Добрый день!
On Fri, 19 Mar 1999, Vladimir Vorobyev wrote:
> Любые tacacs-AV-pair я могу использовать в radius (после простенького
> патча).
> На мой взгляд radius лучше tacacs+ потому, что
> а) стандартизован,
Формальность, имхо. Протокол такакса тоже документирован и доступен.
> б) внешний словарь,
Такаксу никакой словарь, на самом деле, не нужен. Названия пар идут внутри
пакета в текстовом виде. Напрмер, при необходимости авторизовать по такаксу
веб-бзеров, править ни такакс, ни словарь не надо. Достаточно исправить
конфиг такакса. И, само - сабой, сделать веб-сервер, который знает о
такаксе.
> в) исполняет форвард,
Проблемы конкретной реализации? Тогда уж пункт в-бис не забудь: в радиусе
можно назначать различные секреты для различных аксесс серверов (т.е. киска1
использует "cat", киска2 "dog", и обе они обращаются к одному и тому же
радиусу)
> г) порты auth и acct разнесены.
Гм. А зачем это нужно?
> остальное мелочи.
Разнесенность (не по портам, а идеологически) аутентикации и авторизации в
такаксе позволяет строить более гибкие системы. Типа: пришел юзер
аутентифицировался, ему говорят - бери такой-то ip. Он говорит - а не возьму,
у меня другой есть - лучше :) А мы ему, заглянув в базу и выяснив, что этот
адрес, в принципе, можно дать, говорим: и фиг с тобой, мы тебе за это
такой-то аксесс лист нацепим.
Понятно, что данная схема для дайлапа как бы и не очень нужна, разве что в
ну очень экзотических конфигурациях... Но для авторизации других сервисов
типа веба или ftp - может оказаться очень даже полезной.
В радиусе же весь набор ав-пар должен выдаваться сразу.
С уважением, Даньков Михаил, г. Белгород.
ОАО "Деловая Телерадиокоммуникация" - партнер Глобал Один
тел./факс +7-(0722)-27-48-45
2:5037/9@fidonet HAM CALLSIGN: RK3ZWO
=============================================================================
"inet-admins" Internet access mailing list. Maintained by East Connection ISP.
Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to quit.
Archive is accessible on
