Перейти к содержимому

DeepNet

ASP24.com.ua - Модули для приёма/передачи сигнала в оптических телекоммуникационных сетях. Звоните! 098-896-6219
Фото

Веб-авторизация для Stargazer

веб авторизация stargazer

  • Чтобы отвечать, сперва войдите на форум
13 ответов в теме

#1 Alexey Osipov

Alexey Osipov

    Точу Зубы

  • Сitizens
  • ФишкаФишкаФишка
  • 178 Сообщений:
  • Пол:Мужчина

Опубликовано 22 Март 2015 - 07:06

Всем привет!

 

Есть небольшая компания, которая хочет контролировать использование интернета своими сотрудниками (~30 пользователей). Авторизация пользователей по IP/MAC ненадежна. Поднятие PPPoE приведет к трудностям как для пользователей (надо "подключать" интернет), так и для админа (шлюз по умолчанию для пользователей после подключения PPPoE изменится и трафик пойдет через него => на сервере придется специальным образом обрабатывать доступ к внутренним ресурсам). squid-авторизация решает вопрос только для http-трафика и только если squid непрозрачный (а непрозрачный squid опять же геморрой для пользователей). Поэтому есть мысль использовать веб-авторизацию.

Значит идея следующая. Пишем для Stargazer новый модуль авторизации, который содержит в себе свой маленький https-сервер. Неавторизованный пользователь заходит на этот https-сервер и вводит там логин/пароль. Плагин аутентифицирует пользователя, и у последнего появляется интернет. Разлогинится можно на той же странице. Кроме того, после авторизации плагин помещает пользователя в специальный список и начинает следить за количетством потребляемого пользователем трафика. Если за последние N минут пользователь не потребил ни одного байта трафика, происходит автоматическое разлогинивание.

 

На шлюзе при этом настроен автоматический редирект неавторизованных пользователей, которые ломятся на любой 80-й порт, на эту страницу авторизации. В итоге для пользователей никаких дополнительных настроек - захотел в инет, заходишь на сайт, тебя редиректит на страницу логина, логинишься там, тебя редиректит обратно на сайт.

 

Я было собрался всё это запилить, но у меня странное ощущение, что задача-то вобщем не новая. Может быть есть какие-то типовые решения на этот счет?

NoviTrade

  • 0

LanTorg.com

#2 SevenPlus

SevenPlus

    Первая Кровь

  • Маглы
  • ФишкаФишка
  • 84 Сообщений:

Опубликовано 22 Март 2015 - 10:20

аторизатор старгейзера не канает ?


  • 0

#3 SevenPlus

SevenPlus

    Первая Кровь

  • Маглы
  • ФишкаФишка
  • 84 Сообщений:

Опубликовано 22 Март 2015 - 10:22

Поднятие PPPoE приведет к трудностям как для пользователей (надо "подключать" интернет)

 

Пишем для Stargazer новый модуль авторизации

вы не логичны


  • 0

NG Optics

#4 SevenPlus

SevenPlus

    Первая Кровь

  • Маглы
  • ФишкаФишка
  • 84 Сообщений:

Опубликовано 22 Март 2015 - 10:24

Всем привет!

 

Есть небольшая компания, которая хочет контролировать использование интернета своими сотрудниками (~30 пользователей). Авторизация пользователей по IP/MAC ненадежна.

у вас там корпорация хакеров которая ради пары лишних байт полезет менять себе мак ?:) Или чем она ненадёжна ?


  • 0

#5 masters

masters

    Вампиреныш

  • Сitizens
  • ФишкаФишкаФишкаФишкаФишка
  • 987 Сообщений:
  • Пол:Мужчина

Опубликовано 22 Март 2015 - 10:34

Пропишите каждому пользователю МАК на порту свича. Или используйте opt82.
  • 0

#6 nightfly

nightfly

    Дьявол

  • Сitizens
  • ФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишка
  • 4 378 Сообщений:
  • Пол:Мужчина
  • Город:wild west

Опубликовано 22 Март 2015 - 11:32

Captive portal в общем вы хотите. Круто че.
Несмотря на странноватую мотивацию про 30 юзеров и офисную сеть - идея вполне хорошая и будет востребована, хотя немного в другом ключе. Не так давно, чисто из интереса пилил такое на pfsense + radius - но работает на практике, это мягко говоря странновато. Свое родное - было бы на порядок круче и не требовало бы двух раздельных тазов.

P.S. а почему именно свой вебсервер тащить? Можно же сделать обертку над урезанным консольным авторизатором - это должно на порядок упростить реализацию, не?

Изменено: nightfly, 22 Март 2015 - 11:42

  • 0

Причинять добро и наносить справедливость | Ubilling - резня в дельфинарии, бобры негодуют | Шапочки из фольги оптом.


#7 madf

madf

    Дьявол

  • Сitizens
  • ФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишка
  • 4 075 Сообщений:
  • Пол:Мужчина
  • Город:Дніпро

Опубликовано 22 Март 2015 - 14:04

Плюсану по поводу внешнего веб-сервера. А авторизацией можно рулить через Always Online.
  • 0

#8 nightfly

nightfly

    Дьявол

  • Сitizens
  • ФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишка
  • 4 378 Сообщений:
  • Пол:Мужчина
  • Город:wild west

Опубликовано 22 Март 2015 - 15:18

. А авторизацией можно рулить через Always Online.

Какраз нехорошо, ибо насколько помню auth_ao не совместим с айпишками в виде *, или через запятую. Там по духу однозначно auth_ia в контексте хотспото-образности ближе.


Изменено: nightfly, 22 Март 2015 - 15:19

  • 0

Причинять добро и наносить справедливость | Ubilling - резня в дельфинарии, бобры негодуют | Шапочки из фольги оптом.


#9 madf

madf

    Дьявол

  • Сitizens
  • ФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишка
  • 4 075 Сообщений:
  • Пол:Мужчина
  • Город:Дніпро

Опубликовано 23 Март 2015 - 08:05

Так можно ж предварительно конфигуратором пнуть чтобы айпиху запилить.
  • 0

#10 nightfly

nightfly

    Дьявол

  • Сitizens
  • ФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишка
  • 4 378 Сообщений:
  • Пол:Мужчина
  • Город:wild west

Опубликовано 23 Март 2015 - 08:34

Так можно ж предварительно конфигуратором пнуть чтобы айпиху запилить.

Ну да, это было бы вполне извращением в моем стиле :)


  • 0

Причинять добро и наносить справедливость | Ubilling - резня в дельфинарии, бобры негодуют | Шапочки из фольги оптом.


#11 Alexey Osipov

Alexey Osipov

    Точу Зубы

  • Сitizens
  • ФишкаФишкаФишка
  • 178 Сообщений:
  • Пол:Мужчина

Опубликовано 25 Март 2015 - 19:39

Сердечно благодарю за мнения!

Я таки почти одумался и вернулся к рассмотрению варианта с привязкой IP/MAC.

аторизатор старгейзера не канает ?

Авторизатор старгейзера хорош, но опять же дополнительное ПО на конечных машинах.

Пропишите каждому пользователю МАК на порту свича. Или используйте opt82.

+, но по условиям задачи у нас неизвестно какие свичи.
 

Captive portal в общем вы хотите. Круто че.

ВО! Я теперь знаю, по какому слову гуглить. Спасибо! :)

P.S. а почему именно свой вебсервер тащить? Можно же сделать обертку над урезанным консольным авторизатором - это должно на порядок упростить реализацию, не?

+, а ещё я внезапно вспомнил про CGI.
Но вообще изначально хотел заюзать вот это: https://www.gnu.org/.../libmicrohttpd/Вроде как раз для этих целей. Не C++ правда, но.
 

Плюсану по поводу внешнего веб-сервера. А авторизацией можно рулить через Always Online.

Always online как-раз не очень по причинам, озвученным нашим пытателем единорогов. :)
  • 0

#12 dummy

dummy

    Точу Зубы

  • Сitizens
  • ФишкаФишкаФишка
  • 252 Сообщений:

Опубликовано 10 Июль 2015 - 12:50

не понимаю, почему так много критики

у меня уже несколько лет сделано так:

есть "небольшой веб-сервер" на перле, который сидит на 81 порту. для неавторизированных пользователей - редирект с 80 и 443 порта на 81

веб сервер отдает одну страничку: введите имя-пароль и "включен постоянно"

если "включен постоянно", то запоминаем ИП+МАК и в дальнейшем веб-сервер при появлении трафика от абона автоматом включает его

по крону периодически проверяю трафик абона, если долгий простой - то выключаем через sgconf

вначале пробовал динамические адреса: устанавливал ИП перед включением, потом остановился на статических

 

работает - проблем особых нет

сеть: 1,5к абонов


  • 0

#13 nightfly

nightfly

    Дьявол

  • Сitizens
  • ФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишка
  • 4 378 Сообщений:
  • Пол:Мужчина
  • Город:wild west

Опубликовано 10 Июль 2015 - 13:24

не понимаю, почему так много критики

Позырил в календарик, и О УЖАС - 2015-й год на дворе. Давно существуют более приемлемые и вменяемые способы ААА для абонентов.

Кэптив обертки имеют смысл только в вот таких вот публично-офисно-хотспотных решениях, ну или где динамикой сильно пахнет.

 

 

 

по крону периодически проверяю трафик абона, если долгий простой - то выключаем через sgconf

Сами догадаетесь, почему это стремота-стремная, или намекнуть?

 

 

работает - проблем особых нет

сеть: 1,5к абонов

Я не знаю что можно сделать, при таком размере абонбазы, чтобы что-то не работало.


Изменено: nightfly, 10 Июль 2015 - 13:25

  • 0

Причинять добро и наносить справедливость | Ubilling - резня в дельфинарии, бобры негодуют | Шапочки из фольги оптом.


#14 madf

madf

    Дьявол

  • Сitizens
  • ФишкаФишкаФишкаФишкаФишкаФишкаФишкаФишка
  • 4 075 Сообщений:
  • Пол:Мужчина
  • Город:Дніпро

Опубликовано 11 Июль 2015 - 13:29

...
работает - проблем особых нет
сеть: 1,5к абонов

Ad-hoc решения всегда для кого-то работают. А представьте что у вас 10 сетей в пяти городах и трех странах, физики/юрики, схемы тарификации разные...
  • 0





Также с меткой «веб авторизация, stargazer»

0 пользователей читают эту тему

0 members, 0 guests, 0 anonymous users

Local.blog МЕТА - Украина