ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 

  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА












     АРХИВ :: Inet-Admins
Inet-Admins mailing list archive (inet-admins@info.east.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [inet-admins] =?KOI8-R?Q?=D3=C5=D2=D4=C9=C6=C9=CB=C1=C3=C9=D1?= =?KOI8-R?Q?_=C2=C9=CC=CC=C9=CE=C7=CF=D7=CF=CA?= =?KOI8-R?Q?_=D3=C9=D3=D4=C5=CD=D9?=



> 
> По-моему, проблемы этой технологии сейчас уже связаны с изначальной
> ориентацией на такакс.
> В чем была ошибка такакса?
> Он не позволял выделить аутендификацию/авторизацию и аккаунтинг как
> отдельные сущности, при этом первая всегда активная часть, вторая -
> пассивная (просто коллектор).
> Фактически получилось что технологический бекгроунд услуги dialup
> оказался жестко связан с расчетной частью. А это и есть главная ошибка.

  Я категорически с этим не согласен. Расчетная часть, по крайней мере
ее модули прямого и обратного тарификаторов, является неотъемлемой 
частью услуги dialup. Без нее невозможно учитывать потраченные ресурсы, 
и как следствие невозможно принять решение об авторизации.  

  Что касается разделения на авторизацию и эккаунтинг, то она
есть как в радиусе, так и в такаксе. Нет никаких проблем ее отделить
и отправить другим путем. Собственно так оно и живет. 

  Сервер авторизации - это _не_ радиус/такакс. Это совсем другое,
а пресловутые слова - всего-лишь _интерфейсы_ по которым к ним
обращаются сервера доступа.


> В сети может быть (и должно быть) много технологических серверов,
> совокупно опеспечивающих клиенту гарантированное получение услуги.

  Да.

> В тоже время учетная система должна быть одна, при этом ее работа
> (отсутствие работы) не должно оказывать влияние на качество основной
> услуги.

  Да. Вопрос что такое учетная система, и кто что под ней понимает
и какие функции возлагает.

> Теперь возмем radius.
> В нем явно отделены эти сущности, аккаунтинг легко выделяется в отдельный
> сервер еще на протокольном уровне, и нет никакой необходимости лепить
> сопли на самом верху 

  Довольно странный тезис про верх. В этом месте мы наблюдаем не верх,
а середину. Это интерфейс - API. Дальше можно обсудить красоту интерфейса,
сравнение binary/text mode и их применимость в Интернет. Можно обсудить
легкость интегрирования третьих продуктов, использования совремемнных 
средств типа CORBA/LDAP в противовес propertary protocols, etc.

  Но это уже другое, и тут есть немало интересного. К протоколу обмена 
между сервером авторизации/эккаунтинга и сервером доступа уже никакого 
отношения не имеет.

> с дочитыванием множества лог-фалов, их синхронизацией,
> мудреной загрузкой в оракл и прочей шаманской деятельностью.

  Извини. Такая жизнь. Выкини киску, поставь вместо нее нормальный
сервер доступа (какой?) и может полегчает. Только не вериться.
Но дилема радиуса/такакса тут точно не причем.

> Вы представляете сколько времени, сил и денег народ уже потерял и упорно
> продолжает терять на изобретение этих соплей? Было бы гораздо грамотней
> решить эту задачу в самом низу, там, где еще проблем как бы и нет никаких.

  Задача не решается внизу. Т.к. нет необходимого видения всех
бизнес-процессов и связанных с ними аттрибутов.

> Это первый шаг к действительному real-time.
> Второй шаг - это отказ от учета фантиков и переход к учету собственно
> услуги, т.е. к учету времени в реальном же времени.

  Время не является единственным атрибутом услуги. Те самые фантики
(деньги) - являются. Посмотри на тарифы различных провайдеров. От фантиков
никуда не денешься.

> 
> Хорошо бы еще обьяснить это циске -- чтобы была возможность посылать
> аккаунтинг на другой сервер, отдельный от сервера авторизации. Сейчас так
> можно извратиться только используя комбинацию из tacacs под авторизацию 
> и radius под аккаунтинг.

  Зачем? У тебя NT, где одна машина - один сервис? Нет? А в чем тогда
проблема? Безусловно разделение в конфигах не повредит, но каких-то особых
проблем это не создает, как и особых преимоществ не добавляет. Проблемы 
в другом месте.

> 
> Делает ли это Абсолют или что там в МТУ?
> Если он этого не делает, тогда почему он упоминается в контексте к 
> вопросу real-time?

  Насколько я понял, они пытается это делать за счет ликвидации
распределенной системы авторизационных/эккаунтинговых серверов.
Что есть на мой взгляд большая идеологическая ошибка. Об этом
и речь. 

  До разделения серверов авторизации и эккаунтинга разговор еще
не доходил.

Boris.

=============================================================================
"inet-admins" Internet access mailing list. Maintained by East Connection ISP.
Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to quit.
Archive is accessible on http://info.east.ru/rus/inetadm.html



 




Copyright © Lexa Software, 1996-2009.