freeradius中rlm_sqlcounter模块对时间和流量限制的实验笔记

实验环境
fedora6 kernel:2.6.18-1.2798.fc6
mysql 5.0.22
freeradius 1.1.7
该模块可以生成一个临时的check属性,该属性的值通过sql语句从sql数据库中的raddacct表统计数据,然后将它与数据库radcheck或者 radgroupcheck表中的该属性的值(已经被添加到check items中)进行比较,符合规则的才会通过authorize。
eg.
sqlcounter noresetcounter {

counter-name = Max-All-Session-Time #没有发现有什么用

check-name = Max-All-Session  #对应radcheck表中的attribute

reply-name = Session-Timeout #返回给NAS的attribute type,这里为Session-Timeout

sqlmod-inst = sql  #指定查询类型

key = User-Name  #

reset = never  #sqlcounter重置频率,通常为hourly, daily, weekly, monthly,never

query = "SELECT SUM(AcctSessionTime) FROM radacct WHERE UserName=’%{%k}’"

}
 


将上边的内容加到radiusd.conf的modules中(在modules中已经有sqlcounter的示例),并在authorize中加入noresetcounter,这样在认证过程中就会调用这个sqlcounter,radius会去计算radacct表中该用户的所有AcctSessionTime之和,也就是累计上线时间,并与radcheck表中该用户的Max-All-Session进行比较,如果Max-All-Session大于AcctSessionTime之和,就会将差值(正数)指定为Session-Timeout的value,返回给NAS,反之拒绝登陆。这就实现了限制该用户最大的上线时间,累计时间达到了Max-All-Session的话便会拒绝的登陆。
示例中有reset为daily, weekly, monthly,如果是daily的话,这个时间限制只对当天有效,第二天就会重置数据了。关于这个没有做详细的实验,据说因为重置时间的原因计算的差值可能会有错误。具体可以看我在另一篇blog里( some mail about freeradius sqlcounter limit the octets)摘录的有关信息。
sqlcounter对时间的计算和限制登陆已经在freeradius的wiki里有详细的说明了,这里还要说一下对流量的限制。
根据流量来限制登陆可以在radreply表中添加Chillispot-Max-All-Octets(我用的NAS为coova-chilli)属性,该账号流量在达到这个值后,会被chilli强制下线。这里的流量包括上行和下行,如果只限制下行,则需要Chillispot-Max-Input-Octets,对应的上行则是Chillispot-Max-Output-Octets,这是coova-chilli的属性。实践证明,coova官网说:
ChilliSpot- Max-Output-Octets:Maximum number of octets the user is allowed to receive,ChilliSpot-Max-Input-Octets:Maximum number of octets the user is allowed to transmit
这个正好说反了,但是在chillispot之前的版本中,比如chillipot 1.1.0却的确是这样的。
如果要防止流量已经达到了最大数值的账号再次登陆的话,上边的方法就不行了。因为上边只对当次登陆给了对应的属性来让他自动掉线,并没有对其他有任何的限制。这就要借用sqlcounter来实现。事实上,上边的方法完全是没有必要的。我们只需要设置一个sqlcounter,并在radreply不要再重复添加Chillispot-Max-All-Octets属性。这样就既可以限制本次也会对以后的登陆进行计算.
限制下行流量的sqlcounter

sqlcounter octets {
counter-name = Max-All-Session-Octets #没有发现有什么用
check-name = Chillispot-Max-Input-Octets #对应radcheck表中的attribute
reply-name = Chillispot-Max-Input-Octets #返回给NAS的attribute type,这里为Session-Timeout
sqlmod-inst = sql #指定查询类型
key = User-Name #
reset = never #sqlcounter重置频率,通常为hourly, daily, weekly, monthly,never
query = "SELECT SUM(AcctInputOctets) FROM radacct WHERE UserName=’%{%k}’"
}
 

最后别忘了将octets加入authorize中。
两点说明
1. 我在freeradius-1.1.3版本中测试时发现,reply-name被默认固定成了Session-Timeout,我们指定的reply-name没有效果,所以就不能用它来进行流量限制了。
2. 网上查到的资料还有一项参数,是error-msg还是reply-message,意思是返回给NAS的错误信息,但是我在1.1.7版本中没有实验成功,源码中好像也没有这样的参数,不能确定.

你可能感兴趣的:(数据库,休闲,radius,freeradius,rlm_sqlcounter)