система аутентификации пользователей
lexa_ 15 апреля, 2010 - 19:25
нужна такая штука: пользователи подключатся к сети и когда пытаются кудато выйти(по http) их редиректит на страницу с предложением ввести логин пароль. Для авторизации используется радиус(который находится на другом сервере). После авторизации пользователям даётся доступ в нет, и не только по http но и вообще для любого трафика, такчто прокси тут не поставить.
Как я вижу решение:
пользовательские запросы перехватывать фаерволом и редиректить на http сервер с формой авторизации. Из формы дёргать радиус и в случае удачи изменять правила фаервола чтоб он пускал пользователей. но как-то костылясто и наверняка есть готовое решение, я просто не знаю как называется то что я хочу и что вообще гуглить.
»
- Для комментирования войдите или зарегистрируйтесь
нужна такая штука:
может ну его этот редирект и всякий http ?
Упростите : пользователи подключатся к сети и для получения __езрнета__ вводят пароль ? :)
Может таки просто 802.1x ?
P.S man :
радиус оно тоже умеет :)
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
рекомендую поискать на тему
рекомендую поискать на тему abills + VPN + radius + mysql или аналогичные решения.
Нет, нужно именно редиректить
Нет, нужно именно редиректить на форму для логина.
То что вы предложили это только для wifi? оно потребует каких-то настроек у пользователей?
Кажеться пахнет булочками ...
lexa_ написал(а): То что вы
нет, для проводного эзернета.
Да, потребует - в Линухе побольше, в винде искаропки все есть..
настройка только 1 раз ( пароль или сертификат).
П.С Радиус вам все равно подымать рано или поздно прийдется
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
Радиус есть, но хочется чтоб
Радиус есть, но хочется чтоб для пользователей это происходило с минимальными настройками, те пользователи подключаются к открытому wifi, вводят логин пароль в форме и тогда им дают доступ в нет.
Кажеться пахнет булочками ...
Из опыта
Я когда-то админил такой сетью, где было сделано так:
Все усеры были в cisco врублены. Свитчи подрублены к VMPS тот знал все маки и кидал людей в один vlan, кого не знал в другой.
В том с незнакомыми на гейтвее был DNAT всех пакетов с dport 80 на мой апач где был vhost *:80 оттуда на 443. Дальше вебпейдж с авторизатором, если авторизировался, то твой мак писался в базу, из которой генерился конфиг для vmps. Vmps закидывал уже знакомый мак в дургой vlan где был нормальный гейтвей. И все по-человечески.
Если нет сисек и vpms'а то можно просто усерям в разных сетях адреса(речь про IP и mask) раздавать через dhcp. Тем кого знаешь в одной, тем кого не знаешь в другой.