VasExperts-Policing-Profile := "test1"
VasExperts-Service-Profile += "1:test1"
Session-Timeout := 300
}
…
}

• Параметр cui секции post-auth оставляем закомментированным! FreeRadius вместо логина пользователя посылает в CUI хеш-значение логина, что нам не нужно, поэтому атрибут CUI в ответе будем формировать сами, см. пример выше.
• Ниже в секцию Post-Auth-Type REJECT (формирование Access-Reject) добавляем:
  • Формирование атрибута CUI, если FastPCRF его запрашивает и пользователь известен;
  • Атрибут VasExperts-Policing-Profile, задающий профиль полисинга для неавторизованных пользователей (в примере ниже имя профиля – plc_unauth, у вас имя будет другое);
  • Атрибут VasExperts-Service-Profile, задающий профиль услуги 5 (“Белый список”). Обычно это профиль, разрешающий неавторизованным пользователям доступ только к Captive Portal. В примере ниже имя профиля – cp_unauth, у вас имя будет другое.

Пример:

if (Chargeable-User-Identity == "\0" ) {
update reply {
Chargeable-User-Identity := "login"
}
}
update reply {
VasExperts-Policing-Profile := "plc_unauth"
VasExperts-Service-Profile += "5:cp_unauth"
}

В файл raddb/users следует добавить две записи для FastPCRF:

VasExperts.FastDPI.unknownUser Cleartext-Password := "VasExperts.FastDPI"
DEFAULT Cleartext-Password := "VasExperts.FastDPI"

Первая запись задает имя пользователя, которое шлет FastPCRF если логин ему не известен, подробнее см. описание конфигурационного параметра radius_unknown_user. Это имя настраивается в FastPCRF, так же как и пароль, см. описание конфигурационного параметра radius_unknown_user_psw. Вторая запись задает пароль, с которым FastPCRF шлет запросы для известных логинов. Этот пароль настраивается в FastPCRF, см. описание конфигурационного параметра radius_user_password.