Habe mal wieder eine Frage, die über das "normale" hinausgeht.

Also -

Ich habe einen ACE Server. Dieser dient zur Authentifizierung von VPN Usern. Ein Cisco VPN Concentrator (als NAS) kontaktiert bei der authentifizierung eines Users per Radius-Protokoll den ACE Server. Dabei sendet der VPN Concentrator ein "Access-Reply" Paket.
Nachdem der ACE Server das Token-Passwort überprüft hat, sendet er (wenn erfolgreich) ein Radius "Access-Accept" Paket an den VPN Concentrator, und der User bekommt Zugang.

Nun möchte ich erreichen, dass im "Access-Accept" Paket ein zusätzliches Radius-Attribut ("Session-Timeout") mitgesendet wird.
ALLERDINGS nur, wenn ein anderer NAS eine Radius-Anfrage an den ACE Server stellt. Anfragen vom VPN Concentrator sollen weiterhin KEIN Attribut "Session-Timeout" gesendet werden.

Der ACE soll also je nachdem, WER die Anfrage stellt (bzw. welcher NAS) unterschiedliche Radius-Attribute im Antwort Paket mitsenden. Ich hoffe, soweit klar.

Die Sache mit dem Attribut funktioniert auch, doch bislang schaffe ich es nur, dass JEDEM NAS dieses Attribut gesendet wird. Ich will aber genau das NICHT.

Laut (zäher, englischsprachiger) Hilfe kann ich RAdius-Attribute nur Usern (also Benutzern) zuweisen, nicht aber bestimmten NAS Geräten.

Wer hat eine Lösung bzw. WER WEISS WOVON ICH ÜBERHAUPT REDE?

hat das was mit sex zu tun???

*sorry* kann dir leider nicht helfe...

Wie es aussieht können Radius-Attribute tatsächlich nur pro User und nicht pro NAS gesetzt werden. Ja, das hat wirklich nix mit sex zu tun, lieber tierechan. Muhaha.

Ich werd trotzdem mal den Support nerven, vielleicht haben die noch nen Geheimtrick auf Lager... ;-)

geheimtrick gefunden?

könntest du auf dem concentrator das sessiontimeout nicht "übersteuern", sodass er es nur annimmt wenn nichts anderes bestimmt?? (nur so ne rein theoretische frage, hab seit einem jahr keinen concentrator mehr gesehen wegen lehre fertig/militär )

hmm, bin jetzt grad selber drauf gekommen, dass das nicht gehen kann... also nicht wie du willst.

ich weiss nicht obs ne Lösung in der Richtung gäbe? (guckst du URL)

http://www.cisco.com/en/US/tech/tk59...800946a2.shtml


(sooo, nach dem x-ten edit... *arg* das forum nimmt den link nicht sauber... musst die "%20" selber rausnehmen...)

(edit x.te die 2.te: ach ja und das "br")

Naja, das session-timeout auf 8 Stunden macht keine Probleme. VPN Verbindungen gehen eh bei uns nie länger als 2 Std. oder so. Solang sich keiner beschwert, ist es kein Problem.
Wenn doch, muss ich halt weiter "eruieren", "evaluieren" und wenns hart auf hart kommt auch "errigieren". Muhahaha.

Danke fuer die Info.

by the way spacy... du gehst fremd?????
http://board.protecus.de/t21389.htm


also, nachdem ich das dort gelesen habe ists mir schon ein bisschen klarer geworden...

du könntest ja mehrere radius instanzen auf dem server starten und jede instanz auf einem anderen port und dann jeden Agent auf eine andere instanz schicken... datenbasis bleibt natürlich die selbe...

(nur halb ernst gemeint )

Hehe... naja, informatikboard ist halt tatsächlich nicht das einzige forum in diesem teil der galaxie. Ich hänge noch in ca. einem Dutzend Foren rum. Muss mal wieder bissi abschlacken, das wird mir fast zu viel...
Das beste Forum ist wohl dieses


http://www.knorkator.de/kommunikator...34081106f8c27e

ja und da scheinst du ja auch fleissig mit zu mischen... machst du den ganzen tag auch noch was anderes als "forümeln"?