* [Sysadmins] Radius: привязка пользователя к клиенту
@ 2011-09-09 7:23 Michael A. Kangin
2011-09-09 7:35 ` Alexei Takaseev
` (2 more replies)
0 siblings, 3 replies; 7+ messages in thread
From: Michael A. Kangin @ 2011-09-09 7:23 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
Добрый день.
Есть радиус-сервер (freeradius).
Есть несколько серверов без возможностей дополнительных настроек, каждый
выступает как отдельный клиент.
Есть многопользователей, некоторым нужен доступ на все сервера, а
некоторым - только на какие-то.
При попытке входа пользователя на сервер я вижу только такую информацию
у радиус-сервера:
rad_recv: Access-Request packet from host 192.168.2.2 port 1257, id=131,
length=84
User-Name = "user1"
User-Password = "mypassword"
NAS-IP-Address = 127.0.0.1
NAS-Identifier = "webauthradius"
NAS-Port = 232
NAS-Port-Type = Virtual
Service-Type = Authenticate-Only
т.е. сервера отличаются только хостом, с которого идёт запрос, а все
AV-пары одинаковые.
Можно как-нибудь в таких условиях сделать так, чтобы какой-то
пользователь мог входить только с определенного сервера (клиента)?
--
Michael A. Kangin
^ permalink raw reply [flat|nested] 7+ messages in thread* Re: [Sysadmins] Radius: привязка пользователя к клиенту
2011-09-09 7:23 [Sysadmins] Radius: привязка пользователя к клиенту Michael A. Kangin
@ 2011-09-09 7:35 ` Alexei Takaseev
2011-09-09 7:42 ` Michael A. Kangin
2011-09-09 7:45 ` Sergey
2011-09-19 18:04 ` Михаил Плужников
2 siblings, 1 reply; 7+ messages in thread
From: Alexei Takaseev @ 2011-09-09 7:35 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
----- Исходное сообщение -----
> От: "Michael A. Kangin" <mak@complife.ru>
> Кому: "ALT Linux sysadmins' discussion" <sysadmins@lists.altlinux.org>
> Отправленные: Пятница, 9 Сентябрь 2011 г 16:23:52
> Тема: [Sysadmins] Radius: привязка пользователя к клиенту
>
> Добрый день.
>
> Есть радиус-сервер (freeradius).
> Есть несколько серверов без возможностей дополнительных настроек,
> каждый
> выступает как отдельный клиент.
> Есть многопользователей, некоторым нужен доступ на все сервера, а
> некоторым - только на какие-то.
>
> При попытке входа пользователя на сервер я вижу только такую
> информацию
> у радиус-сервера:
> rad_recv: Access-Request packet from host 192.168.2.2 port 1257,
> id=131,
> length=84
> User-Name = "user1"
> User-Password = "mypassword"
> NAS-IP-Address = 127.0.0.1
> NAS-Identifier = "webauthradius"
> NAS-Port = 232
> NAS-Port-Type = Virtual
> Service-Type = Authenticate-Only
>
> т.е. сервера отличаются только хостом, с которого идёт запрос, а все
> AV-пары одинаковые.
>
> Можно как-нибудь в таких условиях сделать так, чтобы какой-то
> пользователь мог входить только с определенного сервера (клиента)?
по-идее через huntgroups можно сделать привязку по адресам NAS'ов, а потом уже с этими группами делать все, что захочется
^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [Sysadmins] Radius: привязка пользователя к клиенту
2011-09-09 7:35 ` Alexei Takaseev
@ 2011-09-09 7:42 ` Michael A. Kangin
2011-09-09 7:54 ` Sergey
0 siblings, 1 reply; 7+ messages in thread
From: Michael A. Kangin @ 2011-09-09 7:42 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
09.09.2011 11:35, Alexei Takaseev пишет:
>> rad_recv: Access-Request packet from host 192.168.2.2 port 1257,
>> id=131, length=84
...
>> NAS-IP-Address = 127.0.0.1
...
>> т.е. сервера отличаются только хостом, с которого идёт запрос, а все
>> AV-пары одинаковые.
>>
>> Можно как-нибудь в таких условиях сделать так, чтобы какой-то
>> пользователь мог входить только с определенного сервера (клиента)?
>
> по-идее через huntgroups можно сделать привязку по адресам NAS'ов, а потом уже с этими группами делать все, что захочется
А то, что все эти NASы представляются адресом 127.0.0.1, не помешает
привязке?
А реальный адрес виден только в отладочной строке подключения, и
значением атрибута, судя по всему, не является...
--
Michael A. Kangin
^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [Sysadmins] Radius: привязка пользователя к клиенту
2011-09-09 7:42 ` Michael A. Kangin
@ 2011-09-09 7:54 ` Sergey
2011-09-09 14:03 ` Michael A. Kangin
0 siblings, 1 reply; 7+ messages in thread
From: Sergey @ 2011-09-09 7:54 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
On Friday, September 09, 2011, Michael A. Kangin wrote:
> А то, что все эти NASы представляются адресом 127.0.0.1, не помешает
> привязке?
Хм. А вот это неправильно. Почему они так представляются ? Вообще, по
идее, NAS-IP-Address должен формироваться Radius-сервером, а IP браться
из прилетающего пакета...
--
С уважением, Сергей
a_s_y@sama.ru
^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [Sysadmins] Radius: привязка пользователя к клиенту
2011-09-09 7:54 ` Sergey
@ 2011-09-09 14:03 ` Michael A. Kangin
0 siblings, 0 replies; 7+ messages in thread
From: Michael A. Kangin @ 2011-09-09 14:03 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
09.09.2011 11:54, Sergey пишет:
>> А то, что все эти NASы представляются адресом 127.0.0.1, не помешает
>> привязке?
>
> Хм. А вот это неправильно. Почему они так представляются ?
Потому что козлы^W тупые уроды^W^W криворукие проприетарщики.
> Вообще, по
> идее, NAS-IP-Address должен формироваться Radius-сервером, а IP браться
> из прилетающего пакета...
Нет, NAS-IP-Address шлётся радиус-клиентом.
------<rfc2865>-----
Either NAS-IP-Address or NAS-Identifier MUST be present in an
Access-Request packet.
--------------------
Но меня спас виртуальный атрибут Packet-Src-IP-Address.
--
Michael A. Kangin
^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [Sysadmins] Radius: привязка пользователя к клиенту
2011-09-09 7:23 [Sysadmins] Radius: привязка пользователя к клиенту Michael A. Kangin
2011-09-09 7:35 ` Alexei Takaseev
@ 2011-09-09 7:45 ` Sergey
2011-09-19 18:04 ` Михаил Плужников
2 siblings, 0 replies; 7+ messages in thread
From: Sergey @ 2011-09-09 7:45 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
On Friday, September 09, 2011, Michael A. Kangin wrote:
> Можно как-нибудь в таких условиях сделать так, чтобы какой-то
> пользователь мог входить только с определенного сервера (клиента)?
Можно. Например, если авторизация через SQL, то в SQL-запросе можно
использовать любые параметры. Точных советов не дам, я FreeRadius один
раз смотрел, но принципиальных ограничений не увидел с этой стороны.
--
С уважением, Сергей
a_s_y@sama.ru
^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [Sysadmins] Radius: привязка пользователя к клиенту
2011-09-09 7:23 [Sysadmins] Radius: привязка пользователя к клиенту Michael A. Kangin
2011-09-09 7:35 ` Alexei Takaseev
2011-09-09 7:45 ` Sergey
@ 2011-09-19 18:04 ` Михаил Плужников
2 siblings, 0 replies; 7+ messages in thread
From: Михаил Плужников @ 2011-09-19 18:04 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
В сообщении от 9 сентября 2011 11:23:52 автор Michael A. Kangin написал:
> Добрый день.
>
> Есть радиус-сервер (freeradius).
> Есть несколько серверов без возможностей дополнительных настроек, каждый
> выступает как отдельный клиент.
> Есть многопользователей, некоторым нужен доступ на все сервера, а
> некоторым - только на какие-то.
>
> При попытке входа пользователя на сервер я вижу только такую информацию
> у радиус-сервера:
> rad_recv: Access-Request packet from host 192.168.2.2 port 1257, id=131,
> length=84
> User-Name = "user1"
> User-Password = "mypassword"
> NAS-IP-Address = 127.0.0.1
> NAS-Identifier = "webauthradius"
> NAS-Port = 232
> NAS-Port-Type = Virtual
> Service-Type = Authenticate-Only
>
> т.е. сервера отличаются только хостом, с которого идёт запрос, а все
> AV-пары одинаковые.
>
> Можно как-нибудь в таких условиях сделать так, чтобы какой-то
> пользователь мог входить только с определенного сервера (клиента)?
Добейтесь так, что бы можно было хотябы указать для каждого сервера свой уникальный NAS.
Вы у автомобиля колёса открутите и спросите можно ли не прикручивая их обратно
использовать как средство передвижения.
Вы сами подуймайте, в таких условиях вы только и сможете надеяться на IP NAS-а. Этого мало
и не надёжно.
^ permalink raw reply [flat|nested] 7+ messages in thread
end of thread, other threads:[~2011-09-19 18:04 UTC | newest]
Thread overview: 7+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2011-09-09 7:23 [Sysadmins] Radius: привязка пользователя к клиенту Michael A. Kangin
2011-09-09 7:35 ` Alexei Takaseev
2011-09-09 7:42 ` Michael A. Kangin
2011-09-09 7:54 ` Sergey
2011-09-09 14:03 ` Michael A. Kangin
2011-09-09 7:45 ` Sergey
2011-09-19 18:04 ` Михаил Плужников
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git