การกำหนดค่า FreeRADIUS เพื่อบันทึกคำสั่งผู้ใช้

ฉันต้องสามารถกำหนดค่าเซิร์ฟเวอร์รัศมีเพื่อบันทึกกิจกรรมของผู้ใช้ เช่น คำสั่งที่พวกเขากำลังเรียกใช้ในขณะที่พวกเขาเข้าสู่ระบบในอุปกรณ์ไคลเอ็นต์ รายการควรทำในไฟล์ /var/log/freeradius/radius.log

ฟังก์ชันนี้ไม่เคยกำหนดไว้ในมาตรฐานและแตกต่างกันไปตามผู้ขายไปยังผู้ขาย หากฟังก์ชันนี้รองรับโดย NAS (Network Access Server) จากนั้น NAS จะคัดลอกคำสั่งที่ผู้ใช้ป้อนลงใน VSA (Vendor Specific Attribute) จากนั้น NAS จะส่งแอตทริบิวต์นั้นไปยังเซิร์ฟเวอร์ RADIUS ใน คำขอบัญชี / การปรับปรุงระหว่างกาล พร้อมกับคุณสมบัติเพื่อระบุ NAS และผู้ใช้ คุณอาจต้องเปิดใช้งานการบันทึกคำสั่งผ่าน RADIUS อย่างชัดเจนในการกำหนดค่า NAS เนื่องจากแทบไม่เปิดใช้งานตามค่าเริ่มต้น

สำหรับคำสั่งการบันทึก ควรใช้ไฟล์ ไลน์ล็อก โมดูล. คุณจะต้องตรวจสอบเงื่อนไขเพื่อเรียก linelog เท่านั้นหากมีแอตทริบิวต์คำสั่งอยู่ใน คำขอบัญชี / การปรับปรุงระหว่างกาล แพ็กเก็ตเนื่องจากแพ็กเก็ตการบันทึกคำสั่งเหล่านี้จะถูกรวมเข้ากับสตรีมบัญชีปกติ

ฉันเคยใช้ HP-Command-String เป็นแอตทริบิวต์ตัวอย่างที่นี่ แต่แอตทริบิวต์จริงจะแตกต่างกันไปในแต่ละผู้ขาย คุณควรตรวจสอบขาเข้า การบัญชี-ขอ แพ็กเก็ตเพื่อดูว่า VSA ใดมีคำสั่งที่ผู้ใช้ออก

เพิ่มบรรทัดต่อไปนี้ในไฟล์คอนฟิกูเรชัน FreeRADIUS ของคุณและตรวจสอบให้แน่ใจ mods-available/linelog เชื่อมโยงกับ mods-enabled/linelog.

ไซต์พร้อมใช้งาน/ค่าเริ่มต้น

การบัญชี {
    ถ้า (&HP-Command-String) {
        log_commands
    }
}

mods-available/linelog

linelog log_commands {
    รูปแบบ = "ผู้ใช้ =%{ชื่อผู้ใช้} คำสั่ง =%{HP-Command-String}"
    ชื่อไฟล์ = ${logdir}/radius.log
}

หลังจากที่คุณรีสตาร์ท freeradius คุณจะเห็นคำสั่งต่อท้าย /var/log/radius/radius.log หรือ /var/log/freeradius/radius.log ขึ้นอยู่กับการกระจายของคุณ

ดู mods-available/linelog สำหรับตัวเลือกการยืนยันเพิ่มเติมสำหรับโมดูล linelog

ฉันไม่เชื่อว่าสิ่งนี้จะเป็นไปได้กับ Radius มันไม่ได้ถูกออกแบบมาสำหรับสิ่งนี้จริงๆ

สิ่งที่คุณกำลังมองหาคือสิ่งที่ชอบ บล็อก และถ้าคุณต้องการให้บันทึกทั้งหมดถูกเก็บไว้จากส่วนกลาง การตั้งค่า systemd (หรือตัวบันทึกที่คุณใช้อยู่) เพื่อส่งบันทึกไปยังโฮสต์ระยะไกลส่วนกลาง (อาจเป็นเครื่องเดียวกับที่คุณใช้งานเซิร์ฟเวอร์ Radius)