Прикручиваем внешний радиус сервер к указанной железке. непонятно почему dsa говорит 'аутенфикация не удалась'.

Вывод tcpdump'a:
tcpdump: listening on em0, link-type EN10MB (Ethernet), capture size 96 bytes
13:58:00.307572 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto UDP (17), length 153) 10.30.0.6.3096 > 10.30.0.106.181
2: RADIUS, length: 125
Access Request (1), id: 0x6f, Authenticator:
d61fe761ab0b816626dbeb81fde9033b
Username Attribute (1), length: 6, Value: test
0x0000: 7465 7374
Framed IP Address Attribute (8), length: 6, Value: 172.16.0.1
0x0000: ac10 0001
Calling Station Attribute (31), length: 19, Value:
00:16:41:FA:82:8F
0x0000: 3030 3a31 363a 3431 3a46 413a 3832 3a38
0x0010: 46
Accounting Session ID Attribute (44), length: 38, Value: [| radius]
0x0000: 30 [|radius]
13:58:00.313007 IP (tos 0x0, ttl 64, id 22009, offset 0, flags [none], proto UDP (17), length 48) 10.30.0.106.1812 > 10.30.0.
6.3096: [udp sum ok] RADIUS, length: 20
Access Accept (2), id: 0x6f, Authenticator:
d2f9e269e481d2d22e9b295bdaa7faa0
13:58:18.630799 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto UDP (17), length 153) 10.30.0.6.3096 > 10.30.0.106.181
2: RADIUS, length: 125
Access Request (1), id: 0x70, Authenticator:
efc36719b5c1905b548d59ff6089e087
Username Attribute (1), length: 6, Value: test
0x0000: 7465 7374
Framed IP Address Attribute (8), length: 6, Value: 172.16.0.1
0x0000: ac10 0001
Calling Station Attribute (31), length: 19, Value:
00:16:41:FA:82:8F
0x0000: 3030 3a31 363a 3431 3a46 413a 3832 3a38
0x0010: 46
Accounting Session ID Attribute (44), length: 38, Value: [| radius]
0x0000: 33 [|radius]
13:58:18.632611 IP (tos 0x0, ttl 64, id 22011, offset 0, flags [none], proto UDP (17), length 48) 10.30.0.106.1812 > 10.30.0.
6.3096: [udp sum ok] RADIUS, length: 20
Access Accept (2), id: 0x70, Authenticator:
1fc10a5451ed6778a0b2d1a7857c1a1a

почему "не удалась" ?

в том то и проблема, что радиус посылает Access-accept, а dsa-3110 говорит 'аутентификация не удалась'.

настройки AAA на DSA какие?

# cat radiusclient.conf
auth_order radius,local
login_tries 2
login_timeout 10
nologin /etc/nologin
issue /etc/radiusclient/issue
authserver 10.30.0.106
acctserver 10.30.0.106
servers /etc/radiusclient/servers
dictionary /etc/radiusclient/dictionary
login_radius /bin/false
seqfile /var/run/radius.seq
mapfile /etc/radiusclient/port-id-map
default_realm
radius_timeout 10
radius_retries 3
login_local /bin/login
# cat /etc/radiusclient/servers
10.30.0.106 secret

Аутентификация по каким протоколам?
А логи радиус-сервера можно снять? именно с самого радиуса

В логах RADIUS все нормально:

Tue Sep 1 13:35:03 2009 : Info: Using deprecated naslist file. Support for this will go away soon.
Tue Sep 1 13:35:03 2009 : Info: rlm_exec: Wait=yes but no output defined. Did you mean output=none?
Tue Sep 1 13:35:03 2009 : Info: rlm_sql (sql): Driver rlm_sql_mysql (module rlm_sql_mysql) loaded and linked Tue Sep 1 13:35:03 2009 : Info: rlm_sql (sql): Attempting to connect to root@localhost:/radius Tue Sep 1 13:35:03 2009 : Info: rlm_sql_mysql: Starting connect to MySQL server for #0 Tue Sep 1 13:35:03 2009 : Info: rlm_sql_mysql: Starting connect to MySQL server for #1 Tue Sep 1 13:35:03 2009 : Info: rlm_sql_mysql: Starting connect to MySQL server for #2 Tue Sep 1 13:35:03 2009 : Info: rlm_sql_mysql: Starting connect to MySQL server for #3 Tue Sep 1 13:35:03 2009 : Info: rlm_sql_mysql: Starting connect to MySQL server for #4 Tue Sep 1 13:35:03 2009 : Info: Ready to process requests.
Tue Sep 1 16:46:31 2009 : Auth: Login OK: [test/test] (from client dsa3110 port 0 cli 00:16:41:FA:82:8F) Tue Sep 1 16:46:48 2009 : Auth: Login OK: [test/test] (from client dsa3110 port 0 cli 00:16:41:FA:82:8F)

покажите блоки Access-Request и Access-Accept

Разобрались. Проблема была в том, что DSA не получала Session-Timeout и из-за этого не авторизовывала. Подскажите пожалуйста список key-pair'ов, которые понимает DSA-3110. В частности интересует Expiration_Days.

у меня на 5110 этот параметр вообще можно не задавать, авторизовывает намана

Если ему отослать этот атрибтут согласно RFC, то должен воспринять, правда в этом случае время у него должно быть правильно выставлено.

Я так понимаю, в этом случае должен ещё и Generation_date прилетать?

думаю достаточно будет подвязать к SNTP серверу

Никак не могу победить радиус. Подскажите пожалуйста, какие аттрибуты нужны, чтобы с карточки списывалось время, которое пользователь провёл в интернете? Курил RFC3580, просветление не пришло.