PROGETTO FREERADIUS Passaggio di versione dalla 0.9.x, compilata da sorgenti su piattaforma CentOS 4.4, alla 1.1.

3, installata da rpm (ufficiale CentOS) su piattaforma CentOS 5. DIFFERENZE NELLO SCHEMA DEL DATABASE Lo schema del database MySQL differisce in: rimozione dell'attributo DataRate nella tabella radacct; cambiamento del tipo dell'attributo NASPortId da int (12) a varchar (15) nella tabella radacct; cambiamento del tipo dell'attributo ConnectInfo_start da varchar (32) a varchar (50) nella tabella radacct; cambiamento del tipo dell'attributo ConnectInfo_stop da varchar (32) a varchar (50) nella tabella radacct; rimozione della radcheckTotalLogin; rimozione dell'attributo prio nella tabella radgroupreply; rimozione dell'attributo id nella tabella usergroup; aggiunta dell'attributo prority nella tabella usergroup; aggiunta della tabella radpostauth; aggiunta della tabella NAS. Esiste una tabella dictionary commentata dalla quale si comprende, insieme alla tabella NAS, la volont da parte degli sviluppatori di portare i file di configurazione esterni a radiusd.conf all'interno del database. La procedura per lo spostamento del database di produzione la seguente: effettuare il dump del database; effettuare il restore del database sul nuovo server; apportare le modifiche di rimozione, cambiamento e creazione riferite ai soli attributi (le nuove tabelle verranno create dallo script fornito con la nuova versione di freeradius); effettuare il dump del database modificato utilizzando l'opzione -t per esportare solo i dati; creare un nuovo database sul nuovo server utilizzando lo schema fornito con freeradius; importare i dati salvati. DIFFERENZE NEI FILE DI CONFIGURAZIONE Nella directory /etc/raddb/ sono stati rimossi i file: experimental.conf, mssql.conf, oraclesql.conf, postgresql.conf, x99.conf. Sono stati aggiunti: otp.conf, sqlippool.conf. GRUPPI I gruppi attualmente esistenti sono: base, freelink-base, lucense, netlink-base, netlink-nolimit, retecivica. Non esiste nessuna azione di reply (radreply) per il singolo utente. Ogni utente appartiene ad un unico gruppo, non ci sono utenti che non appartengono ad alcun gruppo. AUTORIZZAZIONE ATTRAVERSO IL MODULO SQL All'arrivo di una richiesta, radiusd cerca gli attributi specifici dell'utente all'interno di radcheck e se li trova invia con la risposta i valori per gli attributi posti in radreply. Il check dei gruppi avviene quando l'utente non esiste in radcheck, quando gli attributi dell'utente in radcheck non matchano, quando matchano ma settato l'attributo Fall-Through in radreply, quando matchano e la direttiva (dove???) read_groups settata su yes. Se i gruppi vengono processati, si cercano le corrispondenza per l'utente in usergroup e utilizza quella con priorit pi alta (con numero pi basso). Si utilizzano per la risposta i valori in

radgroupreply. Si continua nell'analisi dei gruppi dei quali fa parte l'utente se non c' match nel primo gruppo o se nel groupreply settato l'attributo Fall-Through. PROBLEMI NOTI E SETTAGGI DA VERIFICARE Il file clients.conf deve rimanere ed avere almeno un client nas dummy (lasciato localhost), altrimenti il demone si rifiuta di funzionare, anche in modalit debugging. I moduli auth_log e replay_log sono necessari, non esistono funzionalit analoghe appoggiandosi al solo modulo sql. Non possibile generare una chiave perfettamente univoca. La generazione della chiave si basa su attributi presenti nel dizionario, nessuno dei quali permette l'univocit. Occorre stabilire se lasciare i singoli utenti in radcheck oppure se settare gli attributi in radgroupcheck ( possibile una soluzione ibrida o a due livelli di granularit). Verificare l'effettiva utilit di checkval attualmente risulta commentato come era nella versione precedente. Abilitare il simultaneous-use quasi banale, necessita per di snmp e di interrogare i nas. Non chiaro se il simultaneous-use impostato all'interno dei gruppi si riferisce al gruppo o ad ogni utente di tale gruppo. Non chiaro dove inserisca le informazioni sqlcounter, sicuramente non nel database. 3 gruppi (1,2, 3 o pi connessioni), gli utenti all'interno dello stesso gruppo devono avere lo stesso numero di connessioni, nessun limite di connessioni per l'intero gruppo. Non sembra necessario far partire radiusd con l'opzione -y.