如何将freeradius属性框架-IP-地址包含到日志中

Question

我希望记录身份验证请求，并希望在日志中包含属性框架-IP地址。下面是我在radiusd.conf中的配置：

msg_goodpass = "wifi: %{Virtual-Server}, auth-type: %{control:Auth-Type}, client IP: %{Framed-IP-Address}, device: %{NAS-Identifier} (%{NAS-IP-Address}), authentication result: %{Module-Return-Code}"
msg_badpass = "wifi: %{Virtual-Server}, auth-type:%{control:Auth-Type}, client IP: %{Framed-IP-Address}, device: %{NAS-Identifier} (%{NAS-IP-Address}), authentication result: %{Module-Return-Code}"

除了框架IP地址之外，所有属性及其值在我的日志服务器上都是可见的。这个配置有什么问题吗？

Answer 1

有多个与请求关联的属性列表。通常，Framed-IP-Address在reply列表中，但在一些罕见的情况下，它可以包含在访问请求和计费请求中。

您可能还试图获取发送RADIUS数据包的设备的IP地址。

所以这里的问题是你到底想要访问什么：

• 如果您试图访问要分配给无线客户端的IP地址，请使用%{reply:Framed-IP-address}
• 如果您试图从RADIUS数据包访问src IP，请使用%{Packet-Src-IP-Address}。
• 如果您期望访问请求中包含无线客户端的IP地址，这就是您使用%{Framed-IP-Address}的原因，那么请与NAS供应商谈谈为什么它没有包含在访问请求包中。虽然我通常不会期望框架-IP地址是可用的，除非这是对类似于专用门户的身份验证，其中DHCP在无线客户端认证之前运行。

或者您可能误解了msg_goodpass和msg_badpass配置项的用途。

只有在处理访问请求数据包、发送访问接受或访问拒绝时，msg_goodpass和msg_badpass才会被评估.在处理计费请求数据包时，不会评估msg_goodpass和msg_badpass，在您的情况下，这些数据包似乎包含帧IP地址值。

您可以使用linelog模块从会计生成自定义syslog消息--请求使用与msg_goodpass和msg_badpass相同的扩展语法。

有几个例子，这里。只需配置linelog实例，并在虚拟服务器的记帐部分调用它，即

accounting {
    linelog
}