Inzerujte na AbcPráce.cz od 950 Kč

napište » Zprávičky

Dusklight, hra The Legend of Zelda: Twilight Princess na počítačích a mobilních zařízeních

dnes 02:22 | Zajímavý software

Hru The Legend of Zelda: Twilight Princess od společnosti Nintendo si lze nově díky projektu Dusklight (původně Dusk) a reverznímu inženýrství zahrát i na počítačích a mobilních zařízeních. Vyžadována je kopie původní hry (textury, modely, hudba, zvukové efekty, …). Ukázka na YouTube. Projekt byl zahájen v srpnu 2020.

Ladislav Hagara | Komentářů: 0

Erlang/OTP 29.0

dnes 01:11 | Nová verze

Byla vydána nová major verze 29.0 programovacího jazyka Erlang (Wikipedie) a související platformy OTP (Open Telecom Platform, Wikipedie). Detailní přehled novinek na GitHubu.

Ladislav Hagara | Komentářů: 0

Zranitelnost Fragnesia

včera 21:22 | Bezpečnostní upozornění

Po zranitelnostech Copy Fail a Dirty Frag přichází zranitelnost Fragnesia. Další lokální eskalace práv na Linuxu. Zatím v upstreamu neopravena. Přiřazeno ji bylo CVE-2026-46300.

Ladislav Hagara | Komentářů: 0

Sovereign Tech Agency podpoří KDE částkou 1 285 200 eur

včera 14:00 | Komunita

Sovereign Tech Agency (Wikipedie) prostřednictvím svého fondu Sovereign Tech Fund podpoří KDE částkou 1 285 200 eur.

Ladislav Hagara | Komentářů: 4

The Android Show | I/O Edition 2026

včera 12:55 | IT novinky

Google na včerejší akci The Android Show | I/O Edition 2026 (YouTube) představil celou řadu novinek: Gemini Intelligence, notebooky Googlebook, novou generaci Android Auto, …

Ladislav Hagara | Komentářů: 0

EK chystá pravidla pro věkové omezení sociálních sítí, řekla von der Leyenová

včera 12:33 | IT novinky

Evropská komise by do léta mohla předložit návrh normy omezující používání sociálních sítí dětmi v zájmu jejich bezpečí na internetu. Prohlásila to včera předsedkyně EK Ursula von der Leyenová, podle níž řada zemí Evropské unie volá po zavedení věkové hranice pro sociální sítě. EU částečně řeší bezpečnost dětí v digitálním prostředí v již platném nařízení o digitálních službách (DSA), podle německé političky to však není dostatečné a

… více »

Ladislav Hagara | Komentářů: 35

scrcpy 4.0

včera 04:11 | Nová verze

Multiplatformní open source aplikace scrcpy (Wikipedie) pro zrcadlení připojeného zařízení se systémem Android na desktopu a umožňující ovládání tohoto zařízení z desktopu, byla vydána v nové verzi 4.0.

Ladislav Hagara | Komentářů: 0

Virtuální Bastlírna vol. 62: WSL for Windows 98

12.5. 23:22 | Pozvánky

Chybí vám někdo, s kým byste si popovídali o bastlení, technice, počítačích a vědě? Nechcete riskovat debatu o sportu u piva v hospodě? Pak doražte na virtuální pokec u virtuálního piva v rámci Virtuální Bastlírny organizované strahovským MacGyverem již tento čtvrtek. Možná se ptáte, co se tak může probírat? Dají se probrat slavná výročí - kromě 55 let obvodu 555 (což je mimochodem prý andělské číslo) a vzpomínky na firmu Signetics -

… více »

bkralik | Komentářů: 2

GTK2-NG

12.5. 23:11 | Zajímavý software

GTK2-NG je komunitní fork GTK 2.24 (aktuální verze je 4.22). Oznámení a diskuse v diskusním fóru Devuanu, forku Debianu bez systemd. Není to jediný fork GTK 2. Ardour je například postaven na vlastním forku GTK 2 s názvem YTK.

Ladislav Hagara | Komentářů: 0

#1 MobileLinux Hackday České Budějovice

12.5. 17:33 | Pozvánky

V neděli 17. května 2026 proběhne v Českých Budějovicích první MobileLinux Hackday zaměřený na Linux v mobilech, embedded platformy a open source hardware. Po sedmi úspěšných měsíčních setkáních v Praze se akce přesouvá také do jižních Čech, aby se komunita mobilního Linuxu mohla potkat i mimo hlavní město. Akce se uskuteční v konferenčním sále Vajgar v Clarion Congress Hotelu (Pražská tř. 2306/14) se zahájením mezi 14:00 až 15:00 a … více »

lkocman | Komentářů: 0

Centrum | Napsat | Starší

navrhněte » Anketa

Komentářů: 30, poslední 3.4. 20:20

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / FreeRADIUS autorizace

Štítky: databáze, freeradius, mikrotik, MySQL, návod, radius, tom, uživatel

Dotaz: FreeRADIUS autorizace

8.3.2021 09:31 Petr
FreeRADIUS autorizace

Přečteno: 685×

Odpovědět | Admin

Zdravim,

mame freeradius nad mysql a rozchodili jsme si v nem autentizaci spravcu nasich Mikrotik routeru. Protoze jich v siti mame upravdu hodne a byl v tom hrozny "maglajz"

Ted bychom ale radi dosahli i toho, aby ne kazdy spravec mel pristup vsude. Aby se zkratka nekteri z nasich zamestnancu sice dostali na zakaznicka APcka, ale nedostali se na paterni prvky

Jestli to chapu spravne, tak se v tomto pripade jedna o "autorizaci". Jenomze zaboha nemuzu najit nejaky navod, ktery by me posunul dal. Jedine ceho jsem se dogooglil je, ze me ma zajimat nejaky "realm". Ale ani to me nikam neposunulo

Dokazali byste me nekdo nakopnout spravnym smerem? Moje predstava je takova, ze ten Mikrotik, ktery posila radiusu ten autentizacni dotaz se jmenem/heslem, tak mu zaroven posila i nejaky svuj identifikator, napr. IP. A tenhle identifikator je ten "realm"? Takze ten radius po uspesne autentizaci na zaklade toho realmu muze vratit z databaze informaci, ze tenhle uzivatel nema do tohodle Mikrotiku pristup?

Diky za vas cas

Nástroje: Začni sledovat (0) ?

Odpovědi

8.3.2021 10:03 X
Rozbalit Rozbalit vše Re: FreeRADIUS autorizace

Skoro. Realm je zasilany atribut Mikrotikem, napriklad "core", "edge", ktery se prilepi k username, ale vyhovuje i jiny atribut, kterym rozlisis ktere AP je paterni a ktere neni.

Co te zajima je policy.conf, kde na zaklade atributu vytvoris pravidlo ve smyslu:

policy {
....
special_access {
    if ("%{Realm}" == 'core') {
        if ("%{sql:SELECT special_priv FROM table WHERE username = '%{User-Name}'}" != '1') {
            reject
        }
    }
}
...
}

Definovanou politiku pak uplatnis v ramci authorizacni sekce.

authorize {
...
special_access
...
}

8.3.2021 11:40 Petr
Rozbalit Rozbalit vše Re: FreeRADIUS autorizace

Super, dekuji! K tomuhle bych se procital hodne dlouho :-)

8.3.2021 15:52 a1bert | skóre: 24
Rozbalit Rozbalit vše Re: FreeRADIUS autorizace

nebo muzes pridat nejakej atribut primo do authorize_check_query

where.... and nasid='%{NAS-Identifier}'

8.3.2021 16:16 Petr
Rozbalit Rozbalit vše Re: FreeRADIUS autorizace

Noo to by mi asi stacilo, protoze kazdy ten Mikrotik ma jedinecny hostname/IP

Co se ted peru s tim prvnim prikladem, tak mi Radius neustale hlasi:

(1)     policy special_access {
(1)       if ("%{Realm}" == 'core') {
(1)       ERROR: Failed retrieving values required to evaluate condition
(1)     } # policy special_access = ok
(1)   } # authorize = ok

A pritom v logu Mysql se vubec neukazuje, ze by se ten SELECT pokusil provest. Tak nevim. V sites-enabled/default v sekci "authorize" mam odkomentovano jak "sql", tak to svoje "special_access", ktery vypada nasledovne:

special_access {
    
    if ("%{Realm}" == 'core') {
        if ("%{sql: SELECT access FROM special_access WHERE username = '%{User-Name}'}" != 'core') {
            reject
        }
    }
}

Jdu se zkusit poprat s tim Vasim resenim.

8.3.2021 16:31 a1bert | skóre: 24
Rozbalit Rozbalit vše Re: FreeRADIUS autorizace

no a mas ten %{Realm} v auth pozadavku? (freeradius -X)

8.3.2021 16:58 Petr
Rozbalit Rozbalit vše Re: FreeRADIUS autorizace

Jezismarja no jo! On to Mikrotik posila ne jako "Realm", ale jako "Mikrotik-Realm"

Boze ta uleva

Diky!

9.3.2021 09:27 Petr
Rozbalit Rozbalit vše Re: FreeRADIUS autorizace

Jeste bych se zeptal...

Je mozne v te "authorize" sekci nejak odeslat hodnoty, ktere by se jinak nacitali z radreply?

Zkusim vysvetlit. Mikrotik ma 3 skupiny opravneni pro uzivatele: read, write a full

Tohle opravneni muzu uzivateli pridelit tak, ze do tabulky radreply pridam radek:

| username | attribute      | op | value |
| franta   | Mikrotik-Group | =  | read  |

Jenze co kdyz chci, aby mel franta "read" pristup do mikrotiku s realmem "core", ale "write" pristup do mikrotiku s realmem "edge"?

Jako nejjednodussi se mi jevi moznost, ze kdyz v sekci "authorize" nactu z databaze, ze franta ma do "edge" mikrotiku povoleny pristup "write", tak nejakym prikazem odeslu "Mikrotik-Group = write"

Diky moc

9.3.2021 10:06 Petr
Rozbalit Rozbalit vše Re: FreeRADIUS autorizace

Tak to asi mam

special_access {
    
    if ("%{Mikrotik-Realm}" == 'edge') {
        if ("%{sql: SELECT access FROM special_access WHERE username = '%{User-Name}'}" != 'edge') {
            reject
        }
        
        update reply {
            &Mikrotik-Group = "write"
        }

    }
}

Ted jeste musim prijit na to, jak to opravneni nenastavovat rucne, ale vycist ho z databaze

9.3.2021 11:43 Petr
Rozbalit Rozbalit vše Re: FreeRADIUS autorizace

Takze... jestli to nekdy nekomu k necemu bude...

Do souboru "dictionary" v "/etc/freeradius/3.0" pridate radek:

ATTRIBUTE   User-Group      3001    string

Potom vysledna "policy" muze vypadat takto:

special_access {
    
    if ("%{Mikrotik-Realm}" == 'edge') {
        if ("%{sql: SELECT realm FROM special_access WHERE username = '%{User-Name}'}" != 'edge') {
            reject
        } else {
            update reply {
                &User-Group = "%{sql:SELECT group from special_access where username = '%{User-Name}' LIMIT 1}"
                &Mikrotik-Group = "%{reply:User-Group}"
            }
        }
    }
    
}

Zatim je to takove neucesane, ale funguje to.

Diky za vas cas a mejte se

Založit nové vlákno • Nahoru

Tiskni Sdílej: