LINUX.ORG.RU

Squid + freeradius + mysql


0

1

Есть собственно сабжевая связка. Всё авторизуется, работает, но по одному логину\паролю юзер может логинится одновременно с нескольких ПК. Если сделать авторизацию через nsca или pam ситуация такая же.

Собственно вопрос. Я что-то упустил, или уменякривыеруки^Wзабыл?


Ответ на: комментарий от berrywizard

Не очень удобно то, что один пользователь имея один логин\пароль, может дать его ещё кому-то и они оба одновременно могут под ними «сидеть». Т.е. допустим, я нахожусь за одним ПК, отхожу в к другому, ввожу такие же логин\пароль и на нём тоже авторизация проходит. Т.е. одновременно одну пару логин\пароль можно использовать на каком угодно количестве ПК.

bosha ()
Ответ на: комментарий от bosha

можно через iptables привяязать мак к айпи адресу и выбросить юзернэйм авторихацию.

alikhantara ()
Ответ на: комментарий от bosha

1) Лимит на трафик на пользователя. Отбивает желание делиться логином, но вариант так себе.

2) Авторизация по IP. Вариант тоже не совсем, так как тогда надо как-то прибивать гвоздями рабочее место к пользователю.

3) Использовать какие-либо авторизационные токены. Вопрос также на 100% не решит, токен можно одолжить.

В общем случае, проблема организационная, и решать её нужно организационно.

berrywizard ★★★★★ ()
Ответ на: комментарий от berrywizard

>1) Лимит на трафик на пользователя. Отбивает желание делиться логином, но вариант так себе.

Это даже скорее своеобразный костыль :)

2) Авторизация по IP. Вариант тоже не совсем, так как тогда надо как-то прибивать гвоздями рабочее место к пользователю.

Часть ПК за NAT'ом.

3) Использовать какие-либо авторизационные токены. Вопрос также на 100% не решит, токен можно одолжить.

Т.е. писать свой костыль, что тоже не очень хочется.

Ок. Тогда кто либо может подсказать, есть ли для squid ещё вариант авторизации лишённый данного недостатка?

bosha ()

1. На сквид юзер не логинится

На этом можно тред заканчивать. Но если ты не хочешь по-хорошему, то отберу вазелин:

2. Перед юзером может стоит прямо на столе два компьютера. И это его компьютеры.

Всё, тред точно можно заканчивать. Не трахай моск людям, введи в правилах, под которыми расписывается юзер, запрет на передачу логина и пароля третьим лицам под страхом анальной кары.

no-dashi ★★★★★ ()
Ответ на: комментарий от no-dashi

Это уже скорее вопрос принципа и интереса. Я не ищу лёгких путей.

bosha ()

в радиусе Simultaneous-Use := 1 пробовал?

GHhost ()
Ответ на: комментарий от bosha

Я тебе и ответил - у тебя постановка вопроса В ПРИНЦИПЕ неправильна. На пальцах пример, более близкий и из реальной жизни.

Юзер сидит на своей рабочей станции, запускает браузер, вводит логин-пароль когда прокся запросит и лазит по своим быдловконтактам.

Тут приходит его БН (большой начальник) и вставляет юзеру звездюлей.

Юзер вспоминает что он еще и работать должен, и кидается в свой «Консультант+», установленый на сервере терминалов. Пробегается по документам, и кликает пункт «Дополнительная информация» под текстом закона.

Юзеру выскакивает браузер который идет на какой-нибудь Addons.Consultant.Ru, причем браузер запущен где? На сервере терминалов!

В результате надо обслуживать легитимные коннекты с ДВУХ разных хостов.

Говорю еще раз - у тебя постановка _по_определению_ содержит ошибку.

no-dashi ★★★★★ ()
Ответ на: комментарий от GHhost

>в радиусе Simultaneous-Use := 1 пробовал?

Нет. Окажусь возле компа, попробую. Спасибо.

bosha ()
Ответ на: комментарий от no-dashi

>Говорю еще раз - у тебя постановка _по_определению_ содержит ошибку.

Это не корпоративная прокся. Там нет тучи хомячков которые должны работать, но вместо это сидят в быдлосоцсетях. Данный прокси сервер используется под другие нужды. Не совсем стандартные даже.

bosha ()

less /etc/squid/squid.conf

acl aclname max_user_ip [-s] number

This will be matched when the user attempts to log in from more than <number> different ip addresses. The authenticate_ip_ttl parameter controls the timeout on the ip entries. If -s is specified the limit is strict, denying browsing from any further IP addresses until the ttl has expired. Without -s Squid will just annoy the user by «randomly» denying requests. (the counter is reset each time the limit is reached and a request is denied)

Оно?

adriano32 ★★★ ()
Ответ на: комментарий от adriano32

>Оно?

Иногда пользователи логинятся из-за NAT'а, но оно тоже пригодится. Спасибо :)

bosha ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.