Эта функциональность никогда не была определена в стандарте и поэтому варьируется от поставщика к поставщику. Если эта функция поддерживается NAS (сервером доступа к сети), то NAS скопирует команду, введенную пользователем, в VSA (специфический атрибут поставщика). Затем NAS отправит этот атрибут на сервер RADIUS в Accounting-Request/Interim-Update вместе с атрибутами для идентификации NAS и пользователя. Скорее всего, вам потребуется явно включить ведение журнала команд через RADIUS в конфигурации NAS, так как по умолчанию оно почти никогда не включается.
Для протоколирования команд лучше всего использовать линейный журнал модуль. Вам также понадобится условная проверка, чтобы вызывать линейный журнал только в том случае, если атрибут команды присутствует в Accounting-Request/Interim-Update package, так как эти пакеты протоколирования команд будут смешиваться с обычным потоком учета.
я использовал HP-Command-String в качестве примера атрибута здесь, но фактический атрибут будет варьироваться от поставщика к поставщику. Вы должны изучить входящие Бухгалтерия-Запрос пакеты, чтобы увидеть, какой VSA содержит команду, которую выдал пользователь.
Добавьте следующие строки в файлы конфигурации FreeRADIUS и убедитесь, что доступные моды/linelog связано с моды с поддержкой / линейный журнал.
сайты доступны/по умолчанию
бухгалтерский учет {
если (&HP-Command-String) {
log_commands
}
}
доступные моды/linelog
линейный журнал log_commands {
формат = "пользователь=%{имя пользователя}, команда=%{HP-Command-String}"
имя файла = ${logdir}/radius.log
}
После перезапуска freeradius вы должны увидеть добавление команд к /var/журнал/радиус/радиус.лог или же /var/log/freeradius/radius.log в зависимости от вашего дистрибутива.
Видеть доступные моды/linelog для получения дополнительных вариантов подтверждения для модуля линейного журнала.
