Portál AbcLinuxu, 6. května 2025 11:46

Dotaz: FreeRADIUS autorizace

8.3.2021 09:31 Petr
FreeRADIUS autorizace
Přečteno: 569×
Odpovědět | Admin
Zdravim,

mame freeradius nad mysql a rozchodili jsme si v nem autentizaci spravcu nasich Mikrotik routeru. Protoze jich v siti mame upravdu hodne a byl v tom hrozny "maglajz"

Ted bychom ale radi dosahli i toho, aby ne kazdy spravec mel pristup vsude. Aby se zkratka nekteri z nasich zamestnancu sice dostali na zakaznicka APcka, ale nedostali se na paterni prvky

Jestli to chapu spravne, tak se v tomto pripade jedna o "autorizaci". Jenomze zaboha nemuzu najit nejaky navod, ktery by me posunul dal. Jedine ceho jsem se dogooglil je, ze me ma zajimat nejaky "realm". Ale ani to me nikam neposunulo

Dokazali byste me nekdo nakopnout spravnym smerem? Moje predstava je takova, ze ten Mikrotik, ktery posila radiusu ten autentizacni dotaz se jmenem/heslem, tak mu zaroven posila i nejaky svuj identifikator, napr. IP. A tenhle identifikator je ten "realm"? Takze ten radius po uspesne autentizaci na zaklade toho realmu muze vratit z databaze informaci, ze tenhle uzivatel nema do tohodle Mikrotiku pristup?

Diky za vas cas
Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

8.3.2021 10:03 X
Rozbalit Rozbalit vše Re: FreeRADIUS autorizace
Odpovědět | | Sbalit | Link | Blokovat | Admin
Skoro. Realm je zasilany atribut Mikrotikem, napriklad "core", "edge", ktery se prilepi k username, ale vyhovuje i jiny atribut, kterym rozlisis ktere AP je paterni a ktere neni.

Co te zajima je policy.conf, kde na zaklade atributu vytvoris pravidlo ve smyslu: 
policy {
....
special_access {
    if ("%{Realm}" == 'core') {
        if ("%{sql:SELECT special_priv FROM table WHERE username = '%{User-Name}'}" != '1') {
            reject
        }
    }
}
...
}
Definovanou politiku pak uplatnis v ramci authorizacni sekce. 
authorize {
...
special_access
...
}
8.3.2021 11:40 Petr
Rozbalit Rozbalit vše Re: FreeRADIUS autorizace
Super, dekuji! K tomuhle bych se procital hodne dlouho :-)

8.3.2021 15:52 a1bert | skóre: 23
Rozbalit Rozbalit vše Re: FreeRADIUS autorizace
Odpovědět | | Sbalit | Link | Blokovat | Admin
nebo muzes pridat nejakej atribut primo do authorize_check_query

where.... and nasid='%{NAS-Identifier}'
8.3.2021 16:16 Petr
Rozbalit Rozbalit vše Re: FreeRADIUS autorizace
Noo to by mi asi stacilo, protoze kazdy ten Mikrotik ma jedinecny hostname/IP

Co se ted peru s tim prvnim prikladem, tak mi Radius neustale hlasi: 
(1)     policy special_access {
(1)       if ("%{Realm}" == 'core') {
(1)       ERROR: Failed retrieving values required to evaluate condition
(1)     } # policy special_access = ok
(1)   } # authorize = ok
A pritom v logu Mysql se vubec neukazuje, ze by se ten SELECT pokusil provest. Tak nevim. V sites-enabled/default v sekci "authorize" mam odkomentovano jak "sql", tak to svoje "special_access", ktery vypada nasledovne: 
special_access {
    
    if ("%{Realm}" == 'core') {
        if ("%{sql: SELECT access FROM special_access WHERE username = '%{User-Name}'}" != 'core') {
            reject
        }
    }
}
Jdu se zkusit poprat s tim Vasim resenim.

8.3.2021 16:31 a1bert | skóre: 23
Rozbalit Rozbalit vše Re: FreeRADIUS autorizace
no a mas ten %{Realm} v auth pozadavku? (freeradius -X)
8.3.2021 16:58 Petr
Rozbalit Rozbalit vše Re: FreeRADIUS autorizace
Jezismarja no jo! On to Mikrotik posila ne jako "Realm", ale jako "Mikrotik-Realm"

Boze ta uleva

Diky!

9.3.2021 09:27 Petr
Rozbalit Rozbalit vše Re: FreeRADIUS autorizace
Odpovědět | | Sbalit | Link | Blokovat | Admin
Jeste bych se zeptal...

Je mozne v te "authorize" sekci nejak odeslat hodnoty, ktere by se jinak nacitali z radreply?

Zkusim vysvetlit. Mikrotik ma 3 skupiny opravneni pro uzivatele: read, write a full

Tohle opravneni muzu uzivateli pridelit tak, ze do tabulky radreply pridam radek: 
| username | attribute      | op | value |
| franta   | Mikrotik-Group | =  | read  |
Jenze co kdyz chci, aby mel franta "read" pristup do mikrotiku s realmem "core", ale "write" pristup do mikrotiku s realmem "edge"?

Jako nejjednodussi se mi jevi moznost, ze kdyz v sekci "authorize" nactu z databaze, ze franta ma do "edge" mikrotiku povoleny pristup "write", tak nejakym prikazem odeslu "Mikrotik-Group = write"

Diky moc
9.3.2021 10:06 Petr
Rozbalit Rozbalit vše Re: FreeRADIUS autorizace
Tak to asi mam 
special_access {
    
    if ("%{Mikrotik-Realm}" == 'edge') {
        if ("%{sql: SELECT access FROM special_access WHERE username = '%{User-Name}'}" != 'edge') {
            reject
        }
        
        update reply {
            &Mikrotik-Group = "write"
        }

    }
}
Ted jeste musim prijit na to, jak to opravneni nenastavovat rucne, ale vycist ho z databaze
9.3.2021 11:43 Petr
Rozbalit Rozbalit vše Re: FreeRADIUS autorizace
Takze... jestli to nekdy nekomu k necemu bude...

Do souboru "dictionary" v "/etc/freeradius/3.0" pridate radek: 
ATTRIBUTE   User-Group      3001    string
Potom vysledna "policy" muze vypadat takto: 
special_access {
    
    if ("%{Mikrotik-Realm}" == 'edge') {
        if ("%{sql: SELECT realm FROM special_access WHERE username = '%{User-Name}'}" != 'edge') {
            reject
        } else {
            update reply {
                &User-Group = "%{sql:SELECT group from special_access where username = '%{User-Name}' LIMIT 1}"
                &Mikrotik-Group = "%{reply:User-Group}"
            }
        }
    }
    
}
Zatim je to takove neucesane, ale funguje to.

Diky za vas cas a mejte se

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.