<br><br><div class="gmail_quote">On Thu, Mar 12, 2009 at 5:07 PM,  <span dir="ltr"><<a href="mailto:A.L.M.Buxey@lboro.ac.uk">A.L.M.Buxey@lboro.ac.uk</a>></span> wrote:<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
Hi,<br>
<div class="im"><br>
> Is there any way to force a logic whereby if the ldap module fails, it would<br>
> drop the RADIUS request on the floor, to make it look like a service failure<br>
> to the client? Kinda wrecks our resiliency model if not! We're only using a<br>
> single ldap server per box, but even if we were using other ldap servers on<br>
> other servers, there still is a logic whereby it may be impossible to reach<br>
> any LDAP server whilst another FreeRADIUS box can reach one, but is of a<br>
> lower order of preference so can't be used.<br>
<br>
</div>seems to be a current popular feature. if you read the mialing list archive<br>
this veyr minth theres a similar case for doing pretty much the same with SQL<br>
(insteda of your ldap).  you could, perhaps not need to do this if you let<br>
each RADIUS server also talk to each LDAP. you can then configure LDAP<br>
as a failover/redundant system (see the guides/docs for doing redundant<br>
LDAP).  so<br>
<br>
RADIUS1 - ldap 1, ldap 2, ldap 3<br>
RADIUS2 - ldap 2, ldap 1, ldap 3<br>
RADIUS3 - ldap 3, ldap 2, ldap 1<br>
<br>
if they can share their LDAP this would be ideal... however, if not, then<br>
you'll have to use the method mentioned previously on the list - note<br>
the (fail) and return the fail attribute to the NAS rather than reject.<br>
if the NAS is good/proper, it'll try the next RADIUS itself.<br>
</blockquote><div><br>Well they can share the LDAP servers, but if these servers have 2 nics, 1 for RADIUS access and 1 solely for back end access between RADIUS and LDAP, and this rear network connection fails then this scenario comes back big style and there's not much ideal about it. Whilst it's no fault specifically of its own, that RADIUS server is completely useless, and no client device of mine would try the second ever whilst it's getting nice and polite REJECT's back.<br>
<br>I'll be checking out that other sql thread, although at the moment it seems that it's not working for the other guy...<br><br>Cheers<br><br>Chris<br></div></div><br>