======Les logs RADIUS et LNS====== Face à un abonné en détresse qui peine à trouver et donner toutes les infos nécessaires («mon modem synchronise-t-il ? aucune idée, comment je pourrais savoir ?») il peut-être utile de voir si ses demandes de connexions arrivent jusqu'aux machines de FDN et le cas échéant, comment elles sont traitées. Les logs RADIUS et des LNS alors peuvent-être utiles. ====== RADIUS ====== Sur vador.fdn.fr (avec les droits nécessaires, se référer à @adminsys) on peut accéder aux logs RADIUS : ===== Logs RADIUS simples ===== ''root@vador:~# less /var/log/freeradius/radius.log'' ([[support:radius simple|exemple ici de logs RADIUS simplifiés]]). Ces logs se contente d'horodater les demandes, d'indiquer si elles ont été acceptées, et dans le cas contraire affichent le mot de passe erroné fourni à la demande de connexion. On constate donc que : * le Dimanche 3 Mars 2013 à respectivement 16:22:27 et 16:28:17, Jean Tartempion et Lucie Dupont se sont authentifiés avec succès. * à 16:35:00 par contre, Emmanuel Bourguin a tenté de se connecter, mais un mauvais mot de passe a été fourni, et les logs dénoncent le mot de passe erroné. * à 16:37:32, l'utilisateur Emmanuel Bourguin a retiré ses moufles et a rentré le bon mot de passe. ===== Logs RADIUS verbeux ===== Pour la version détaillée, les demandes d'authentifications qui arrivent au radius sont logguées dans ''/var/log/freeradius/radacct/auth-detail-AAAAMMJJ'' En faisant un petit coup de ''root@vador:~# less /var/log/freeradius/radacct/auth-detail-20130303'' ([[support:radius détail|exemple ici de logs RADIUS détaillés]]) * On sait à quel moment à eu lieu la requête, avec une précision à la seconde, par contre les logs détaillés ne renseignent (paradoxalement) pas sur le succès de l'authentification, ils se contente d'indiquer que la requête a eu lieu. * Le User-Name en plus du login de l'utilisateur, indique le type de connexion (collecte Nerim ou VPN) * Si le login est de la forme ''*@fdn.nerim'' alors il s'agit d'une connexion ADSL collectée par Nerim. * Si le login est de la forme ''*@vpn.fdn.fr'' alors il s'agit d'une connexion VPN. * La partie gauche de l'identifiant montre si la suite des opérations se passe chez FDN ou s'il faudra envoyer le reste vers un LNS tiers, et le cas échéant, lequel. * Si le login est de la forme ''prenom.nom@*'' alors tout reste chez FDN (cas d'un abonné à FDN ou à un FAI en marque blanche) * Si le login est de la forme ''prenom.nom%TRI@*'' alors l'authentification sera transmise aux LNS du FAI identifié par le trigramme suivant le "%". * Le User-Password contient le mot de passe fourni lors de la requête (qui n'est donc pas nécessairement le bon) * La valeur de NAS-IP-Address varie selon le type de connexion, puisque la requête ne proviendra pas de la même machine , 80.67.169.45 (une IP Gitoyen) pour un VPN, 62.4.16.41 (une machine Nerim) pour de l'ADSL. * Le NAS-Port n'est utilisé qu'en cas de débug **très** avancé, en collaboration avec Nerim pour réparer la collecte ADSL, en cas de bug très sérieux et très tordu. * Le champ Huntgroup-Name varie de la même façon, "fdn" ou "vpn" On constate donc que : * la connexion de 00:08:23 concerne l'accès VPN de Jean-Claude Dupont. * Celle de 00:17:01 est le type de connexion qu'on rencontre le plus, une connexion depuis la collecte de Nerim, et qui reste en interne. * à 00:23:29, il s'agit de Tintin, du FAI "MDN", donc on redirigera sa demande d'authentification vers les machines de Moulinsart Data Network. ====== LNS ====== ===== LNS01 ===== ([[support:Logs LNS01|exemple ici de logs LNS01]]) ===== LNS02 ===== ([[support:Logs LNS02|exemple ici de logs LNS02]])