#blogdump » sysadmin http://aandre.evolix.net geeky lines Wed, 17 Jun 2009 15:43:07 +0000 http://wordpress.org/?v=2.8.4 en hourly 1 freeradius et rlm_sqlcounter http://aandre.evolix.net/2009/04/15/freeradius-et-rlm_sqlcounter/ http://aandre.evolix.net/2009/04/15/freeradius-et-rlm_sqlcounter/#comments Wed, 15 Apr 2009 10:15:38 +0000 arno http://aandre.evolix.net/?p=260 Cette note s’adresse aux utilisateurs de freeradius utilisant rlm_sqlcounter, et rajoute une précision concernant son utilisation.

Ce module est présent et activé par défaut dans freeradius depuis la version 1.1.0. Il permet de définir une durée maximale de connexion pour un utilisateur donné, en se basant sur les valeurs stockées dans la table radacct (Accounting) pour chaque session.

On trouvera le fichier de configuration du module dans /etc/freeradius/sql/mysql/counter.conf

Il est possible de définir une période de rafraîchissement pour laquelle la durée autorisée est réinitialisée à intervalle régulier. On pourra par exemple accorder x minutes par jour ou par mois en utilisant les scénarios prédéfinis daily et monthly de counter.conf, ou en écrivant son propre sqlcounter.

On trouve aussi dans counter.conf, le sqlcounter noresetcounter, permettant de définir une durée maximale unique pour l’utilisateur qu’il pourra utiliser sur une ou plusieurs sessions:

sqlcounter noresetcounter {
counter-name = Max-All-Session-Time
check-name = Max-All-Session
sqlmod-inst = sql
key = User-Name
reset = never
query = "SELECT SUM(AcctSessionTime) FROM radacct WHERE UserName='%{%k}'"
}

Le fichier de conf est assez bien commenté et on trouvera une doc complète de mise en place sur http://wiki.freeradius.org/Rlm_sqlcounter

Une fois activée, à chaque Access-Request, freeradius va consulter le module rlm_sqlcounter qui va calculer le temps de connexion passé en additionnant les AcctSessionTime des sessions précédentes, et le comparer avec la valeur de l”attribut Max-All-Session (placé dans radcheck ou radgroupcheck).

Si Max-All-Session > SUM(AcctSessionTime) alors freeradius va renvoyer un Access-Accept avec un attribut Session-Timeout = Max-All-Session – SUM(AcctSessionTime), sinon il envoie un Access-Reject.

Exemple avec un utilisateur min5 (avec un Max-All-Session de 5min, ayant déjà consommé 124s de connexion) envoyant un Access-Request (logs crachés par un freeradius lancé avec l’option -X):

[...]
rlm_sqlcounter: Entering module authorize code
sqlcounter_expand:  'SELECT SUM(AcctSessionTime) FROM radacct WHERE UserName='%{User-Name}''
[noresetcounter]     expand: SELECT SUM(AcctSessionTime) FROM radacct WHERE UserName='%{User-Name}' -> SELECT SUM(AcctSessionTime) FROM radacct WHERE UserName='min5'
sqlcounter_expand:  '%{sql:SELECT SUM(AcctSessionTime) FROM radacct WHERE UserName='min5'}'
[noresetcounter] sql_xlat
[noresetcounter]     expand: %{User-Name} -> min5
[noresetcounter] sql_set_user escaped user --> 'min5'
[noresetcounter]     expand: SELECT SUM(AcctSessionTime) FROM radacct WHERE UserName='min5' -> SELECT SUM(AcctSessionTime) FROM radacct WHERE UserName='min5'
rlm_sql (sql): Reserving sql socket id: 1
[noresetcounter] sql_xlat finished
rlm_sql (sql): Released sql socket id: 1
[noresetcounter]     expand: %{sql:SELECT SUM(AcctSessionTime) FROM radacct WHERE UserName='min5'} -> 124
rlm_sqlcounter: Check item is greater than query result
rlm_sqlcounter: Authorized user min5, check_item=300, counter=124
rlm_sqlcounter: Sent Reply-Item for user min5, Type=Session-Timeout, value=176
++[noresetcounter] returns ok
 
Sending Access-Accept of id 85 to 78.114.63.174 port 53158
Session-Timeout == 176
[...]

Si Max-All-Session < SUM(AcctSessionTime) alors on aura:

[...]
rlm_sqlcounter: Entering module authorize code
sqlcounter_expand:  'SELECT SUM(AcctSessionTime) FROM radacct WHERE UserName='%{User-Name}''
[noresetcounter]     expand: SELECT SUM(AcctSessionTime) FROM radacct WHERE UserName='%{User-Name}' -> SELECT SUM(AcctSessionTime) FROM radacct WHERE UserName='min5'
sqlcounter_expand:  '%{sql:SELECT SUM(AcctSessionTime) FROM radacct WHERE UserName='min5'}'
[noresetcounter] sql_xlat
[noresetcounter]     expand: %{User-Name} -> min5
[noresetcounter] sql_set_user escaped user --> 'min5'
[noresetcounter]     expand: SELECT SUM(AcctSessionTime) FROM radacct WHERE UserName='min5' -> SELECT SUM(AcctSessionTime) FROM radacct WHERE UserName='min5'
rlm_sql (sql): Reserving sql socket id: 1
[noresetcounter] sql_xlat finished
rlm_sql (sql): Released sql socket id: 1
[noresetcounter]     expand: %{sql:SELECT SUM(AcctSessionTime) FROM radacct WHERE UserName='min5'} -> 301
rlm_sqlcounter: (Check item - counter) is less than zero
rlm_sqlcounter: Rejected user min5, check_item=300, counter=301
++[noresetcounter] returns reject
 
Sending Access-Reject of id 124 to 78.114.63.174 port 51651
Reply-Message = "Your maximum never usage time has been reached"
[...]

Néanmoins, que se passe t’il lors de la première connexion de l’utilisateur, alors qu’il n’y a aucune durée de connexion loggée dans la table radacct ?

[...]
rlm_sqlcounter: Entering module authorize code
sqlcounter_expand:  'SELECT SUM(AcctSessionTime) FROM radacct WHERE UserName='%{User-Name}''
[noresetcounter]     expand: SELECT SUM(AcctSessionTime) FROM radacct WHERE UserName='%{User-Name}' -> SELECT SUM(AcctSessionTime) FROM radacct WHERE UserName='min5'
sqlcounter_expand:  '%{sql:SELECT SUM(AcctSessionTime) FROM radacct WHERE UserName='min5'}'
[noresetcounter] sql_xlat
[noresetcounter]     expand: %{User-Name} -> min5
[noresetcounter] sql_set_user escaped user --> 'min5'
[noresetcounter]     expand: SELECT SUM(AcctSessionTime) FROM radacct WHERE UserName='min5' -> SELECT SUM(AcctSessionTime) FROM radacct WHERE UserName='min5'
rlm_sql (sql): Reserving sql socket id: 1
[noresetcounter] row[0] returned NULL
rlm_sql (sql): Released sql socket id: 1
[noresetcounter]     expand: %{sql:SELECT SUM(AcctSessionTime) FROM radacct WHERE UserName='min5'} ->
rlm_sqlcounter: No integer found in string ""
++[noresetcounter] returns noop
 
Sending Access-Accept of id 81 to 78.114.63.174 port 57171
[...]

Rlm_sqlcounter n’est pas capable d’effectuer sa requête puisqu’il n’y a pas de session antérieure concernant le nouvel utilisateur. Il est échoue et freeradius renvoie un Access-Accept, sans Session-Timeout, donc sans aucune restriction concernant la durée de connexion !

Il faut préalablement définir pour l’utilisateur (table radreply) ou un groupe d’utilisateur (table radgroupreply) un Session-Timeout correspondant au Max-All-Session, afin qu’il soit utilisé lors de la première connexion. Pour les futures connexions, le module Rlm_sqlcounter génèrera un Session-Timeout que freeradius utilisera à la place de la valeur configurée par défaut.

]]> http://aandre.evolix.net/2009/04/15/freeradius-et-rlm_sqlcounter/feed/ 2