Face à un abonné en détresse qui peine à trouver et donner toutes les infos nécessaires («mon modem synchronise-t-il ? aucune idée, comment je pourrais savoir ?») il peut-être utile de voir si ses demandes de connexions arrivent jusqu'aux machines de FDN et le cas échéant, comment elles sont traitées. Les logs RADIUS et des LNS alors peuvent-être utiles.

Sur vador.fdn.fr (avec les droits nécessaires, se référer à @adminsys) on peut accéder aux logs RADIUS :

root@vador:~# less /var/log/freeradius/radius.log (exemple ici de logs RADIUS simplifiés).

Ces logs se contente d'horodater les demandes, d'indiquer si elles ont été acceptées, et dans le cas contraire affichent le mot de passe erroné fourni à la demande de connexion.

On constate donc que :

• le Dimanche 3 Mars 2013 à respectivement 16:22:27 et 16:28:17, Jean Tartempion et Lucie Dupont se sont authentifiés avec succès.
• à 16:35:00 par contre, Emmanuel Bourguin a tenté de se connecter, mais un mauvais mot de passe a été fourni, et les logs dénoncent le mot de passe erroné.
• à 16:37:32, l'utilisateur Emmanuel Bourguin a retiré ses moufles et a rentré le bon mot de passe.

Pour la version détaillée, les demandes d'authentifications qui arrivent au radius sont logguées dans /var/log/freeradius/radacct/auth-detail-AAAAMMJJ

En faisant un petit coup de root@vador:~# less /var/log/freeradius/radacct/auth-detail-20130303 (exemple ici de logs RADIUS détaillés)

• On sait à quel moment à eu lieu la requête, avec une précision à la seconde, par contre les logs détaillés ne renseignent (paradoxalement) pas sur le succès de l'authentification, ils se contente d'indiquer que la requête a eu lieu.
• Le User-Name en plus du login de l'utilisateur, indique le type de connexion (collecte Nerim ou VPN)
• Si le login est de la forme *@fdn.nerim alors il s'agit d'une connexion ADSL collectée par Nerim.
• Si le login est de la forme *@vpn.fdn.fr alors il s'agit d'une connexion VPN.
• La partie gauche de l'identifiant montre si la suite des opérations se passe chez FDN ou s'il faudra envoyer le reste vers un LNS tiers, et le cas échéant, lequel.
• Si le login est de la forme prenom.nom@* alors tout reste chez FDN (cas d'un abonné à FDN ou à un FAI en marque blanche)
• Si le login est de la forme prenom.nom%TRI@* alors l'authentification sera transmise aux LNS du FAI identifié par le trigramme suivant le “%”.
• Le User-Password contient le mot de passe fourni lors de la requête (qui n'est donc pas nécessairement le bon)
• La valeur de NAS-IP-Address varie selon le type de connexion, puisque la requête ne proviendra pas de la même machine , 80.67.169.45 (une IP Gitoyen) pour un VPN, 62.4.16.41 (une machine Nerim) pour de l'ADSL.
• Le NAS-Port n'est utilisé qu'en cas de débug très avancé, en collaboration avec Nerim pour réparer la collecte ADSL, en cas de bug très sérieux et très tordu.
• Le champ Huntgroup-Name varie de la même façon, “fdn” ou “vpn”

On constate donc que :

• la connexion de 00:08:23 concerne l'accès VPN de Jean-Claude Dupont.
• Celle de 00:17:01 est le type de connexion qu'on rencontre le plus, une connexion depuis la collecte de Nerim, et qui reste en interne.
• à 00:23:29, il s'agit de Tintin, du FAI “MDN”, donc on redirigera sa demande d'authentification vers les machines de Moulinsart Data Network.

(exemple ici de logs LNS01)

(exemple ici de logs LNS02)