Перейти до

Веб-авторизация для Stargazer


Рекомендованные сообщения

Всем привет!

 

Есть небольшая компания, которая хочет контролировать использование интернета своими сотрудниками (~30 пользователей). Авторизация пользователей по IP/MAC ненадежна. Поднятие PPPoE приведет к трудностям как для пользователей (надо "подключать" интернет), так и для админа (шлюз по умолчанию для пользователей после подключения PPPoE изменится и трафик пойдет через него => на сервере придется специальным образом обрабатывать доступ к внутренним ресурсам). squid-авторизация решает вопрос только для http-трафика и только если squid непрозрачный (а непрозрачный squid опять же геморрой для пользователей). Поэтому есть мысль использовать веб-авторизацию.

Значит идея следующая. Пишем для Stargazer новый модуль авторизации, который содержит в себе свой маленький https-сервер. Неавторизованный пользователь заходит на этот https-сервер и вводит там логин/пароль. Плагин аутентифицирует пользователя, и у последнего появляется интернет. Разлогинится можно на той же странице. Кроме того, после авторизации плагин помещает пользователя в специальный список и начинает следить за количетством потребляемого пользователем трафика. Если за последние N минут пользователь не потребил ни одного байта трафика, происходит автоматическое разлогинивание.

 

На шлюзе при этом настроен автоматический редирект неавторизованных пользователей, которые ломятся на любой 80-й порт, на эту страницу авторизации. В итоге для пользователей никаких дополнительных настроек - захотел в инет, заходишь на сайт, тебя редиректит на страницу логина, логинишься там, тебя редиректит обратно на сайт.

 

Я было собрался всё это запилить, но у меня странное ощущение, что задача-то вобщем не новая. Может быть есть какие-то типовые решения на этот счет?

Ссылка на сообщение
Поделиться на других сайтах

Поднятие PPPoE приведет к трудностям как для пользователей (надо "подключать" интернет)

 

Пишем для Stargazer новый модуль авторизации

вы не логичны

Ссылка на сообщение
Поделиться на других сайтах

Всем привет!

 

Есть небольшая компания, которая хочет контролировать использование интернета своими сотрудниками (~30 пользователей). Авторизация пользователей по IP/MAC ненадежна.

у вас там корпорация хакеров которая ради пары лишних байт полезет менять себе мак ?:) Или чем она ненадёжна ?

Ссылка на сообщение
Поделиться на других сайтах

Captive portal в общем вы хотите. Круто че.

Несмотря на странноватую мотивацию про 30 юзеров и офисную сеть - идея вполне хорошая и будет востребована, хотя немного в другом ключе. Не так давно, чисто из интереса пилил такое на pfsense + radius - но работает на практике, это мягко говоря странновато. Свое родное - было бы на порядок круче и не требовало бы двух раздельных тазов.

 

P.S. а почему именно свой вебсервер тащить? Можно же сделать обертку над урезанным консольным авторизатором - это должно на порядок упростить реализацию, не?

Відредаговано nightfly
Ссылка на сообщение
Поделиться на других сайтах
. А авторизацией можно рулить через Always Online.

Какраз нехорошо, ибо насколько помню auth_ao не совместим с айпишками в виде *, или через запятую. Там по духу однозначно auth_ia в контексте хотспото-образности ближе.

Відредаговано nightfly
Ссылка на сообщение
Поделиться на других сайтах

 

 

Так можно ж предварительно конфигуратором пнуть чтобы айпиху запилить.

Ну да, это было бы вполне извращением в моем стиле :)

Ссылка на сообщение
Поделиться на других сайтах

Сердечно благодарю за мнения!

 

Я таки почти одумался и вернулся к рассмотрению варианта с привязкой IP/MAC.

 

аторизатор старгейзера не канает ?

Авторизатор старгейзера хорош, но опять же дополнительное ПО на конечных машинах.

 

Пропишите каждому пользователю МАК на порту свича. Или используйте opt82.

+, но по условиям задачи у нас неизвестно какие свичи.

 

Captive portal в общем вы хотите. Круто че.

ВО! Я теперь знаю, по какому слову гуглить. Спасибо! :)

 

P.S. а почему именно свой вебсервер тащить? Можно же сделать обертку над урезанным консольным авторизатором - это должно на порядок упростить реализацию, не?

+, а ещё я внезапно вспомнил про CGI.

Но вообще изначально хотел заюзать вот это: https://www.gnu.org/software/libmicrohttpd/Вроде как раз для этих целей. Не C++ правда, но.

 

Плюсану по поводу внешнего веб-сервера. А авторизацией можно рулить через Always Online.

Always online как-раз не очень по причинам, озвученным нашим пытателем единорогов. :)
Ссылка на сообщение
Поделиться на других сайтах
  • 3 months later...

не понимаю, почему так много критики

у меня уже несколько лет сделано так:

есть "небольшой веб-сервер" на перле, который сидит на 81 порту. для неавторизированных пользователей - редирект с 80 и 443 порта на 81

веб сервер отдает одну страничку: введите имя-пароль и "включен постоянно"

если "включен постоянно", то запоминаем ИП+МАК и в дальнейшем веб-сервер при появлении трафика от абона автоматом включает его

по крону периодически проверяю трафик абона, если долгий простой - то выключаем через sgconf

вначале пробовал динамические адреса: устанавливал ИП перед включением, потом остановился на статических

 

работает - проблем особых нет

сеть: 1,5к абонов

Ссылка на сообщение
Поделиться на других сайтах
не понимаю, почему так много критики

Позырил в календарик, и О УЖАС - 2015-й год на дворе. Давно существуют более приемлемые и вменяемые способы ААА для абонентов.

Кэптив обертки имеют смысл только в вот таких вот публично-офисно-хотспотных решениях, ну или где динамикой сильно пахнет.

 

 

 

по крону периодически проверяю трафик абона, если долгий простой - то выключаем через sgconf

Сами догадаетесь, почему это стремота-стремная, или намекнуть?

 

 

работает - проблем особых нет

сеть: 1,5к абонов

Я не знаю что можно сделать, при таком размере абонбазы, чтобы что-то не работало.

Відредаговано nightfly
Ссылка на сообщение
Поделиться на других сайтах

...

работает - проблем особых нет

сеть: 1,5к абонов

Ad-hoc решения всегда для кого-то работают. А представьте что у вас 10 сетей в пяти городах и трех странах, физики/юрики, схемы тарификации разные...
Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

  • Схожий контент

    • Від ppv
      Потрібно було витерти одну мережу, всі абоненти з неї були перенесені в іншу. Але світить що 6 IP зайняті, хоча вона повністю вільна.
       
      ID    Мережа/CID           RВсього IP        Використано IP ▾           Вільно IPСервіс
      6      172.16.70.0/23        506                    6                                       500
       
      Підкажіть як правильно це підчистити щоб видалити мережу.
    • Від ppv
      Проглянув FAQ і Ubilling Wiki. Зацікавило питання чи є в Ubilling якась реалізація reCAPTCHA, чи потрібно додавати руцями, (для прикладу для форми подачі заявок чи для кабінету користувача)?
       
    • Від Keen
      Пару дней назад под юзером админ пропал вход через stargazer configurator.
      Начало писать Invalid password. Хотя пароль не меняли.
      Ессно через ubilling тоже вход слетел. Просто обновляется на страницу входа.
      Решил ребутнуть старгейзер, т.к. в папке admins файлы не менялись с 2011г и по бекапам хеш паролей сходится.  Затупил уже мускул база, а не файловая.
      Теперь выдает recv data answer error
      в логах:
      2023-06-07 13:23:02 -- Admin's connect failed. IP 192.168.0.14
      2023-06-07 13:26:24 -- Shutting down... 15
      2023-06-07 13:26:24 -- +++++++++++++++++++++++++++++++++++++++++++++
      2023-06-07 13:26:30 -- Module: 'Stargazer RPC v. 0.2'. Stop successfull.
      2023-06-07 13:26:30 -- Module: 'Stg configurator v.0.08'. Stop successfull.
      2023-06-07 13:26:31 -- Module: 'Pinger v.1.01'. Stop successfull.
      2023-06-07 13:26:33 -- Module: 'Always Online authorizator v.1.0'. Stop successfull.
      2023-06-07 13:26:34 -- Module: 'InetAccess authorization plugin v.1.4'. Stop successfull.
      2023-06-07 13:26:34 -- Module: 'Ether_cap v.1.2'. Stop successfull.
      2023-06-07 13:26:34 -- Traffcounter: Stop successfull.
      2023-06-07 13:26:35 -- Users: Stop successfull.
      2023-06-07 13:26:36 -- Queue removed successfully.
      2023-06-07 13:26:36 -- StgTimer: Stop successfull.
      2023-06-07 13:26:36 -- Stg stopped successfully.
      2023-06-07 13:26:36 -- ---------------------------------------------
      2023-06-07 13:27:20 -- Stg v. 2.407-p1
      2023-06-07 13:27:20 -- Message queue created successfully. msgKey=5555 msgID=32768
      2023-06-07 13:27:20 -- Timer thread started successfully.
      2023-06-07 13:27:20 -- Storage plugin: mysql_store v.0.67. Loading successfull.
      2023-06-07 13:27:20 -- Error in parameter password
      2023-06-07 13:27:21 -- Users started successfully.
      2023-06-07 13:27:21 -- Traffcounter started successfully.
      2023-06-07 13:27:21 -- Module: 'Ether_cap v.1.2'. Start successfull.
      2023-06-07 13:27:21 -- Module: 'InetAccess authorization plugin v.1.4'. Start successfull.
      2023-06-07 13:27:24 -- Module: 'Always Online authorizator v.1.0'. Start successfull.
      2023-06-07 13:27:24 -- Module: 'Pinger v.1.01'. Start successfull.
      2023-06-07 13:27:24 -- Module: 'Stargazer RPC v. 0.2'. Start successfull.
      2023-06-07 13:27:24 -- Module: 'Stg configurator v.0.08'. Start successfull.
      2023-06-07 13:27:24 -- Stg started successfully.
      2023-06-07 13:27:24 -- +++++++++++++++++++++++++++++++++++++++++++++
      2023-06-07 13:27:43 -- Invalid configuration request
       
      Если через stg configurator (windows) зайти под юзером касира - конфигуратор виснет намертво..
      При этом через юбиллинг доступ есть и линуховый sgconfig под касиром все обрабатывает
      Пните, где копать?
       
    • Від ppv
      Доброго дня, не працює примусовий опит OLT. Якщо оновлювати дані для даного ОЛТ то все норм. Була версія білінгу 1.3.3, вчора оновив до 1.3.6 нічого не змінилось.
      Чи може я щось пропустив в оновленях що треба було доналаштувати? Підкажіть будь ласка, хочу знати на що звернути увагу.
      Через крон теж не згрібає сигнали, хоча бачу регламенти проходять. Олт BDCOM різного типу.
      До білінгу давно не дивився, незнаю точно коли проблема появилась.
    • Від ppv
      Цікаво а чи реально, реалізація кучаген, тип підключення pppoe, nas на різних іп. Але якщо брати з одного пулу іп абонентам. Розумію що збочена реалізація але цікаво все ж).
×
×
  • Створити нове...