abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    dnes 00:33 | IT novinky

    FEL ČVUT vyvinula robotickou stavebnici pro mladé programátory. Stavebnice Brian byla navržená speciálně pro potřeby populární Robosoutěže. Jde ale také o samostatný produkt, který si může koupit každý fanoušek robotiky a programování od 10 let, ideální je i pro střední školy jako výuková pomůcka. Jádro stavebnice tvoří programovatelná řídicí jednotka, kterou vyvinul tým z FEL ČVUT ve spolupráci s průmyslovými partnery. Stavebnici

    … více »
    Ladislav Hagara | Komentářů: 3
    včera 20:33 | Komunita

    Ubuntu bude pro testování nových verzí vydávat měsíční snapshoty. Dnes vyšel 1. snapshot Ubuntu 25.10 (Questing Quokka).

    Ladislav Hagara | Komentářů: 0
    včera 14:55 | Nová verze

    Společnost Netgate oznámila vydání nové verze 2.8.0 open source firewallové, routovací a VPN platformy pfSense (Wikipedie) postavené na FreeBSD. Přehled novinek v poznámkách k vydání.

    Ladislav Hagara | Komentářů: 0
    včera 14:00 | Nová verze

    Byla vydána nová verze 6.16 živé linuxové distribuce Tails (The Amnesic Incognito Live System), jež klade důraz na ochranu soukromí uživatelů a anonymitu. Tor Browser byl povýšen na verzi 14.5.3. Linux na verzi 6.1.140. Další změny v příslušném seznamu.

    Ladislav Hagara | Komentářů: 0
    včera 12:33 | Zajímavý článek

    Člověk odsouzený za obchod s drogami daroval letos ministerstvu spravedlnosti 468 kusů kryptoměny bitcoin, které pak resort v aukcích prodal za skoro miliardu korun. Darováním se zabývá policejní Národní centrála proti organizovanému zločinu (NCOZ). Deníku N to potvrdil přímo ministr spravedlnosti Pavel Blažek (ODS). Podle resortu bylo nicméně vše v souladu s právem.

    Ladislav Hagara | Komentářů: 13
    28.5. 20:44 | Nová verze

    Svobodný a otevřený multiplatformní editor EPUB souborů Sigil (Wikipedie, GitHub) byl vydán ve verzi 2.5.0. Stejně tak doprovodný vizuální EPUB XHTML editor PageEdit (GitHub).

    Ladislav Hagara | Komentářů: 0
    28.5. 12:22 | IT novinky

    Na základě národního atribučního procesu vláda České republiky označila Čínskou lidovou republiku za zodpovědnou za škodlivou kybernetickou kampaň proti jedné z neutajovaných komunikačních sítí Ministerstva zahraničních věcí ČR. Tato škodlivá aktivita, která trvala od roku 2022 a zasáhla instituci zařazenou na seznam české kritické infrastruktury, byla provedena kyberšpionážní skupinou APT31, veřejně spojovanou se zpravodajskou službou Ministerstvo státní bezpečnosti (MSS).

    Ladislav Hagara | Komentářů: 32
    28.5. 00:11 | Nová verze

    Google Chrome 137 byl prohlášen za stabilní. Nejnovější stabilní verze 137.0.7151.55 přináší řadu novinek z hlediska uživatelů i vývojářů. Podrobný přehled v poznámkách k vydání. Opraveno bylo 11 bezpečnostních chyb. Vylepšeny byly také nástroje pro vývojáře.

    Ladislav Hagara | Komentářů: 0
    27.5. 19:22 | Nová verze

    Byl vydán AlmaLinux OS 10 s kódovým názvem Purple Lion. Podrobnosti v poznámkách k vydání. Na rozdíl od Red Hat Enterprise Linuxu 10 nadále podporuje x86-64-v2.

    Ladislav Hagara | Komentářů: 0
    27.5. 15:11 | Nová verze

    Byl vydán Mozilla Firefox 139.0. Přehled novinek v poznámkách k vydání a poznámkách k vydání pro vývojáře. Řešeny jsou rovněž bezpečnostní chyby. Nový Firefox 139 je již k dispozici také na Flathubu a Snapcraftu.

    Ladislav Hagara | Komentářů: 10
    Jaký je váš oblíbený skriptovací jazyk?
     (55%)
     (32%)
     (7%)
     (2%)
     (0%)
     (1%)
     (3%)
    Celkem 161 hlasů
     Komentářů: 12, poslední 28.5. 18:42
    Rozcestník

    Dotaz: FreeRADIUS autorizace

    8.3.2021 09:31 Petr
    FreeRADIUS autorizace
    Přečteno: 574×
    Zdravim,

    mame freeradius nad mysql a rozchodili jsme si v nem autentizaci spravcu nasich Mikrotik routeru. Protoze jich v siti mame upravdu hodne a byl v tom hrozny "maglajz"

    Ted bychom ale radi dosahli i toho, aby ne kazdy spravec mel pristup vsude. Aby se zkratka nekteri z nasich zamestnancu sice dostali na zakaznicka APcka, ale nedostali se na paterni prvky

    Jestli to chapu spravne, tak se v tomto pripade jedna o "autorizaci". Jenomze zaboha nemuzu najit nejaky navod, ktery by me posunul dal. Jedine ceho jsem se dogooglil je, ze me ma zajimat nejaky "realm". Ale ani to me nikam neposunulo

    Dokazali byste me nekdo nakopnout spravnym smerem? Moje predstava je takova, ze ten Mikrotik, ktery posila radiusu ten autentizacni dotaz se jmenem/heslem, tak mu zaroven posila i nejaky svuj identifikator, napr. IP. A tenhle identifikator je ten "realm"? Takze ten radius po uspesne autentizaci na zaklade toho realmu muze vratit z databaze informaci, ze tenhle uzivatel nema do tohodle Mikrotiku pristup?

    Diky za vas cas

    Odpovědi

    8.3.2021 10:03 X
    Rozbalit Rozbalit vše Re: FreeRADIUS autorizace
    Skoro. Realm je zasilany atribut Mikrotikem, napriklad "core", "edge", ktery se prilepi k username, ale vyhovuje i jiny atribut, kterym rozlisis ktere AP je paterni a ktere neni.

    Co te zajima je policy.conf, kde na zaklade atributu vytvoris pravidlo ve smyslu:
    policy {
    ....
    special_access {
        if ("%{Realm}" == 'core') {
            if ("%{sql:SELECT special_priv FROM table WHERE username = '%{User-Name}'}" != '1') {
                reject
            }
        }
    }
    ...
    }
    
    Definovanou politiku pak uplatnis v ramci authorizacni sekce.
    authorize {
    ...
    special_access
    ...
    }
    
    8.3.2021 11:40 Petr
    Rozbalit Rozbalit vše Re: FreeRADIUS autorizace
    Super, dekuji! K tomuhle bych se procital hodne dlouho :-)

    8.3.2021 15:52 a1bert | skóre: 23
    Rozbalit Rozbalit vše Re: FreeRADIUS autorizace
    nebo muzes pridat nejakej atribut primo do authorize_check_query

    where.... and nasid='%{NAS-Identifier}'
    8.3.2021 16:16 Petr
    Rozbalit Rozbalit vše Re: FreeRADIUS autorizace
    Noo to by mi asi stacilo, protoze kazdy ten Mikrotik ma jedinecny hostname/IP

    Co se ted peru s tim prvnim prikladem, tak mi Radius neustale hlasi:
    (1)     policy special_access {
    (1)       if ("%{Realm}" == 'core') {
    (1)       ERROR: Failed retrieving values required to evaluate condition
    (1)     } # policy special_access = ok
    (1)   } # authorize = ok
    
    A pritom v logu Mysql se vubec neukazuje, ze by se ten SELECT pokusil provest. Tak nevim. V sites-enabled/default v sekci "authorize" mam odkomentovano jak "sql", tak to svoje "special_access", ktery vypada nasledovne:
    special_access {
        
        if ("%{Realm}" == 'core') {
            if ("%{sql: SELECT access FROM special_access WHERE username = '%{User-Name}'}" != 'core') {
                reject
            }
        }
    }
    
    Jdu se zkusit poprat s tim Vasim resenim.

    8.3.2021 16:31 a1bert | skóre: 23
    Rozbalit Rozbalit vše Re: FreeRADIUS autorizace
    no a mas ten %{Realm} v auth pozadavku? (freeradius -X)
    8.3.2021 16:58 Petr
    Rozbalit Rozbalit vše Re: FreeRADIUS autorizace
    Jezismarja no jo! On to Mikrotik posila ne jako "Realm", ale jako "Mikrotik-Realm"

    Boze ta uleva

    Diky!

    9.3.2021 09:27 Petr
    Rozbalit Rozbalit vše Re: FreeRADIUS autorizace
    Jeste bych se zeptal...

    Je mozne v te "authorize" sekci nejak odeslat hodnoty, ktere by se jinak nacitali z radreply?

    Zkusim vysvetlit. Mikrotik ma 3 skupiny opravneni pro uzivatele: read, write a full

    Tohle opravneni muzu uzivateli pridelit tak, ze do tabulky radreply pridam radek:
    | username | attribute      | op | value |
    | franta   | Mikrotik-Group | =  | read  |
    
    Jenze co kdyz chci, aby mel franta "read" pristup do mikrotiku s realmem "core", ale "write" pristup do mikrotiku s realmem "edge"?

    Jako nejjednodussi se mi jevi moznost, ze kdyz v sekci "authorize" nactu z databaze, ze franta ma do "edge" mikrotiku povoleny pristup "write", tak nejakym prikazem odeslu "Mikrotik-Group = write"

    Diky moc
    9.3.2021 10:06 Petr
    Rozbalit Rozbalit vše Re: FreeRADIUS autorizace
    Tak to asi mam
    special_access {
        
        if ("%{Mikrotik-Realm}" == 'edge') {
            if ("%{sql: SELECT access FROM special_access WHERE username = '%{User-Name}'}" != 'edge') {
                reject
            }
            
            update reply {
                &Mikrotik-Group = "write"
            }
    
        }
    }
    
    Ted jeste musim prijit na to, jak to opravneni nenastavovat rucne, ale vycist ho z databaze
    9.3.2021 11:43 Petr
    Rozbalit Rozbalit vše Re: FreeRADIUS autorizace
    Takze... jestli to nekdy nekomu k necemu bude...

    Do souboru "dictionary" v "/etc/freeradius/3.0" pridate radek:
    ATTRIBUTE   User-Group      3001    string
    
    Potom vysledna "policy" muze vypadat takto:
    special_access {
        
        if ("%{Mikrotik-Realm}" == 'edge') {
            if ("%{sql: SELECT realm FROM special_access WHERE username = '%{User-Name}'}" != 'edge') {
                reject
            } else {
                update reply {
                    &User-Group = "%{sql:SELECT group from special_access where username = '%{User-Name}' LIMIT 1}"
                    &Mikrotik-Group = "%{reply:User-Group}"
                }
            }
        }
        
    }
    
    Zatim je to takove neucesane, ale funguje to.

    Diky za vas cas a mejte se

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.