Мы используем FreeRADIUS для аутентификации клиентских сеансов PPP. В некоторых случаях необходимо блокировать клиентов, когда они прекращают или не оплачивают свои счета. В настоящий момент мы устанавливаем неверный пароль или блокируем учетную запись, но это приводит к заполнению журнала FreeRADIUS ошибочными запросами аутентификации.
Я хотел бы реализовать что-то, чтобы заблокировать этих пользователей, но не засорять журнал тысячами строк неудачных запросов. Интересно услышать об опыте других и предложениях, как это лучше всего сделать.
Я подумал о том, чтобы установить нулевой IP-адрес, который закроет трафик, но хотел бы услышать другие идеи, такие как изменение политики для блокировки определенных пользователей на основе атрибутов в radcheck Таблица БД и т. Д.
radiusd.conf - Устанавливать log { auth_reject = no }
Он был добавлен в серию v3.0.x, поэтому, если вы используете <= v2.0.x, вам нужно будет выполнить обновление.
Если вы хотите применить это к ограниченному набору пользователей, вам, к сожалению, необходимо полностью отключить ведение журнала отклонения аутентификации и вместо этого использовать линейный журнал модуль для записи сообщений в формате, аналогичном журналу аутентификации.
Журнал аутентификации в любом случае будет удален в FreeRADIUS> = v4.0.x, потому что это дублирующая функция. Таким образом, на одну вещь меньше, что нужно изменить при обновлении.