Inzerujte na AbcPráce.cz od 950 Kč

napište » Zprávičky

dnes 21:11 | Komunita

Guido van Rossum, tvůrce programovacího jazyka Python, oslavil 70. narozeniny. Narodil se 31. ledna 1956 v nizozemském Haarlemu.

Ladislav Hagara | Komentářů: 0

AI asistent OpenClaw

dnes 12:22 | Zajímavý software

OpenClaw je open-source AI asistent pro vykonávaní různých úkolů, ovládaný uživatelem prostřednictvím běžných chatovacích aplikací jako jsou například WhatsApp, Telegram nebo Discord. Asistent podporuje jak různé cloudové modely, tak i lokální, nicméně doporučován je pouze proprietární model Claude Opus 4.5 od firmy Anthropic v placené variantě. GitHubová stránka projektu OpenClaw.

NUKE GAZA! 🎆 | Komentářů: 2

VideoLAN a VLC slaví 25 let

dnes 03:00 | Komunita

Projekt VideoLAN a multimediální přehrávač VLC (Wikipedie) dnes slaví 25 let. Vlastní, tenkrát ještě studentský projekt, začal již v roce 1996 na vysoké škole École Centrale Paris. V první únorový den roku 2001 ale škola oficiálně povolila přelicencování zdrojových kódů na GPL a tím pádem umožnila používání VLC mimo akademickou půdu.

Ladislav Hagara | Komentářů: 1

Moltbook, sociální síť pouze pro AI

včera 18:11 | Humor

Moltbook je sociální síť podobná Redditu, ovšem pouze pro agenty umělé inteligence - lidé se mohou účastnit pouze jako pozorovatelé. Agenti tam například rozebírají podivné chování lidí, hledají chyby své vlastní sociální sítě, případně spolu filozofují o existenciálních otázkách 🤖.

NUKE GAZA! 🎆 | Komentářů: 2

Astrologický plánovač CPU

včera 18:00 | Humor

scx_horoscope je „vědecky pochybný, kosmicky vtipný“ plně funkční plánovač CPU založený na sched_ext. Počítá s polohami Slunce a planet, fázemi měsíce a znameními zvěrokruhu. Upozornil na něj PC Gamer.

|🇵🇸 | Komentářů: 4

O víkendu probíhá FOSDEM 2026

30.1. 18:22 | Komunita

O víkendu probíhá v Bruselu konference FOSDEM 2026 (Free and Open source Software Developers’ European Meeting). Program konference je velice nabitý: 37 místností, 71 tracků, 1184 přednášejících, 1069 přednášek, prezentací a workshopů. Sledovat je lze i online. K dispozici budou jejich videozáznamy. Aktuální dění lze sledovat na sociálních sítích.

Ladislav Hagara | Komentářů: 4

NexPhone

30.1. 18:00 | IT novinky

Společnost Nex Computer stojící za "notebooky bez procesorů a pamětí" NexDock představila telefon NexPhone, který může funguje jako desktop PC, stačí k němu připojit monitor, klávesnici a myš nebo NexDock. Telefon by měl být k dispozici ve třetím čtvrtletí letošního roku. Jeho cena by měla být 549 dolarů. Předobjednat jej lze s vratní zálohou 199 dolarů. V dual-bootu by měl být předinstalovaný Android s Linuxem (Debian) jako aplikací a Windows 11.

Ladislav Hagara | Komentářů: 3

Calibre 9.0

30.1. 16:00 | Nová verze

Byla vydána nová major verze 9.0 softwaru pro správu elektronických knih Calibre (Wikipedie). Přehled novinek v poznámkách k vydání. Vypíchnuta je podpora AI.

Ladislav Hagara | Komentářů: 3

Wasmer 7.0

30.1. 14:22 | Nová verze

Wasmer byl vydán ve verzi 7.0. Jedná se o běhové prostředí pro programy ve WebAssembly. Zdrojové kódy jsou k dispozici na GitHubu pod licencí MIT.

Ladislav Hagara | Komentářů: 1

Opera GX bude i pro Linux

30.1. 12:22 | Zajímavý software

V reakci na nepopulární plán Microsoftu ještě více ve Windows prohloubit integraci umělé inteligence Copilot, Opera na sociální síti 𝕏 oznámila, že připravuje nativní linuxovou verzi prohlížeče Opera GX. Jedná se o internetový prohlížeč zaměřený pro hráče, přičemž obsahuje všechny základní funkce běžného prohlížeče Opera. Kromě integrace sociálních sítí prohlížeč například disponuje 'omezovačem', který umožňuje uživatelům omezit využití sítě, procesoru a paměti prohlížečem, aby se tak šetřily systémové zdroje pro jinou aktivitu.

NUKE GAZA! 🎆 | Komentářů: 8

Centrum | Napsat | Starší

navrhněte » Anketa

Komentářů: 22, poslední 29.1. 23:06

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / FreeRADIUS autorizace

Štítky: databáze, freeradius, mikrotik, MySQL, návod, radius, tom, uživatel

Dotaz: FreeRADIUS autorizace

8.3.2021 09:31 Petr
FreeRADIUS autorizace

Přečteno: 667×

Odpovědět | Admin

Zdravim,

mame freeradius nad mysql a rozchodili jsme si v nem autentizaci spravcu nasich Mikrotik routeru. Protoze jich v siti mame upravdu hodne a byl v tom hrozny "maglajz"

Ted bychom ale radi dosahli i toho, aby ne kazdy spravec mel pristup vsude. Aby se zkratka nekteri z nasich zamestnancu sice dostali na zakaznicka APcka, ale nedostali se na paterni prvky

Jestli to chapu spravne, tak se v tomto pripade jedna o "autorizaci". Jenomze zaboha nemuzu najit nejaky navod, ktery by me posunul dal. Jedine ceho jsem se dogooglil je, ze me ma zajimat nejaky "realm". Ale ani to me nikam neposunulo

Dokazali byste me nekdo nakopnout spravnym smerem? Moje predstava je takova, ze ten Mikrotik, ktery posila radiusu ten autentizacni dotaz se jmenem/heslem, tak mu zaroven posila i nejaky svuj identifikator, napr. IP. A tenhle identifikator je ten "realm"? Takze ten radius po uspesne autentizaci na zaklade toho realmu muze vratit z databaze informaci, ze tenhle uzivatel nema do tohodle Mikrotiku pristup?

Diky za vas cas

Nástroje: Začni sledovat (0) ?

Odpovědi

8.3.2021 10:03 X
Rozbalit Rozbalit vše Re: FreeRADIUS autorizace

Skoro. Realm je zasilany atribut Mikrotikem, napriklad "core", "edge", ktery se prilepi k username, ale vyhovuje i jiny atribut, kterym rozlisis ktere AP je paterni a ktere neni.

Co te zajima je policy.conf, kde na zaklade atributu vytvoris pravidlo ve smyslu:

policy {
....
special_access {
    if ("%{Realm}" == 'core') {
        if ("%{sql:SELECT special_priv FROM table WHERE username = '%{User-Name}'}" != '1') {
            reject
        }
    }
}
...
}

Definovanou politiku pak uplatnis v ramci authorizacni sekce.

authorize {
...
special_access
...
}

8.3.2021 11:40 Petr
Rozbalit Rozbalit vše Re: FreeRADIUS autorizace

Super, dekuji! K tomuhle bych se procital hodne dlouho :-)

8.3.2021 15:52 a1bert | skóre: 23
Rozbalit Rozbalit vše Re: FreeRADIUS autorizace

nebo muzes pridat nejakej atribut primo do authorize_check_query

where.... and nasid='%{NAS-Identifier}'

8.3.2021 16:16 Petr
Rozbalit Rozbalit vše Re: FreeRADIUS autorizace

Noo to by mi asi stacilo, protoze kazdy ten Mikrotik ma jedinecny hostname/IP

Co se ted peru s tim prvnim prikladem, tak mi Radius neustale hlasi:

(1)     policy special_access {
(1)       if ("%{Realm}" == 'core') {
(1)       ERROR: Failed retrieving values required to evaluate condition
(1)     } # policy special_access = ok
(1)   } # authorize = ok

A pritom v logu Mysql se vubec neukazuje, ze by se ten SELECT pokusil provest. Tak nevim. V sites-enabled/default v sekci "authorize" mam odkomentovano jak "sql", tak to svoje "special_access", ktery vypada nasledovne:

special_access {
    
    if ("%{Realm}" == 'core') {
        if ("%{sql: SELECT access FROM special_access WHERE username = '%{User-Name}'}" != 'core') {
            reject
        }
    }
}

Jdu se zkusit poprat s tim Vasim resenim.

8.3.2021 16:31 a1bert | skóre: 23
Rozbalit Rozbalit vše Re: FreeRADIUS autorizace

no a mas ten %{Realm} v auth pozadavku? (freeradius -X)

8.3.2021 16:58 Petr
Rozbalit Rozbalit vše Re: FreeRADIUS autorizace

Jezismarja no jo! On to Mikrotik posila ne jako "Realm", ale jako "Mikrotik-Realm"

Boze ta uleva

Diky!

9.3.2021 09:27 Petr
Rozbalit Rozbalit vše Re: FreeRADIUS autorizace

Jeste bych se zeptal...

Je mozne v te "authorize" sekci nejak odeslat hodnoty, ktere by se jinak nacitali z radreply?

Zkusim vysvetlit. Mikrotik ma 3 skupiny opravneni pro uzivatele: read, write a full

Tohle opravneni muzu uzivateli pridelit tak, ze do tabulky radreply pridam radek:

| username | attribute      | op | value |
| franta   | Mikrotik-Group | =  | read  |

Jenze co kdyz chci, aby mel franta "read" pristup do mikrotiku s realmem "core", ale "write" pristup do mikrotiku s realmem "edge"?

Jako nejjednodussi se mi jevi moznost, ze kdyz v sekci "authorize" nactu z databaze, ze franta ma do "edge" mikrotiku povoleny pristup "write", tak nejakym prikazem odeslu "Mikrotik-Group = write"

Diky moc

9.3.2021 10:06 Petr
Rozbalit Rozbalit vše Re: FreeRADIUS autorizace

Tak to asi mam

special_access {
    
    if ("%{Mikrotik-Realm}" == 'edge') {
        if ("%{sql: SELECT access FROM special_access WHERE username = '%{User-Name}'}" != 'edge') {
            reject
        }
        
        update reply {
            &Mikrotik-Group = "write"
        }

    }
}

Ted jeste musim prijit na to, jak to opravneni nenastavovat rucne, ale vycist ho z databaze

9.3.2021 11:43 Petr
Rozbalit Rozbalit vše Re: FreeRADIUS autorizace

Takze... jestli to nekdy nekomu k necemu bude...

Do souboru "dictionary" v "/etc/freeradius/3.0" pridate radek:

ATTRIBUTE   User-Group      3001    string

Potom vysledna "policy" muze vypadat takto:

special_access {
    
    if ("%{Mikrotik-Realm}" == 'edge') {
        if ("%{sql: SELECT realm FROM special_access WHERE username = '%{User-Name}'}" != 'edge') {
            reject
        } else {
            update reply {
                &User-Group = "%{sql:SELECT group from special_access where username = '%{User-Name}' LIMIT 1}"
                &Mikrotik-Group = "%{reply:User-Group}"
            }
        }
    }
    
}

Zatim je to takove neucesane, ale funguje to.

Diky za vas cas a mejte se

Založit nové vlákno • Nahoru

Tiskni Sdílej: