AbcLinuxu hledá autory!

Inzerujte na AbcPráce.cz od 950 Kč

Rozšířené hledání

napište » Zprávičky

inzerujte » Pracovní nabídky

Raspberry Pi Official Magazine 161

dnes 11:11 | Zajímavý článek

Nové číslo časopisu Raspberry Pi zdarma ke čtení: Raspberry Pi Official Magazine 161 (pdf).

Ladislav Hagara | Komentářů: 0

Nativní linuxová verze MT-PowerDrumKit 2

dnes 10:44 | Nová verze

Po delší době vývoje vyšla nativní linuxová verze virtuálního bubeníka MT-PowerDrumKit 2 ve formátu VST3. Mezi testovanými hosty jsou Reaper, Ardour, Bitwig a Carla.

balda | Komentářů: 1

Budgie 10.10

včera 21:33 | Nová verze

Desktopové prostředí Budgie bylo vydáno ve verzi 10.10. Dokončena byla migrace z X11 na Wayland. Budgie 10 vstupuje do režimu údržby. Vývoj se přesouvá k Budgie 11. Dlouho se řešilo, v čem bude nové Budgie napsáno. Budgie 10 je postaveno nad GTK 3. Přemýšlelo se také nad přepsáním z GTK do EFL. Budgie 11 bude nakonec postaveno nad Qt 6.

Ladislav Hagara | Komentářů: 0

Projekt OpenChaos

včera 13:00 | Humor

OpenChaos.dev je 'samovolně se vyvíjející open source projekt' s nedefinovaným cílem. Každý týden mohou lidé hlasovat o návrzích (pull requestech), přičemž vítězný návrh se integruje do kódu projektu (repozitář na GitHubu). Hlasováním je možné změnit téměř vše, včetně tohoto pravidla. Hlasování končí vždy v neděli v 9:00 UTC.

NUKE GAZA! 🎆 | Komentářů: 3

Debian 13.3 a 12.13

včera 03:00 | Nová verze

Byl vydán Debian 13.3, tj. třetí opravná verze Debianu 13 s kódovým názvem Trixie a Debian 12.13, tj. třináctá opravná verze Debianu 12 s kódovým názvem Bookworm. Řešeny jsou především bezpečnostní problémy, ale také několik vážných chyb. Instalační média Debianu 13 a Debianu 12 lze samozřejmě nadále k instalaci používat. Po instalaci stačí systém aktualizovat.

Ladislav Hagara | Komentářů: 0

Podělte se o svůj názor s Evropskou komisí: Evropské otevřené digitální ekosystémy

10.1. 03:00 | Komunita

Na stránkách Evropské komise, na portálu Podělte se o svůj názor, se lze do 3. února podělit o názor k iniciativě Evropské otevřené digitální ekosystémy řešící přístup EU k otevřenému softwaru.

Ladislav Hagara | Komentářů: 6

Orion pro Linux v alfa verzi

9.1. 19:44 | Zajímavý software

Společnost Kagi stojící za stejnojmenným placeným vyhledávačem vydala (𝕏) alfa verzi linuxové verze (flatpak) svého proprietárního webového prohlížeče Orion.

Ladislav Hagara | Komentářů: 5

Bose uvolnila API starších reproduktorů

9.1. 19:11 | IT novinky

Firma Bose se po tlaku uživatelů rozhodla, že otevře API svých chytrých reproduktorů SoundTouch, což umožní pokračovat v jejich používání i po plánovaném ukončení podpory v letošním roce. Pro ovládání také bude stále možné využívat oficiální aplikaci, ale už pouze lokálně bez cloudových služeb. Dokumentace API dostupná zde (soubor PDF).

NUKE GAZA! 🎆 | Komentářů: 2

AdGuard Home: domácí ochrana nejen před reklamou

9.1. 14:22 | Zajímavý článek

Jiří Eischmann se v příspěvku na svém blogu rozepsal o open source AdGuard Home jako domácí ochraně nejen před reklamou. Adguard Home není plnohodnotným DNS resolverem, funguje jako DNS forwarder s možností filtrování. To znamená, že když přijme DNS dotaz, sám na něj neodpoví, ale přepošle ho na vybraný DNS server a odpovědi zpracovává a filtruje dle nastavených pravidel a následně posílá zpět klientům. Dá se tedy používat k blokování reklamy a škodlivých stránek a k rodičovské kontrole na úrovni DNS.

Ladislav Hagara | Komentářů: 7

Claude Code lépe rozumí frameworku Nette

9.1. 03:33 | Zajímavý software

AI Claude Code od Anthropicu lépe rozumí frameworku Nette, tj. open source frameworku pro tvorbu webových aplikací v PHP. David Grudl napsal plugin Nette pro Claude Code.

Ladislav Hagara | Komentářů: 1

Centrum | Napsat | Starší

navrhněte » Anketa

Komentářů: 9, poslední dnes 18:09

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / FreeRADIUS autorizace

Štítky: databáze, freeradius, mikrotik, MySQL, návod, radius, tom, uživatel

Dotaz: FreeRADIUS autorizace

8.3.2021 09:31 Petr
FreeRADIUS autorizace

Přečteno: 664×

Odpovědět | Admin

Zdravim,

mame freeradius nad mysql a rozchodili jsme si v nem autentizaci spravcu nasich Mikrotik routeru. Protoze jich v siti mame upravdu hodne a byl v tom hrozny "maglajz"

Ted bychom ale radi dosahli i toho, aby ne kazdy spravec mel pristup vsude. Aby se zkratka nekteri z nasich zamestnancu sice dostali na zakaznicka APcka, ale nedostali se na paterni prvky

Jestli to chapu spravne, tak se v tomto pripade jedna o "autorizaci". Jenomze zaboha nemuzu najit nejaky navod, ktery by me posunul dal. Jedine ceho jsem se dogooglil je, ze me ma zajimat nejaky "realm". Ale ani to me nikam neposunulo

Dokazali byste me nekdo nakopnout spravnym smerem? Moje predstava je takova, ze ten Mikrotik, ktery posila radiusu ten autentizacni dotaz se jmenem/heslem, tak mu zaroven posila i nejaky svuj identifikator, napr. IP. A tenhle identifikator je ten "realm"? Takze ten radius po uspesne autentizaci na zaklade toho realmu muze vratit z databaze informaci, ze tenhle uzivatel nema do tohodle Mikrotiku pristup?

Diky za vas cas

Nástroje: Začni sledovat (0) ?

Odpovědi

8.3.2021 10:03 X
Rozbalit Rozbalit vše Re: FreeRADIUS autorizace

Skoro. Realm je zasilany atribut Mikrotikem, napriklad "core", "edge", ktery se prilepi k username, ale vyhovuje i jiny atribut, kterym rozlisis ktere AP je paterni a ktere neni.

Co te zajima je policy.conf, kde na zaklade atributu vytvoris pravidlo ve smyslu:

policy {
....
special_access {
    if ("%{Realm}" == 'core') {
        if ("%{sql:SELECT special_priv FROM table WHERE username = '%{User-Name}'}" != '1') {
            reject
        }
    }
}
...
}

Definovanou politiku pak uplatnis v ramci authorizacni sekce.

authorize {
...
special_access
...
}

8.3.2021 11:40 Petr
Rozbalit Rozbalit vše Re: FreeRADIUS autorizace

Super, dekuji! K tomuhle bych se procital hodne dlouho :-)

8.3.2021 15:52 a1bert | skóre: 23
Rozbalit Rozbalit vše Re: FreeRADIUS autorizace

nebo muzes pridat nejakej atribut primo do authorize_check_query

where.... and nasid='%{NAS-Identifier}'

8.3.2021 16:16 Petr
Rozbalit Rozbalit vše Re: FreeRADIUS autorizace

Noo to by mi asi stacilo, protoze kazdy ten Mikrotik ma jedinecny hostname/IP

Co se ted peru s tim prvnim prikladem, tak mi Radius neustale hlasi:

(1)     policy special_access {
(1)       if ("%{Realm}" == 'core') {
(1)       ERROR: Failed retrieving values required to evaluate condition
(1)     } # policy special_access = ok
(1)   } # authorize = ok

A pritom v logu Mysql se vubec neukazuje, ze by se ten SELECT pokusil provest. Tak nevim. V sites-enabled/default v sekci "authorize" mam odkomentovano jak "sql", tak to svoje "special_access", ktery vypada nasledovne:

special_access {
    
    if ("%{Realm}" == 'core') {
        if ("%{sql: SELECT access FROM special_access WHERE username = '%{User-Name}'}" != 'core') {
            reject
        }
    }
}

Jdu se zkusit poprat s tim Vasim resenim.

8.3.2021 16:31 a1bert | skóre: 23
Rozbalit Rozbalit vše Re: FreeRADIUS autorizace

no a mas ten %{Realm} v auth pozadavku? (freeradius -X)

8.3.2021 16:58 Petr
Rozbalit Rozbalit vše Re: FreeRADIUS autorizace

Jezismarja no jo! On to Mikrotik posila ne jako "Realm", ale jako "Mikrotik-Realm"

Boze ta uleva

Diky!

9.3.2021 09:27 Petr
Rozbalit Rozbalit vše Re: FreeRADIUS autorizace

Jeste bych se zeptal...

Je mozne v te "authorize" sekci nejak odeslat hodnoty, ktere by se jinak nacitali z radreply?

Zkusim vysvetlit. Mikrotik ma 3 skupiny opravneni pro uzivatele: read, write a full

Tohle opravneni muzu uzivateli pridelit tak, ze do tabulky radreply pridam radek:

| username | attribute      | op | value |
| franta   | Mikrotik-Group | =  | read  |

Jenze co kdyz chci, aby mel franta "read" pristup do mikrotiku s realmem "core", ale "write" pristup do mikrotiku s realmem "edge"?

Jako nejjednodussi se mi jevi moznost, ze kdyz v sekci "authorize" nactu z databaze, ze franta ma do "edge" mikrotiku povoleny pristup "write", tak nejakym prikazem odeslu "Mikrotik-Group = write"

Diky moc

9.3.2021 10:06 Petr
Rozbalit Rozbalit vše Re: FreeRADIUS autorizace

Tak to asi mam

special_access {
    
    if ("%{Mikrotik-Realm}" == 'edge') {
        if ("%{sql: SELECT access FROM special_access WHERE username = '%{User-Name}'}" != 'edge') {
            reject
        }
        
        update reply {
            &Mikrotik-Group = "write"
        }

    }
}

Ted jeste musim prijit na to, jak to opravneni nenastavovat rucne, ale vycist ho z databaze

9.3.2021 11:43 Petr
Rozbalit Rozbalit vše Re: FreeRADIUS autorizace

Takze... jestli to nekdy nekomu k necemu bude...

Do souboru "dictionary" v "/etc/freeradius/3.0" pridate radek:

ATTRIBUTE   User-Group      3001    string

Potom vysledna "policy" muze vypadat takto:

special_access {
    
    if ("%{Mikrotik-Realm}" == 'edge') {
        if ("%{sql: SELECT realm FROM special_access WHERE username = '%{User-Name}'}" != 'edge') {
            reject
        } else {
            update reply {
                &User-Group = "%{sql:SELECT group from special_access where username = '%{User-Name}' LIMIT 1}"
                &Mikrotik-Group = "%{reply:User-Group}"
            }
        }
    }
    
}

Zatim je to takove neucesane, ale funguje to.

Diky za vas cas a mejte se

Založit nové vlákno • Nahoru

Tiskni Sdílej: