Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Kerberos 5 e gestione "Time Limits" per Captive Po

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
justfra



Registrato: 13/01/09 15:12
Messaggi: 27

MessaggioInviato: Lun Feb 23, 2009 8:53 am    Oggetto: Kerberos 5 e gestione "Time Limits" per Captive Po Rispondi citando

Salve, sto realizzando un'interfaccia esterna scritta in Java per una gestione utenti semplificata che abbia come target gestori di locali, piuttosto che hotel o quant'altro, nell'ottica della creazione di un hotspot.
Il tutto non fa altro che aprire una shell in background tramite ssh ed inviare vari comandi tramite kadmin.local.
Devo dire che le cose sembrano funzionare ed effettivamente i nuovi utenti aggiunti riescono a loggarsi sul captive portal, ma quello che non riesco a capire è come funzionano le proprietà nella sezione Time Limits per gli utenti Kerberos5.
Io mi aspettavo qualcosa del tipo che alla scadenza del ticket o del principal, un utente connesso ad internet su un'interfaccia che è dietro captive portal fosse disconnesso o perlomeno non riuscisse a loggarsi successivamente, con conseguente necessità di rinnovo da parte del gestore, ma ho notato che queste proprietà (almeno nel mio caso) non hanno avuto alcuna influenza.

Ringrazio in anticipo e spero che qualcuno possa farmi un po' di chiarezza a riguardo.

Francesco
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Lun Feb 23, 2009 5:13 pm    Oggetto: Rispondi citando

Alla scadenza dell'utente Kerberos5 non è più possibile riautenticarsi sul captive portal. Tuttavia, chi è già connesso non viene disconnesso automaticamente. Questo sara' possibile con l'implementazione del modulo di accounting che gestirà le disconnessione dovute l'esaurimento del tempo o del traffico di connessione.

Ciao
Fulvio
Top
Profilo Invia messaggio privato
justfra



Registrato: 13/01/09 15:12
Messaggi: 27

MessaggioInviato: Lun Feb 23, 2009 5:56 pm    Oggetto: Rispondi citando

Ciao Fulvio, grazie per la risposta.

Purtroppo ho già provato ad impostare il campo Principal Expiration con una data antecedente l'attuale ed anche dopo la disconnessione, riesco ad effettuare di nuovo la connessione senza problemi con l'utente in questione..


Logicamente ho verificato che siano corretti e sincronizzati i parametri nella sezione Time..

Forse devo impostare qualche altro parametro ?

Grazie in anticipo

Francesco
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Lun Feb 23, 2009 6:33 pm    Oggetto: Rispondi citando

Ho verificato e a me funziona.

Infatti modificando l'expiration time del mio principal con una data passata ottengo:

AS_REQ (7 etypes {18 17 16 23 1 3 2}) 192.168.142.142: CLIENT EXPIRED: fulvio@EXAMPLE.COM for krbtgt/EXAMPLE.COM@EXAMPLE.COM, Client's entry in database has expired

nei log del processo krb5kdc (il KDC Kerberos 5) e

AS: trying Kerberos 5 (Local KDC) authentication for fulvio@EXAMPLE.COM (Client: 192.168.3.1)
AS: warning: authentication failed for the user fulvio@EXAMPLE.COM (Client: 192.168.3.1)

nei log del captive portal.

Sei sicuro di aver impostato l'autenticazione Kerberos 5 e non RADIUS?

Ciao
Fulvio
Top
Profilo Invia messaggio privato
justfra



Registrato: 13/01/09 15:12
Messaggi: 27

MessaggioInviato: Lun Feb 23, 2009 6:41 pm    Oggetto: Rispondi citando

Si è attiva l'autenticazione Kerberos 5 perchè il RADIUS è disattivato e comunque il log è questo:

18:38:01 AS: trying Kerberos 5 (Local KDC) authentication for pippo@ELLETIMUSICBAR.LAN (Client: 192.168.20.101)
18:38:02 AS: Success: user pippo@ELLETIMUSICBAR.LAN (Client: 192.168.20.101) successfully authenticated (Username,Password)
18:38:03 GW: Success: user pippo@ELLETIMUSICBAR.LAN (IP: 192.168.20.101 MAC: 00:23:12:56:96:FD) connected

Forse non basta impostare solo il Principal Expiration ma bisogna impostare anche gli altri parametri ?
Io lo modifico dopo e non all'atto della creazione, potresti fare anche questa prova ? (creare un user senza expiration, loggarlo, modificare l'expiration mentre è loggato, disconnetterlo e provare a riconnetterlo)...

Io gli user li creo tramite il kadmin.local con il comando addprinc -pw pass user.. Devo fare altro ?

Grazie ancora

Francesco
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Lun Feb 23, 2009 7:46 pm    Oggetto: Rispondi citando

Ti posto il risultato di un kinit e un kadmin, vedi tu di fare i confronti.
Hai controllato che la data del sistema sia corretta?

root@gw-adsl root> kinit fulvio
kinit(v5): Client's entry in database has expired while getting initial credentials


root@gw-adsl root> kadmin.local -q "getprinc fulvio"
Authenticating as principal admin/admin@EXAMPLE.COM with password.
Principal: fulvio@EXAMPLE.COM
Expiration date: Fri Feb 20 01:00:00 CET 2009
Last password change: Mon Feb 23 18:28:16 CET 2009
Password expiration date: [none]
Maximum ticket life: 1 day 00:00:00
Maximum renewable life: 7 days 00:00:00
Last modified: Mon Feb 23 18:28:16 CET 2009 (root/admin@EXAMPLE.COM)
Last successful authentication: [never]
Last failed authentication: [never]
Failed password attempts: 0
Number of keys: 7
Key: vno 5, DES cbc mode with CRC-32, no salt
Key: vno 5, DES cbc mode with CRC-32, Version 4
Key: vno 5, DES cbc mode with CRC-32, AFS version 3
Key: vno 5, Triple DES cbc mode with HMAC/sha1, no salt
Key: vno 5, ArcFour with HMAC/md5, no salt
Key: vno 5, AES-128 CTS mode with 96-bit SHA-1 HMAC, no salt
Key: vno 5, AES-256 CTS mode with 96-bit SHA-1 HMAC, no salt
Attributes:
Policy: default
Top
Profilo Invia messaggio privato
justfra



Registrato: 13/01/09 15:12
Messaggi: 27

MessaggioInviato: Mar Feb 24, 2009 1:37 pm    Oggetto: Rispondi citando

.. Alla fine era la data, mi sento un po' stupido ma era stata la prima cosa che avevo controllato ed ero convinto fosse esatta, invece non lo era!

Ti chiedo scusa Fulvio per averti fatto prerdere del tempo e ti ringrazio moltissimo per la disponibilità..

Francesco
Top
Profilo Invia messaggio privato
ASVP



Registrato: 21/05/08 12:58
Messaggi: 134

MessaggioInviato: Mer Feb 25, 2009 11:38 am    Oggetto: Rispondi citando

immagino che anche cancellando il principal da K5 dell'utente che si sia autenticato tramite Captive Portal questi non venga disconesso allo scoccare dei 5 minuti... corretto ?

Ciao e grazie
_________________
www.asvp.it
Top
Profilo Invia messaggio privato
sinus



Registrato: 22/07/09 20:41
Messaggi: 2

MessaggioInviato: Mer Lug 22, 2009 9:05 pm    Oggetto: Rispondi citando

justfra ha scritto:

18:38:01 AS: trying Kerberos 5 (Local KDC) authentication for pippo@ELLETIMUSICBAR.LAN (Client: 192.168.20.101)
18:38:02 AS: Success: user pippo@ELLETIMUSICBAR.LAN (Client: 192.168.20.101) successfully authenticated (Username,Password)
18:38:03 GW: Success: user pippo@ELLETIMUSICBAR.LAN (IP: 192.168.20.101 MAC: 00:23:12:56:96:FD) connected

Francesco


Scusa, sono sicuramente offtopic ma non ho potuto fare a meno di vedere nei log che sei riuscito a creare un dominio diverso da example.com.

Ti sarei veramente grato se mi dicessi in quali pagine si può settare un dominio nuovo.

Io ho provato al momento della creazione del db iniziale, ma poi smette di funzionare tutto...

mi faresti questo piacerone??? Grazie
Top
Profilo Invia messaggio privato
Francesco Steno



Registrato: 26/03/10 14:59
Messaggi: 181

MessaggioInviato: Mer Mar 31, 2010 10:16 am    Oggetto: Rispondi citando

Devi creare un nuovo profilo, e il nome del dominio + l'hostname sarà la stringa che inserisci nel campo Hostname (FQDN).
Il "dominio" che vedi nei messaggi precedenti, che è diverso da "EXAMPLE.COM", è quello dell'autenticazione su Kerberos, e lo imposti nel campo: "Kerberos 5 Realm", sempre nelle impostazioni del profilo utente che vai a creare.
Quando crei un nuovo profilo, il sistema non crea un profilo "copia" di quello principale, ma è un profilo base, lo stesso che hai quando installi il sistema.
Di conseguenza, rendendolo attivo, ti ritroverai con un sistema che non si comporterà + come il precedente....
Top
Profilo Invia messaggio privato Invia e-mail
iwo



Registrato: 19/06/09 09:11
Messaggi: 8

MessaggioInviato: Gio Apr 01, 2010 2:58 pm    Oggetto: Rispondi citando

Ciao JustFra,
anche io ero intenzionato a fare un applicazione java desktop per semplificare il tutto, se hai ancora bisogno di un aiuto sono a disposizione.
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it