Comme on a de la collecte xDSL/4G/FTTH, on a des LNS pour collecter tout ça, et donc du RADIUS pour le AAA des lignes.

Historiquement on avait une seule porte à Rennes, et on ne s’est jamais trop embêtés à redonder le RADIUS parce que globalement sauf si ça tombe des heures ça empêche pas les lignes de tourner.

Par contre, depuis récemment, on a de la collecte à Paris pour les FTTH ; on a donc commencé un chantier d’anycast des RADIUS entre Rennes et Paris.

On aurait pu se contenter de synchroniser à la main le fichier users entre les deux machines, mais bon, c'est pas très marrant. Du coup, on a fait vachement plus drôle : du LDAP. (oh wait)

En gros, les deux machines RADIUS font aussi office de cluster LDAP et se répliquent entre elles et ensuite le RADIUS vient taper sur le LDAP.

Hormis le LDAP, il y a quelques subtilités :

1. le retrait du module ntlm_auth car ça provoquait des erreurs depuis un routeur ZyXEL VMG3625-T50B

   Auth: (178) Login incorrect (mschap: FAILED: No NT-Password. Cannot perform : [jeanmichel@grifon.ift/<via Auth-Type = mschap>] (from client lns03 port 0 cli 178.20.54.1)

2. lorsque nous utilisons le ldap, il n'est pas possible de renseigner les outbound user utilisé par ielo. En effet, ces utilisateurs ont un mot de passe vide et freeradius n'aime pas les mots de passe vide lorsqu'ils sont dans le ldap. Ces utilisateurs sont donc directement renseignés dans le fichier users à l'ancienne.