abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    dnes 20:44 | Nová verze

    Svobodný a otevřený multiplatformní editor EPUB souborů Sigil (Wikipedie, GitHub) byl vydán ve verzi 2.5.0. Stejně tak doprovodný vizuální EPUB XHTML editor PageEdit (GitHub).

    Ladislav Hagara | Komentářů: 0
    dnes 12:22 | IT novinky

    Na základě národního atribučního procesu vláda České republiky označila Čínskou lidovou republiku za zodpovědnou za škodlivou kybernetickou kampaň proti jedné z neutajovaných komunikačních sítí Ministerstva zahraničních věcí ČR. Tato škodlivá aktivita, která trvala od roku 2022 a zasáhla instituci zařazenou na seznam české kritické infrastruktury, byla provedena kyberšpionážní skupinou APT31, veřejně spojovanou se zpravodajskou službou Ministerstvo státní bezpečnosti (MSS).

    Ladislav Hagara | Komentářů: 16
    dnes 00:11 | Nová verze

    Google Chrome 137 byl prohlášen za stabilní. Nejnovější stabilní verze 137.0.7151.55 přináší řadu novinek z hlediska uživatelů i vývojářů. Podrobný přehled v poznámkách k vydání. Opraveno bylo 11 bezpečnostních chyb. Vylepšeny byly také nástroje pro vývojáře.

    Ladislav Hagara | Komentářů: 1
    včera 19:22 | Nová verze

    Byl vydán AlmaLinux OS 10 s kódovým názvem Purple Lion. Podrobnosti v poznámkách k vydání. Na rozdíl od Red Hat Enterprise Linuxu 10 nadále podporuje x86-64-v2.

    Ladislav Hagara | Komentářů: 1
    včera 15:11 | Nová verze

    Byl vydán Mozilla Firefox 139.0. Přehled novinek v poznámkách k vydání a poznámkách k vydání pro vývojáře. Řešeny jsou rovněž bezpečnostní chyby. Nový Firefox 139 je již k dispozici také na Flathubu a Snapcraftu.

    Ladislav Hagara | Komentářů: 8
    včera 10:44 | Komunita

    Byly publikovány výsledky průzkumu mezi uživateli Blenderu uskutečněného v říjnu 2024. Zúčastnilo se více než 7000 uživatelů. Téměř 93 % z nich například používá uživatelské rozhraní v angličtině.

    Ladislav Hagara | Komentářů: 17
    26.5. 23:55 | Zajímavý článek

    Lukáš Růžička v článku RamaLama aneb vyháníme lamy na vlastní louku na MojeFedora.cz představuje open source nástroj RamaLama umožňující spouštět jazykové modely v izolovaných OCI kontejnerech, a to bezpečně, bez potřeby mít root přístup k počítači, s podporou GPU či CPU a bez zbytečných obtížností kolem.

    Ladislav Hagara | Komentářů: 2
    26.5. 22:55 | Nová verze

    Byl vydán Sublime Text 4 Build 4200. Sublime Text (Wikipedie) je proprietární multiplatformní editor textových souborů a zdrojových kódů. Ke stažení a k vyzkoušení je zdarma. Pro další používání je nutná licence v ceně 99 dolarů. Spolu se Sublime Merge je cena 168 dolarů.

    Ladislav Hagara | Komentářů: 0
    26.5. 18:00 | Nová verze

    Multiplatformní open source voxelový herní engine Luanti byl vydán ve verzi 5.12.0. Podrobný přehled novinek v changelogu. Původně se jedná o Minecraftem inspirovaný Minetest v říjnu loňského roku přejmenovaný na Luanti.

    Ladislav Hagara | Komentářů: 0
    26.5. 16:11 | Nová verze

    Armbian, tj. linuxová distribuce založená na Debianu a Ubuntu optimalizovaná pro jednodeskové počítače na platformě ARM a RISC-V, ke stažení ale také pro Intel a AMD, byl vydán ve verzi 25.5. Přehled novinek v Changelogu.

    Ladislav Hagara | Komentářů: 0
    Jaký je váš oblíbený skriptovací jazyk?
     (55%)
     (31%)
     (8%)
     (3%)
     (0%)
     (0%)
     (3%)
    Celkem 149 hlasů
     Komentářů: 12, poslední dnes 18:42
    Rozcestník

    Dotaz: FreeRADIUS autorizace

    8.3.2021 09:31 Petr
    FreeRADIUS autorizace
    Přečteno: 574×
    Zdravim,

    mame freeradius nad mysql a rozchodili jsme si v nem autentizaci spravcu nasich Mikrotik routeru. Protoze jich v siti mame upravdu hodne a byl v tom hrozny "maglajz"

    Ted bychom ale radi dosahli i toho, aby ne kazdy spravec mel pristup vsude. Aby se zkratka nekteri z nasich zamestnancu sice dostali na zakaznicka APcka, ale nedostali se na paterni prvky

    Jestli to chapu spravne, tak se v tomto pripade jedna o "autorizaci". Jenomze zaboha nemuzu najit nejaky navod, ktery by me posunul dal. Jedine ceho jsem se dogooglil je, ze me ma zajimat nejaky "realm". Ale ani to me nikam neposunulo

    Dokazali byste me nekdo nakopnout spravnym smerem? Moje predstava je takova, ze ten Mikrotik, ktery posila radiusu ten autentizacni dotaz se jmenem/heslem, tak mu zaroven posila i nejaky svuj identifikator, napr. IP. A tenhle identifikator je ten "realm"? Takze ten radius po uspesne autentizaci na zaklade toho realmu muze vratit z databaze informaci, ze tenhle uzivatel nema do tohodle Mikrotiku pristup?

    Diky za vas cas

    Odpovědi

    8.3.2021 10:03 X
    Rozbalit Rozbalit vše Re: FreeRADIUS autorizace
    Skoro. Realm je zasilany atribut Mikrotikem, napriklad "core", "edge", ktery se prilepi k username, ale vyhovuje i jiny atribut, kterym rozlisis ktere AP je paterni a ktere neni.

    Co te zajima je policy.conf, kde na zaklade atributu vytvoris pravidlo ve smyslu:
    policy {
    ....
    special_access {
        if ("%{Realm}" == 'core') {
            if ("%{sql:SELECT special_priv FROM table WHERE username = '%{User-Name}'}" != '1') {
                reject
            }
        }
    }
    ...
    }
    
    Definovanou politiku pak uplatnis v ramci authorizacni sekce.
    authorize {
    ...
    special_access
    ...
    }
    
    8.3.2021 11:40 Petr
    Rozbalit Rozbalit vše Re: FreeRADIUS autorizace
    Super, dekuji! K tomuhle bych se procital hodne dlouho :-)

    8.3.2021 15:52 a1bert | skóre: 23
    Rozbalit Rozbalit vše Re: FreeRADIUS autorizace
    nebo muzes pridat nejakej atribut primo do authorize_check_query

    where.... and nasid='%{NAS-Identifier}'
    8.3.2021 16:16 Petr
    Rozbalit Rozbalit vše Re: FreeRADIUS autorizace
    Noo to by mi asi stacilo, protoze kazdy ten Mikrotik ma jedinecny hostname/IP

    Co se ted peru s tim prvnim prikladem, tak mi Radius neustale hlasi:
    (1)     policy special_access {
    (1)       if ("%{Realm}" == 'core') {
    (1)       ERROR: Failed retrieving values required to evaluate condition
    (1)     } # policy special_access = ok
    (1)   } # authorize = ok
    
    A pritom v logu Mysql se vubec neukazuje, ze by se ten SELECT pokusil provest. Tak nevim. V sites-enabled/default v sekci "authorize" mam odkomentovano jak "sql", tak to svoje "special_access", ktery vypada nasledovne:
    special_access {
        
        if ("%{Realm}" == 'core') {
            if ("%{sql: SELECT access FROM special_access WHERE username = '%{User-Name}'}" != 'core') {
                reject
            }
        }
    }
    
    Jdu se zkusit poprat s tim Vasim resenim.

    8.3.2021 16:31 a1bert | skóre: 23
    Rozbalit Rozbalit vše Re: FreeRADIUS autorizace
    no a mas ten %{Realm} v auth pozadavku? (freeradius -X)
    8.3.2021 16:58 Petr
    Rozbalit Rozbalit vše Re: FreeRADIUS autorizace
    Jezismarja no jo! On to Mikrotik posila ne jako "Realm", ale jako "Mikrotik-Realm"

    Boze ta uleva

    Diky!

    9.3.2021 09:27 Petr
    Rozbalit Rozbalit vše Re: FreeRADIUS autorizace
    Jeste bych se zeptal...

    Je mozne v te "authorize" sekci nejak odeslat hodnoty, ktere by se jinak nacitali z radreply?

    Zkusim vysvetlit. Mikrotik ma 3 skupiny opravneni pro uzivatele: read, write a full

    Tohle opravneni muzu uzivateli pridelit tak, ze do tabulky radreply pridam radek:
    | username | attribute      | op | value |
    | franta   | Mikrotik-Group | =  | read  |
    
    Jenze co kdyz chci, aby mel franta "read" pristup do mikrotiku s realmem "core", ale "write" pristup do mikrotiku s realmem "edge"?

    Jako nejjednodussi se mi jevi moznost, ze kdyz v sekci "authorize" nactu z databaze, ze franta ma do "edge" mikrotiku povoleny pristup "write", tak nejakym prikazem odeslu "Mikrotik-Group = write"

    Diky moc
    9.3.2021 10:06 Petr
    Rozbalit Rozbalit vše Re: FreeRADIUS autorizace
    Tak to asi mam
    special_access {
        
        if ("%{Mikrotik-Realm}" == 'edge') {
            if ("%{sql: SELECT access FROM special_access WHERE username = '%{User-Name}'}" != 'edge') {
                reject
            }
            
            update reply {
                &Mikrotik-Group = "write"
            }
    
        }
    }
    
    Ted jeste musim prijit na to, jak to opravneni nenastavovat rucne, ale vycist ho z databaze
    9.3.2021 11:43 Petr
    Rozbalit Rozbalit vše Re: FreeRADIUS autorizace
    Takze... jestli to nekdy nekomu k necemu bude...

    Do souboru "dictionary" v "/etc/freeradius/3.0" pridate radek:
    ATTRIBUTE   User-Group      3001    string
    
    Potom vysledna "policy" muze vypadat takto:
    special_access {
        
        if ("%{Mikrotik-Realm}" == 'edge') {
            if ("%{sql: SELECT realm FROM special_access WHERE username = '%{User-Name}'}" != 'edge') {
                reject
            } else {
                update reply {
                    &User-Group = "%{sql:SELECT group from special_access where username = '%{User-Name}' LIMIT 1}"
                    &Mikrotik-Group = "%{reply:User-Group}"
                }
            }
        }
        
    }
    
    Zatim je to takove neucesane, ale funguje to.

    Diky za vas cas a mejte se

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.