GoldenLine
Zaloguj się
Grzegorz Czerepak

Grzegorz Czerepak Student, Wyższa
Szkoła Technologii
Informatycznych w
Kato...

Temat: Freeradius

Mam takie 2 pytanka odnośnie freeradiusa i jego konfiguracji.

Mam skonfigurowanego freeradiusa połączonego z bazą sql, który poprawnie uwierzytelnia i daje dostęp do sieci.
Teraz jak zrobić, aby użytkownicy mieli poziomy uprawnień, (że np. kowalski ma zabroniony dostęp do facebooka, zaś nowak ma dostęp do wszystkiego. Myślałem aby wdrożyć np. grupy kierownictwo, administracja, pracownicy, itd. i każda grupa ma swoje uprawnienia, tylko niewiem jak to zaimplementować).
Drugie pytanko jak zapobiec aby uzytkownicy nie mogli zmieniać swoich adresów ip które zostały przydzielone z serwera dhcp.
Link do wypowiedziLink
Krzysztof Eugeniusz Kotkowicz

Krzysztof Eugeniusz Kotkowicz Freelancer,
Administrator
systemów
teleinformatycznych

Temat: Freeradius

Grzegorz Czerepak:
Mam takie 2 pytanka odnośnie freeradiusa i jego konfiguracji.

Mam skonfigurowanego freeradiusa połączonego z bazą sql, który poprawnie uwierzytelnia i daje dostęp do sieci.
Teraz jak zrobić, aby użytkownicy mieli poziomy uprawnień, (że np. kowalski ma zabroniony dostęp do facebooka, zaś nowak ma dostęp do wszystkiego. Myślałem aby wdrożyć np. grupy kierownictwo, administracja, pracownicy, itd. i każda grupa ma swoje uprawnienia, tylko niewiem jak to zaimplementować).

Freeradius+Squid?
Grzegorz Czerepak:
Drugie pytanko jak zapobiec aby uzytkownicy nie mogli zmieniać swoich adresów ip które zostały przydzielone z serwera dhcp.

Przypinanie adresów MAC do konkretnych IP i blokowanie, gdy para IP/MAC się nie zgadza?

Google Twoim przyjacielem.
Link do wypowiedziLink
Grzegorz Czerepak

Grzegorz Czerepak Student, Wyższa
Szkoła Technologii
Informatycznych w
Kato...

Temat: Freeradius

Krzysztof Eugeniusz Kotkowicz:

Freeradius+Squid?
I chce to tak zrobić.

Krzysztof Eugeniusz Kotkowicz:
Przypinanie adresów MAC do konkretnych IP i blokowanie, gdy para IP/MAC się nie zgadza?

Google Twoim przyjacielem.

Chodzi mi o rozwiązanie dynamiczne, to rozwiązanie o którym piszesz zda swoją sprawę w przypadku małej sieci, a co jesli jest inaczej, co jeśli kazdy użytkownik ma dodatkowo smartfona, tableta lub inną zabawkę.
Najlepiej było by podzielić ich na grupy i każdej grupie przydzielać adresy ip z innej puli wtedy można jakąś tą pule blokować. Z tym, że nie wiem jak powiązać radiusa z dhcp, ażeby przekazywał dalej informację, że ten logujący się użytkownik jest w grupie użytkownicy i ma dostać adres z takiej a nie innej puli.
Link do wypowiedziLink
Milan Dziedzic

Milan Dziedzic Administrator
Systemów

Temat: Freeradius

Chyba nie ma na razie takiej możliwości aby działało to dynamicznie obsługa DHCP do niedawna była eksperymentalna i obsługiwała tylko statyczne rozwiązania, może już to zmienili
Link do wypowiedziLink
Grzegorz Czerepak

Grzegorz Czerepak Student, Wyższa
Szkoła Technologii
Informatycznych w
Kato...

Temat: Freeradius

hmm, to nie dobrze, a jakby zaprzęc do tego zewnętrzny serwer dhcp. Tylko pojawia się tutaj problem jak nadawać w takim wypadku uprawnienia poszczególnym użytkownikom?
Link do wypowiedziLink
Milan Dziedzic

Milan Dziedzic Administrator
Systemów

Temat: Freeradius

może przetestuj konfiguracje z serwerem dhcp na virtualu włącz opcje radiusd -X i będziesz wiedział co i jak Milan Dziedzic edytował(a) ten post dnia 27.11.11 o godzinie 22:54
Link do wypowiedziLink
Grzegorz Czerepak

Grzegorz Czerepak Student, Wyższa
Szkoła Technologii
Informatycznych w
Kato...

Temat: Freeradius

Milan Dziedzic:
może przetestuj konfiguracje z serwerem dhcp na virtualu włącz opcje radiusd -X i będziesz wiedział co i jak

serwer dhcp przydziela adresy, lecz teraz jak ustawić uprawnienia dla aposzczególnych użytkowników?
Link do wypowiedziLink
Tomasz H.

Tomasz H. sysop

Temat: Freeradius

To rozwiązanie nie do końca pozostające w opisanym obszarze, ale... ACLe w Squidzie niekoniecznie musza odnosić się do przydzielonych adresów IP. Można skorzystać z dodatkowej autentykacji. I tak mnie udało się w przeszłości wykonać rozwiązanie oparte na założeniach:

1. Użytkownik jest uwierzytelniany za pomocą modułu NTLM
2. Wykorzystane jest uwierzytelnianie zintegrowane Windows, stąd użytkownik nie jest męczony dodatkowymi monitami(IE, Firefox obsługują)
3. Odpowiednie ACL są stosowane na podstawie przynależności do grup LDAP

Czyli wszystko automagicznie działające z Active Directory. Z inną usługą katalogową, pewnie też dałoby radę. Dawno nie widziałem Squida i szczegóły kojarzę mgliście, ale pamiętam że po tygodniu móżdżenia zaskoczyło:)
Link do wypowiedziLink
Grzegorz Czerepak

Grzegorz Czerepak Student, Wyższa
Szkoła Technologii
Informatycznych w
Kato...

Temat: Freeradius

Pytanie troche z innej beczki.

Zainstalowałem sobie nakładkę graficzną pod radius-a (NULOG). Kwesita jest tego typu, że nie loguje mi danych o sesji (czas logowania, ile gość ściągał itp.) , wszystko powinno być zapisywanie w tabeli radacct, lecz niestety jest ona pusta.

Mogę wkleić configi, tylko napiszcze które były by potrzebne do zdiagnozowania problemu.

Ja już nie mam pomysłu gdzie może leżeć problem, przeglądałem configi chyba z 10 razy, lecz nic nie moge znaleźć.

Z góry dziękuje za pomoc.
Link do wypowiedziLink
Grzegorz Czerepak

Grzegorz Czerepak Student, Wyższa
Szkoła Technologii
Informatycznych w
Kato...

Temat: Freeradius

Czy każdy access point może wysyłać pakiety accounting, może to tu jest problem. Jest jakaś możliwość sprawdzenia czy mój access point owe pakiety wysyła?

Mój access point to: D-Link DWL-G700AP
Link do wypowiedziLink
Krzysztof Eugeniusz Kotkowicz

Krzysztof Eugeniusz Kotkowicz Freelancer,
Administrator
systemów
teleinformatycznych

Temat: Freeradius

Grzegorz Czerepak:
Czy każdy access point może wysyłać pakiety accounting, może to tu jest problem. Jest jakaś możliwość sprawdzenia czy mój access point owe pakiety wysyła?

Mój access point to: D-Link DWL-G700AP

A czy google Ci się popsuło?

http://bit.ly/w7mH0j
Link do wypowiedziLink
Grzegorz Czerepak

Grzegorz Czerepak Student, Wyższa
Szkoła Technologii
Informatycznych w
Kato...

Temat: Freeradius

Krzysztof Eugeniusz Kotkowicz:
Grzegorz Czerepak:
Czy każdy access point może wysyłać pakiety accounting, może to tu jest problem. Jest jakaś możliwość sprawdzenia czy mój access point owe pakiety wysyła?

Mój access point to: D-Link DWL-G700AP

A czy google Ci się popsuło?

http://bit.ly/w7mH0j

Szukałem na google ale nie znalazłem jednoznacznej odopwiedzi, więc się zapytałem. Zakupiłem więc router Linksys WRTU54G-TM i wgrałem na niego OpenWrt. I dopiero tam była możliwość ustawienia pakietów radius accounting. Wychodzi na to, że nie wsztstkie routery są do tego dostosowane, a bynajmniej oprogramowanie nia nich zainstalowane.
Link do wypowiedziLink
Krzysztof Eugeniusz Kotkowicz

Krzysztof Eugeniusz Kotkowicz Freelancer,
Administrator
systemów
teleinformatycznych

Temat: Freeradius

Grzegorz Czerepak:
http://bit.ly/w7mH0j

Szukałem na google ale nie znalazłem jednoznacznej odopwiedzi, więc się zapytałem. Zakupiłem więc router Linksys WRTU54G-TM i wgrałem na niego OpenWrt. I dopiero tam była możliwość ustawienia pakietów radius accounting. Wychodzi na to, że nie wsztstkie routery są do tego dostosowane, a bynajmniej oprogramowanie nia nich zainstalowane.

Widocznie źle szukałeś, skoro ja znalazłem odpowiedź w 2 minuty. Ale odnośnie accountingu, to przecież jest to oczywiste, że w sprzętach niższej klasy nie będzie tego typu funkcjonalności.
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy





Wyślij zaproszenie do
Anuluj