Distribution EOLE » Modules » Amon » eole-radius

En l’absence d’infrastructure de test, la plupart des remarques qui suivent découlent de la lecture de la documentation et de la configuration.

Outre le fait que le choix du terme "mode" n’est peut-être pas adéquat, il semble que la distinction entre 802.1X et accounting a seulement été introduite pour ajouter la possibilité de tagger les connexions avec des ID de VLAN, comme observé précédemment. Une variable pour activer ce tag dans le groupe de variables concernant les groupe LDAP pourrait sans doute remplacer ce choix de "mode".

Par contre, l’effet attendu n’est pas très clair pour moi : dans l’implémentation actuelle, le choix d’accounting ajoute des entrées dans le fichier de configuration du module files (/etc/freeradius/3.0/mods-config/files/authorize) mais l’attribut qui sert à sélectionner à quelles connexion ajouter les attributs de VLAN n’est peut-être pas présent (attribut issu de l’interrogation du LDAP en phase d’autorisation ?). Comme la condition est assez lâche (opérateur ==), il est possible que la première entrée soit utilisée par défaut. Voire aucune si la condition Framed-Protocol = PPP capture toutes les requêtes au-dessus (absence du paramètre Fall-Through = Yes).

En bref, le choix "accounting" a été ajouté pour traiter un cas particulier d’ajout d’attributs à une requête. Il serait peut-être préférable d’avoir une méthode plus générique pour déclarer des entrées dans ce module files, tout en préservant ce cas particulier des VLAN basés sur les groupes LDAP.

Dans l’esprit de la configuration de freeradius, il faut :
- une liste de modules à activer et leur configuration (cas spécial du module files)
- des serveurs virtuels qui définissent les décisions à prendre pour les requêtes (modules pour l’autorisation, modules pour l’authentification, modules pour l’accounting).