система аутентификации пользователей

нужна такая штука: пользователи подключатся к сети и когда пытаются кудато выйти(по http) их редиректит на страницу с предложением ввести логин пароль. Для авторизации используется радиус(который находится на другом сервере). После авторизации пользователям даётся доступ в нет, и не только по http но и вообще для любого трафика, такчто прокси тут не поставить.

Как я вижу решение:
пользовательские запросы перехватывать фаерволом и редиректить на http сервер с формой авторизации. Из формы дёргать радиус и в случае удачи изменять правила фаервола чтоб он пускал пользователей. но как-то костылясто и наверняка есть готовое решение, я просто не знаю как называется то что я хочу и что вообще гуглить.

нужна такая штука:

нужна такая штука: пользователи подключатся к сети и когда пытаются кудато выйти(по http) их редиректит на страницу с предложением ввести логин пароль.

может ну его этот редирект и всякий http ?
Упростите : пользователи подключатся к сети и для получения __езрнета__ вводят пароль ? :)
Может таки просто 802.1x ?

P.S man :


ctrl_interface=DIR=/var/run/wpa_supplicant GROUP=wheel
          ap_scan=0
          network={
               key_mgmt=IEEE8021X
               eap=MD5
               identity="user"
               password="password"
               eapol_flags=0
          }

радиус оно тоже умеет :)

Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)

рекомендую поискать на тему

рекомендую поискать на тему abills + VPN + radius + mysql или аналогичные решения.

Нет, нужно именно редиректить

Нет, нужно именно редиректить на форму для логина.
То что вы предложили это только для wifi? оно потребует каких-то настроек у пользователей?

Кажеться пахнет булочками ...

lexa_ написал(а): То что вы

lexa_ написал(а):
То что вы предложили это только для wifi? оно потребует каких-то настроек у пользователей?

нет, для проводного эзернета.
Да, потребует - в Линухе побольше, в винде искаропки все есть..
настройка только 1 раз ( пароль или сертификат).

П.С Радиус вам все равно подымать рано или поздно прийдется

Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)

Радиус есть, но хочется чтоб

Радиус есть, но хочется чтоб для пользователей это происходило с минимальными настройками, те пользователи подключаются к открытому wifi, вводят логин пароль в форме и тогда им дают доступ в нет.

Кажеться пахнет булочками ...

Из опыта

Я когда-то админил такой сетью, где было сделано так:
Все усеры были в cisco врублены. Свитчи подрублены к VMPS тот знал все маки и кидал людей в один vlan, кого не знал в другой.
В том с незнакомыми на гейтвее был DNAT всех пакетов с dport 80 на мой апач где был vhost *:80 оттуда на 443. Дальше вебпейдж с авторизатором, если авторизировался, то твой мак писался в базу, из которой генерился конфиг для vmps. Vmps закидывал уже знакомый мак в дургой vlan где был нормальный гейтвей. И все по-человечески.

Если нет сисек и vpms'а то можно просто усерям в разных сетях адреса(речь про IP и mask) раздавать через dhcp. Тем кого знаешь в одной, тем кого не знаешь в другой.

Настройки просмотра комментариев

Выберите нужный метод показа комментариев и нажмите "Сохранить установки".