Topic: connessioni contemporanee ldap

[Milano1971]

Ho installato nella mia rete un access point utilizzando la protezione wpa2/enterprise con autenticazione radius ed utilizzando come server radius sme.
Dopo aver configurato il tutto ed essermi assicurato che funzioni bene, mi è sorto il problema delle connessioni multiple.
Attualmente, come è giusto che sia, mi autentico sulla rete wifi utilizzando le credenziali degli utenti configurati su sme. Mi sono accorto però che l'utente può accedere alla wifi contemporaneamente con un numero illimitato di dispositivi. E' possibile modificare questa impostazione e fare in modo che ogni utente possa avere accesso alla rete wireless su un singolo o al massimo 2 dispositivi contemporaneamente?

[Stefano]

se radius permette di mettere un limite alle connessioni concorrenti (e questo dovresti appurarlo tu), è possibile creare un custom fragment per istruire il servizio per farlo..

[Stefano]

orbene..

Code: [Select]

config setprop pptpd maxLogins n

dove n è il massimo numero di login contemporanei (è un valore globale, quindi vale lo stesso limite per tutti)

Code: [Select]

mkdir -p /etc/e-smith/templates-custom/etc/raddb/users
cp /etc/e-smith/templates/etc/raddb/users/20vpnusers /etc/e-smith/templates-custom/etc/raddb/users/
cd /etc/e-smith/templates-custom/etc/raddb/users
nano 20vpnusers

il file deve essere come segue (modifica ove necessario):

Code: [Select]

{
   
my $maxLogins =  ($pptpd{'maxLogins'} || 2);

use esmith::AccountsDB;

    my $adb = esmith::AccountsDB->open_ro()
        or die "Couldnt' open AccountsDB\n";

    my @accounts = $adb->get('admin');
    push @accounts, $adb->users;

    foreach my $account (@accounts)
    {
        next unless (($account->prop('VPNClientAccess') || 'no') eq 'yes');

        next unless (($account->prop('PasswordSet') || 'no') eq 'yes');

        my $name = $account->key;

        $OUT .= <<HERE;
$name   Service-Type == Framed-User, Framed-Protocol == PPP, Simultaneous-Use == $maxLogins
HERE

        my $pptpip = $account->prop('PPTPIP');
        next unless ($pptpip);

        $OUT .= <<HER2;
        Framed-IP-Address = $pptpip, Framed-Netmask = 255.255.255.255
HER2
    }
}

dopo aver salvato,

Code: [Select]

signal-event remoteaccess-update

NOTA: not tested, should work

[Stefano]

mmmhh.. ok.. troppo sonno e troppo poco caffè.. questo vale per le vpn..

mi dici come hai modificato (se lo hai fatto) radius per la WPA?

[Milano1971]

La procedura da te postata fa la stessa cosa che fa il server-manager (prima riga sezione accesso remoto).
Non ho modificato radius per wpa, non saprei da dove iniziare.
Radius permette di mettere un limite alle connessioni concorrenti, almeno l'ho visto funzionare.
Il problema è che radius su sme si basa sugli account impostati sul server, quindi usa ldap.
Correggimi se sbaglio.
Ad esempio ho notato che gli utenti di sme possono fare login in dominio da diverse postazioni contemporaneamente, e non ho mai trovato il modo di modificare ciò.
Può essere che occorra intervenire su ldap e modificare, contemporaneamente, le 2 cose (connessioni concorrenti wpa e login concorrenti sulle macchine) modificando un unico parametro?

[Stefano]

La procedura da te postata fa la stessa cosa che fa il server-manager (prima riga sezione accesso remoto).

dissento.. con quel valore imposto quante vpn contemporanee posso avere, con la mia modifica proposta limito il login a n sessioni contemporanee (per ogni utente)

Non ho modificato radius per wpa, non saprei da dove iniziare.
Radius permette di mettere un limite alle connessioni concorrenti, almeno l'ho visto funzionare.
Il problema è che radius su sme si basa sugli account impostati sul server, quindi usa ldap.
Correggimi se sbaglio.
Ad esempio ho notato che gli utenti di sme possono fare login in dominio da diverse postazioni contemporaneamente, e non ho mai trovato il modo di modificare ciò.
Può essere che occorra intervenire su ldap e modificare, contemporaneamente, le 2 cose (connessioni concorrenti wpa e login concorrenti sulle macchine) modificando un unico parametro?

allora..

ldap è si valorizzato ma l'autenticazione dei client windows e di radius non ha nulla a che vedere con ldap

in ogni caso, hai impostato semplicemente l'AP per autenticarsi sul radius di SME? senza toccare altro?

[Milano1971]

si
semplicemente ho impostato l'access point con l'ip e la porta del radius di sme e la chiave privata.
in sme ho inserito nei nomi host conosciuti l'access point
in sme ho configurato la chiave privata condivisa con l'access point
tutto funziona come ti dicevo, sulla wifi si autenticano gli utenti sme

[Stefano]

in sme ho configurato la chiave privata condivisa con l'access point

dove, esattamente? che contrib hai installato? SME non fa questo di default
dettagli, io non conosco il tuo server, non sono accanto a te e la sfera di cristallo USB è rotta (ordinata su amazon prime)

[Milano1971]

Non ho utilizzato nessun contrib, ho semplicemente configurato il tutto da shell.
Il problema principale comunque resta (limitare le connessioni concorreti) su rete wireless wpa con radius, ed anche i login al dominio contemporanei da parte dello stesso utente su machine diverse.