Přihlášení | Registrace

napište » Zprávičky

FEL ČVUT vyvinula robotickou stavebnici pro mladé programátory

dnes 00:33 | IT novinky

FEL ČVUT vyvinula robotickou stavebnici pro mladé programátory. Stavebnice Brian byla navržená speciálně pro potřeby populární Robosoutěže. Jde ale také o samostatný produkt, který si může koupit každý fanoušek robotiky a programování od 10 let, ideální je i pro střední školy jako výuková pomůcka. Jádro stavebnice tvoří programovatelná řídicí jednotka, kterou vyvinul tým z FEL ČVUT ve spolupráci s průmyslovými partnery. Stavebnici

… více »

Ladislav Hagara | Komentářů: 3

Ubuntu bude pro testování nových verzí vydávat měsíční snapshoty

včera 20:33 | Komunita

Ubuntu bude pro testování nových verzí vydávat měsíční snapshoty. Dnes vyšel 1. snapshot Ubuntu 25.10 (Questing Quokka).

Ladislav Hagara | Komentářů: 0

pfSense Community Edition (CE) 2.8.0

včera 14:55 | Nová verze

Společnost Netgate oznámila vydání nové verze 2.8.0 open source firewallové, routovací a VPN platformy pfSense (Wikipedie) postavené na FreeBSD. Přehled novinek v poznámkách k vydání.

Ladislav Hagara | Komentářů: 0

Tails 6.16

včera 14:00 | Nová verze

Byla vydána nová verze 6.16 živé linuxové distribuce Tails (The Amnesic Incognito Live System), jež klade důraz na ochranu soukromí uživatelů a anonymitu. Tor Browser byl povýšen na verzi 14.5.3. Linux na verzi 6.1.140. Další změny v příslušném seznamu.

Ladislav Hagara | Komentářů: 0

Deník N: Odsouzený muž daroval ministerstvu bitcoiny, řeší to policie

včera 12:33 | Zajímavý článek

Člověk odsouzený za obchod s drogami daroval letos ministerstvu spravedlnosti 468 kusů kryptoměny bitcoin, které pak resort v aukcích prodal za skoro miliardu korun. Darováním se zabývá policejní Národní centrála proti organizovanému zločinu (NCOZ). Deníku N to potvrdil přímo ministr spravedlnosti Pavel Blažek (ODS). Podle resortu bylo nicméně vše v souladu s právem.

Ladislav Hagara | Komentářů: 13

Sigil a PageEdit 2.5.0

28.5. 20:44 | Nová verze

Svobodný a otevřený multiplatformní editor EPUB souborů Sigil (Wikipedie, GitHub) byl vydán ve verzi 2.5.0. Stejně tak doprovodný vizuální EPUB XHTML editor PageEdit (GitHub).

Ladislav Hagara | Komentářů: 0

Prohlášení vlády České republiky ke kybernetickému útoku z Čínské lidové republiky

28.5. 12:22 | IT novinky

Na základě národního atribučního procesu vláda České republiky označila Čínskou lidovou republiku za zodpovědnou za škodlivou kybernetickou kampaň proti jedné z neutajovaných komunikačních sítí Ministerstva zahraničních věcí ČR. Tato škodlivá aktivita, která trvala od roku 2022 a zasáhla instituci zařazenou na seznam české kritické infrastruktury, byla provedena kyberšpionážní skupinou APT31, veřejně spojovanou se zpravodajskou službou Ministerstvo státní bezpečnosti (MSS).

Ladislav Hagara | Komentářů: 32

Google Chrome 137

28.5. 00:11 | Nová verze

Google Chrome 137 byl prohlášen za stabilní. Nejnovější stabilní verze 137.0.7151.55 přináší řadu novinek z hlediska uživatelů i vývojářů. Podrobný přehled v poznámkách k vydání. Opraveno bylo 11 bezpečnostních chyb. Vylepšeny byly také nástroje pro vývojáře.

Ladislav Hagara | Komentářů: 0

AlmaLinux OS 10

27.5. 19:22 | Nová verze

Byl vydán AlmaLinux OS 10 s kódovým názvem Purple Lion. Podrobnosti v poznámkách k vydání. Na rozdíl od Red Hat Enterprise Linuxu 10 nadále podporuje x86-64-v2.

Ladislav Hagara | Komentářů: 0

Firefox 139.0

27.5. 15:11 | Nová verze

Byl vydán Mozilla Firefox 139.0. Přehled novinek v poznámkách k vydání a poznámkách k vydání pro vývojáře. Řešeny jsou rovněž bezpečnostní chyby. Nový Firefox 139 je již k dispozici také na Flathubu a Snapcraftu.

Ladislav Hagara | Komentářů: 10

Centrum | Napsat | Starší

navrhněte » Anketa

Jaký je váš oblíbený skriptovací jazyk?

bash (55%)

python (32%)

perl (7%)

powershell (2%)

batch (0%)

vbscript (1%)

jiný, uvedu v diskusi (3%)

Celkem 161 hlasů

Komentářů: 12, poslední 28.5. 18:42

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / FreeRADIUS autorizace

Štítky: databáze, freeradius, mikrotik, MySQL, návod, radius, tom, uživatel

Dotaz: FreeRADIUS autorizace

8.3.2021 09:31 Petr
FreeRADIUS autorizace

Přečteno: 574×

Odpovědět | Admin

Zdravim,

mame freeradius nad mysql a rozchodili jsme si v nem autentizaci spravcu nasich Mikrotik routeru. Protoze jich v siti mame upravdu hodne a byl v tom hrozny "maglajz"

Ted bychom ale radi dosahli i toho, aby ne kazdy spravec mel pristup vsude. Aby se zkratka nekteri z nasich zamestnancu sice dostali na zakaznicka APcka, ale nedostali se na paterni prvky

Jestli to chapu spravne, tak se v tomto pripade jedna o "autorizaci". Jenomze zaboha nemuzu najit nejaky navod, ktery by me posunul dal. Jedine ceho jsem se dogooglil je, ze me ma zajimat nejaky "realm". Ale ani to me nikam neposunulo

Dokazali byste me nekdo nakopnout spravnym smerem? Moje predstava je takova, ze ten Mikrotik, ktery posila radiusu ten autentizacni dotaz se jmenem/heslem, tak mu zaroven posila i nejaky svuj identifikator, napr. IP. A tenhle identifikator je ten "realm"? Takze ten radius po uspesne autentizaci na zaklade toho realmu muze vratit z databaze informaci, ze tenhle uzivatel nema do tohodle Mikrotiku pristup?

Diky za vas cas

Nástroje: Začni sledovat (0) ?

Odpovědi

8.3.2021 10:03 X
Rozbalit Rozbalit vše Re: FreeRADIUS autorizace

Skoro. Realm je zasilany atribut Mikrotikem, napriklad "core", "edge", ktery se prilepi k username, ale vyhovuje i jiny atribut, kterym rozlisis ktere AP je paterni a ktere neni.

Co te zajima je policy.conf, kde na zaklade atributu vytvoris pravidlo ve smyslu:

policy {
....
special_access {
    if ("%{Realm}" == 'core') {
        if ("%{sql:SELECT special_priv FROM table WHERE username = '%{User-Name}'}" != '1') {
            reject
        }
    }
}
...
}

Definovanou politiku pak uplatnis v ramci authorizacni sekce.

authorize {
...
special_access
...
}

8.3.2021 11:40 Petr
Rozbalit Rozbalit vše Re: FreeRADIUS autorizace

Super, dekuji! K tomuhle bych se procital hodne dlouho :-)

8.3.2021 15:52 a1bert | skóre: 23
Rozbalit Rozbalit vše Re: FreeRADIUS autorizace

nebo muzes pridat nejakej atribut primo do authorize_check_query

where.... and nasid='%{NAS-Identifier}'

8.3.2021 16:16 Petr
Rozbalit Rozbalit vše Re: FreeRADIUS autorizace

Noo to by mi asi stacilo, protoze kazdy ten Mikrotik ma jedinecny hostname/IP

Co se ted peru s tim prvnim prikladem, tak mi Radius neustale hlasi:

(1)     policy special_access {
(1)       if ("%{Realm}" == 'core') {
(1)       ERROR: Failed retrieving values required to evaluate condition
(1)     } # policy special_access = ok
(1)   } # authorize = ok

A pritom v logu Mysql se vubec neukazuje, ze by se ten SELECT pokusil provest. Tak nevim. V sites-enabled/default v sekci "authorize" mam odkomentovano jak "sql", tak to svoje "special_access", ktery vypada nasledovne:

special_access {
    
    if ("%{Realm}" == 'core') {
        if ("%{sql: SELECT access FROM special_access WHERE username = '%{User-Name}'}" != 'core') {
            reject
        }
    }
}

Jdu se zkusit poprat s tim Vasim resenim.

8.3.2021 16:31 a1bert | skóre: 23
Rozbalit Rozbalit vše Re: FreeRADIUS autorizace

no a mas ten %{Realm} v auth pozadavku? (freeradius -X)

8.3.2021 16:58 Petr
Rozbalit Rozbalit vše Re: FreeRADIUS autorizace

Jezismarja no jo! On to Mikrotik posila ne jako "Realm", ale jako "Mikrotik-Realm"

Boze ta uleva

Diky!

9.3.2021 09:27 Petr
Rozbalit Rozbalit vše Re: FreeRADIUS autorizace

Jeste bych se zeptal...

Je mozne v te "authorize" sekci nejak odeslat hodnoty, ktere by se jinak nacitali z radreply?

Zkusim vysvetlit. Mikrotik ma 3 skupiny opravneni pro uzivatele: read, write a full

Tohle opravneni muzu uzivateli pridelit tak, ze do tabulky radreply pridam radek:

| username | attribute      | op | value |
| franta   | Mikrotik-Group | =  | read  |

Jenze co kdyz chci, aby mel franta "read" pristup do mikrotiku s realmem "core", ale "write" pristup do mikrotiku s realmem "edge"?

Jako nejjednodussi se mi jevi moznost, ze kdyz v sekci "authorize" nactu z databaze, ze franta ma do "edge" mikrotiku povoleny pristup "write", tak nejakym prikazem odeslu "Mikrotik-Group = write"

Diky moc

9.3.2021 10:06 Petr
Rozbalit Rozbalit vše Re: FreeRADIUS autorizace

Tak to asi mam

special_access {
    
    if ("%{Mikrotik-Realm}" == 'edge') {
        if ("%{sql: SELECT access FROM special_access WHERE username = '%{User-Name}'}" != 'edge') {
            reject
        }
        
        update reply {
            &Mikrotik-Group = "write"
        }

    }
}

Ted jeste musim prijit na to, jak to opravneni nenastavovat rucne, ale vycist ho z databaze

9.3.2021 11:43 Petr
Rozbalit Rozbalit vše Re: FreeRADIUS autorizace

Takze... jestli to nekdy nekomu k necemu bude...

Do souboru "dictionary" v "/etc/freeradius/3.0" pridate radek:

ATTRIBUTE   User-Group      3001    string

Potom vysledna "policy" muze vypadat takto:

special_access {
    
    if ("%{Mikrotik-Realm}" == 'edge') {
        if ("%{sql: SELECT realm FROM special_access WHERE username = '%{User-Name}'}" != 'edge') {
            reject
        } else {
            update reply {
                &User-Group = "%{sql:SELECT group from special_access where username = '%{User-Name}' LIMIT 1}"
                &Mikrotik-Group = "%{reply:User-Group}"
            }
        }
    }
    
}

Zatim je to takove neucesane, ale funguje to.

Diky za vas cas a mejte se

Založit nové vlákno • Nahoru

Tiskni Sdílej:

Píšeme jinde

ISSN 1214-1267 www.czech-server.cz

Redakce | Inzerce | Podmínky použití | Osobní údaje