Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Captive Portal e gestione autenticazione utenti
Vai a 1, 2  Successivo
 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
salvo



Registrato: 06/01/07 15:54
Messaggi: 43

MessaggioInviato: Ven Gen 19, 2007 9:58 pm    Oggetto: Captive Portal e gestione autenticazione utenti Rispondi citando

Ragazzi chiedo scusa se inizio a rompere con i miei post,
ma questa distro è spettacolare, riesce a gestire tantissime cose e siccome mi sta appassionando, allora tutti i problemi che riscontro e le curiosità è normale che le posti qui Wink

La mia attuale difficoltà sta nella gestione (tramite Captive Portal) degli utenti, ossia avviene la bruttissima cosa che contemporaneamente lo stesso user si può connettere da più macchine ovviamente con più ip diversi....come si può ovviare a ciò?? permettendo ad un utente di potersi connettere solo da una macchina per volta? Rolling Eyes

Inoltre, se l'utente dovesse chiudere la finestrella di connessione non ci sta un modo per disconnetterlo sul serio in seduta stante??
o meglio il minimo configurabile è 1 minuto, non ci sta un modo per far si che se chiude quella finestra è istantaneamente disconnesso??

ancora, per impostare chiavi di criptazione quali ad esempio wpa2, è necessario per forza attivare contemporaneamente anche il Radius??
sapete non avendo schede di rete che supportino il radius, e non avendo un router che supporti il wpa2 volevo sapere se potevo configurare zeroshell solo con il wpa2...è possibile??

grazie per l'attenzione Laughing
Top
Profilo Invia messaggio privato
salvo



Registrato: 06/01/07 15:54
Messaggi: 43

MessaggioInviato: Dom Gen 21, 2007 12:29 pm    Oggetto: Rispondi citando

deduco che alle mia domande non c'è risposta?? Crying or Very sad

Fulvio, almeno tu che qui comandi e ne sai di gran lunga più di noi...
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Mar Gen 23, 2007 7:50 pm    Oggetto: Re: Captive Portal e gestione autenticazione utenti Rispondi citando

salvo ha scritto:

La mia attuale difficoltà sta nella gestione (tramite Captive Portal) degli utenti, ossia avviene la bruttissima cosa che contemporaneamente lo stesso user si può connettere da più macchine ovviamente con più ip diversi....come si può ovviare a ciò?? permettendo ad un utente di potersi connettere solo da una macchina per volta? Rolling Eyes

Molti mi scrivono sottolineando questo problema a cui non avevo pensato. Nella 1.0.beta4 metterò un flag che permetta di configurare se uno stesso utente può loggarsi o meno contemporaneamente su macchine distinte.
salvo ha scritto:

Inoltre, se l'utente dovesse chiudere la finestrella di connessione non ci sta un modo per disconnetterlo sul serio in seduta stante??
o meglio il minimo configurabile è 1 minuto, non ci sta un modo per far si che se chiude quella finestra è istantaneamente disconnesso??

In realtà dovrebbe funzionare proprio come vorresti. Alla chiusura della finestra di controllo, viene intercettato l'evento e viene generato un disconnect automatico (come se premessi il tasto Disconnect). Purtroppo pero', non tutti i browser web intercettano affidabilmente l'evento di chiusura di una finestra e pertanto spesso tale caratteristica non funziona o funziona male. Ci ho perso già parecchio tempo su questa cosa e non ho trovato una soluzione indipendente dal browser, ma in futuro gli darò un altro sguardo.

salvo ha scritto:

ancora, per impostare chiavi di criptazione quali ad esempio wpa2, è necessario per forza attivare contemporaneamente anche il Radius??
sapete non avendo schede di rete che supportino il radius, e non avendo un router che supporti il wpa2 volevo sapere se potevo configurare zeroshell solo con il wpa2...è possibile??

Non è necessario utilizzare RADIUS se utilizzi WPA-PSK, ma in questo caso non ha senso utilizzare neanche ZeroShell come si deduce dalla FAQ
http://www.zeroshell.net/faq/wifi/#wifi.faq8

Ciao e grazie a Salvo per il suo entusiasmo
Fulvio
Top
Profilo Invia messaggio privato
salvo



Registrato: 06/01/07 15:54
Messaggi: 43

MessaggioInviato: Mar Gen 23, 2007 10:32 pm    Oggetto: Rispondi citando

grazie per le risposte, spero di poter provare presto la tua nuova release appena esce...sarò il tuo beta-test! Wink
Top
Profilo Invia messaggio privato
Sergio



Registrato: 08/02/07 11:30
Messaggi: 3

MessaggioInviato: Gio Feb 08, 2007 11:50 am    Oggetto: Rispondi citando

Ciao Fulvio,

innanzitutto complimenti per il tuo lavoro!

Fulvio ha scritto:
Nella 1.0.beta4 metterò un flag che permetta di configurare se uno stesso utente può loggarsi o meno contemporaneamente su macchine distinte.

Tale flag eviterà anche le autenticazioni multiple con le stesse credenziali utilizzando un server RADIUS?

Ciao e grazie
Sergio
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Gio Feb 08, 2007 11:42 pm    Oggetto: Rispondi citando

Il flag riguarderà solo il captive portal. Mentre per il server Radius sarà possibile settare l'attributo Simultaneous-Use che dovrebbe limitare il numero massimo di connessione ad un NAS per singolo utente.
Top
Profilo Invia messaggio privato
stage



Registrato: 08/03/07 13:56
Messaggi: 14

MessaggioInviato: Gio Mar 08, 2007 1:59 pm    Oggetto: Rispondi citando

Ciao sto utilizzando la 1.0 beta4 ma non sono riuscito a trovare il flag che impedisce di utilizzare lo stesso utente su 2 diverse macchine.
Qualcuno puo' dirmi esattamente dove posso trovarlo?Ho navigato tra le impostazione del Captive Portal ma non ho trovato nulla.












Grazie
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Gio Mar 08, 2007 7:31 pm    Oggetto: Rispondi citando

Purtroppo non c'è ancora tale flag.

Fulvio
Top
Profilo Invia messaggio privato
stage



Registrato: 08/03/07 13:56
Messaggi: 14

MessaggioInviato: Ven Mar 09, 2007 11:24 am    Oggetto: Rispondi citando

Ciao la nostra esigenza e' quella di certificare sia gli utenti che l'hardware per garantire l'univocita'.Ho visto che nel setup di kerberos c'e' un flag "require hardware Authentication" e' quello che fa' per me?Ho provato ad evidenziarlo ma successivamente mi ha negato l'accesso e' normale?
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Ven Mar 09, 2007 7:02 pm    Oggetto: Rispondi citando

Il flag require hardware authentication riguarda soltanto Kerberos è fa in modo che il KDC emetta un TGT (Ticket Granting Ticket) solo se l'utente è in grado di dimostrare la sua identità mediante un dispositivo hardware. Il captive portal di zeroshell non è comunque in grado di sfruttare tale caratteristica e pertanto abilitare tale flag non serve a molto.
Ciao
Fulvio
Top
Profilo Invia messaggio privato
stage



Registrato: 08/03/07 13:56
Messaggi: 14

MessaggioInviato: Mar Mar 13, 2007 10:51 am    Oggetto: Rispondi citando

Ciao avevamo creato due user tramite Captive Portal e ieri abbiamo sostituito un pc e relativa scheda ethernet.Il problema e' che con il nuovo pc ci fa entrare lo stesso in internet anche se il MAC address e' cambiato.
E' possibile autorizzare solo una lista di MAC address ben definiti per l'accesso ad Internet?
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Mar Mar 13, 2007 7:41 pm    Oggetto: Rispondi citando

Il captive portal autentica in base alle credenziali utente e non permette di limitare l'accesso in base al MAC address. Tuttavia utilizzando il firewall sulla chain FORWARD puoi elencare i MAC abilitati ad essere forwardati dall'interfaccia protetta dal captive portal all'interfaccia della LAN o WAN.

Ciao
Fulvio
Top
Profilo Invia messaggio privato
stage



Registrato: 08/03/07 13:56
Messaggi: 14

MessaggioInviato: Mer Mar 14, 2007 11:08 am    Oggetto: Rispondi citando

Premetto che non sono molto pratico di regole del Firewall comunque ho inserito questa regola della chain FORWARD del firewall:

1 ETH00 ETH01 ACCEPT all opt -- in ETH00 out ETH01 192.168.0.3 -> 0.0.0.0/0 PHYSDEV match ! --physdev-is-bridged MAC 00:13:D4:02:F9:06 state NEW,ESTABLISHED


DOVE 192.168.0.3 e' il mio ip con il relativo mac address ma non funziona perche' anche altri client(ip e mac diversi)riescono comunque a navigare potresti darmi qualche consiglio?


Scusa l'assillo ma stiamo testando Zeroshell perche' vorremo implementarlo nella nostra rete.



Ciao
Top
Profilo Invia messaggio privato
stage



Registrato: 08/03/07 13:56
Messaggi: 14

MessaggioInviato: Mer Mar 14, 2007 1:58 pm    Oggetto: Rispondi citando

Inoltre ho esigenza di gestire anche LDAP ma nel menu' non sono riuscito a capire dove impostare i permessi per l'accesso ad un servizio .





Potresti aiutarmi?


Grazie poer la collaborazione
Top
Profilo Invia messaggio privato
Giupino



Registrato: 19/01/07 15:54
Messaggi: 21

MessaggioInviato: Gio Mar 15, 2007 2:42 pm    Oggetto: Rispondi citando

ciao. io per fare qualcosa del genere ho adottato questa tecnica.
deny come regola predefinita nella chain Input e regole singole di autorizzazione sui mac address da me scelti.
Penso che lo stesso si può ottenere con la regola che hai impostato tu... solo controlla che di default la Chain FORWARD sia su deny.
Ciao
Top
Profilo Invia messaggio privato MSN
stage



Registrato: 08/03/07 13:56
Messaggi: 14

MessaggioInviato: Gio Mar 15, 2007 5:52 pm    Oggetto: Rispondi citando

Grazie per il suggerimento potresti postare la sintassi completa?
Avevo pensato anche io di droppare le policy dell'INPUT e accettare solo determinati MAC ma devo ancora implementarlo.
Grazie ciao
Top
Profilo Invia messaggio privato
stage



Registrato: 08/03/07 13:56
Messaggi: 14

MessaggioInviato: Gio Mar 15, 2007 6:05 pm    Oggetto: Rispondi citando

Grazie per il suggerimento potresti postare la sintassi completa?
Avevo pensato anche io di droppare le policy dell'INPUT e accettare solo determinati MAC ma devo ancora implementarlo.
Grazie ciao
Top
Profilo Invia messaggio privato
Giupino



Registrato: 19/01/07 15:54
Messaggi: 21

MessaggioInviato: Ven Mar 16, 2007 12:15 pm    Oggetto: Rispondi citando

Guarda ora non ho la macchina a portata di mano... cmq non dovrebbe essere difficile.
vai nelle regole del firewall selezioni la chain input.
Per prima cosa aggiungi una regola che accetta connessioni dal il mac del pc con cui ti colleghi.
Fatto questo selezioni deny di fianco alla chain INPUT.
A questo punto per ogni mac che vuoi autorizzare devi aggiungerlo nelle regole di INPUT.
Scusami se nn posso essere più preciso..
Ciao
Top
Profilo Invia messaggio privato MSN
stage



Registrato: 08/03/07 13:56
Messaggi: 14

MessaggioInviato: Lun Mar 19, 2007 11:28 am    Oggetto: Rispondi citando

Ciao ho provato a mettere la chain INPUT su drop e inserire il Mac da autorizzare ma praticamente non riesco piu' a navigare..


Ti allego la sintassi che ho creato (visto che non sono molto pratico sicuramente ho sbagliato qualcosa):


ACCEPT all opt -- in * out * 0.0.0.0/0 -> 0.0.0.0/0 MAC 00:13:D4:02:F9:07 state NEW
Top
Profilo Invia messaggio privato
Giupino



Registrato: 19/01/07 15:54
Messaggi: 21

MessaggioInviato: Mar Mar 20, 2007 10:04 am    Oggetto: Rispondi citando

ecco quello che ho fatto io...

ACCEPT all opt -- in ETH00 out * 0.0.0.0/0 -> 0.0.0.0/0 MAC 11:22:33:AA:BB:DE

ovviamente se assegni anche un ip univoco ad ogni mac puoi aggiungerlo nella regola.
La tua sintassi mi sembra sbagliata in 2 punti:
1)non gli dici in ingresso a chi... IN ETH00
2)Accetti solo il primo pacchetto che arriva.. cioè quello con flag NEW attivo... tutti gli altri li rifiuti.. (e quindi nn ti funziona più niente Wink)

Ciao
Top
Profilo Invia messaggio privato MSN
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Vai a 1, 2  Successivo
Pagina 1 di 2

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it