Koozali.org: home of the SME Server

Other Languages => Italiano => Topic started by: Milano1971 on June 20, 2016, 06:08:03 PM

Title: connessioni contemporanee ldap
Post by: Milano1971 on June 20, 2016, 06:08:03 PM
Ho installato nella mia rete un access point utilizzando la protezione wpa2/enterprise con autenticazione radius ed utilizzando come server radius sme.
Dopo aver configurato il tutto ed essermi assicurato che funzioni bene, mi è sorto il problema delle connessioni multiple.
Attualmente, come è giusto che sia, mi autentico sulla rete wifi utilizzando le credenziali degli utenti configurati su sme. Mi sono accorto però che l'utente può accedere alla wifi contemporaneamente con un numero illimitato di dispositivi. E' possibile modificare questa impostazione e fare in modo che ogni utente possa avere accesso alla rete wireless su un singolo o al massimo 2 dispositivi contemporaneamente?
Title: Re: connessioni contemporanee ldap
Post by: Stefano on June 20, 2016, 07:43:04 PM
se radius permette di mettere un limite alle connessioni concorrenti (e questo dovresti appurarlo tu), è possibile creare un custom fragment per istruire il servizio per farlo..
Title: Re: connessioni contemporanee ldap
Post by: Stefano on June 21, 2016, 09:59:38 AM
orbene..

Code: [Select]
config setprop pptpd maxLogins n

dove n è il massimo numero di login contemporanei (è un valore globale, quindi vale lo stesso limite per tutti)

Code: [Select]
mkdir -p /etc/e-smith/templates-custom/etc/raddb/users
cp /etc/e-smith/templates/etc/raddb/users/20vpnusers /etc/e-smith/templates-custom/etc/raddb/users/
cd /etc/e-smith/templates-custom/etc/raddb/users
nano 20vpnusers

il file deve essere come segue (modifica ove necessario):
Code: [Select]
{
   
my $maxLogins =  ($pptpd{'maxLogins'} || 2);

use esmith::AccountsDB;

    my $adb = esmith::AccountsDB->open_ro()
        or die "Couldnt' open AccountsDB\n";

    my @accounts = $adb->get('admin');
    push @accounts, $adb->users;

    foreach my $account (@accounts)
    {
        next unless (($account->prop('VPNClientAccess') || 'no') eq 'yes');

        next unless (($account->prop('PasswordSet') || 'no') eq 'yes');

        my $name = $account->key;

        $OUT .= <<HERE;
$name   Service-Type == Framed-User, Framed-Protocol == PPP, Simultaneous-Use == $maxLogins
HERE

        my $pptpip = $account->prop('PPTPIP');
        next unless ($pptpip);

        $OUT .= <<HER2;
        Framed-IP-Address = $pptpip, Framed-Netmask = 255.255.255.255
HER2
    }
}

dopo aver salvato,

Code: [Select]
signal-event remoteaccess-update

NOTA: not tested, should work
Title: Re: connessioni contemporanee ldap
Post by: Stefano on June 21, 2016, 10:00:57 AM
mmmhh.. ok.. troppo sonno e troppo poco caffè.. questo vale per le vpn..

mi dici come hai modificato (se lo hai fatto) radius per la WPA?
Title: Re: connessioni contemporanee ldap
Post by: Milano1971 on June 21, 2016, 03:26:06 PM
La procedura da te postata fa la stessa cosa che fa il server-manager (prima riga sezione accesso remoto).
Non ho modificato radius per wpa, non saprei da dove iniziare.
Radius permette di mettere un limite alle connessioni concorrenti, almeno l'ho visto funzionare.
Il problema è che radius su sme si basa sugli account impostati sul server, quindi usa ldap.
Correggimi se sbaglio.
Ad esempio ho notato che gli utenti di sme possono fare login in dominio da diverse postazioni contemporaneamente, e non ho mai trovato il modo di modificare ciò.
Può essere che occorra intervenire su ldap e modificare, contemporaneamente, le 2 cose (connessioni concorrenti wpa e login concorrenti sulle macchine) modificando un unico parametro?
Title: Re: connessioni contemporanee ldap
Post by: Stefano on June 21, 2016, 03:31:18 PM
Quote from: Milano1971 on June 21, 2016, 03:26:06 PM
La procedura da te postata fa la stessa cosa che fa il server-manager (prima riga sezione accesso remoto).

dissento.. con quel valore imposto quante vpn contemporanee posso avere, con la mia modifica proposta limito il login a n sessioni contemporanee (per ogni utente)

Quote
Non ho modificato radius per wpa, non saprei da dove iniziare.
Radius permette di mettere un limite alle connessioni concorrenti, almeno l'ho visto funzionare.
Il problema è che radius su sme si basa sugli account impostati sul server, quindi usa ldap.
Correggimi se sbaglio.
Ad esempio ho notato che gli utenti di sme possono fare login in dominio da diverse postazioni contemporaneamente, e non ho mai trovato il modo di modificare ciò.
Può essere che occorra intervenire su ldap e modificare, contemporaneamente, le 2 cose (connessioni concorrenti wpa e login concorrenti sulle macchine) modificando un unico parametro?

allora..

ldap è si valorizzato ma l'autenticazione dei client windows e di radius non ha nulla a che vedere con ldap

in ogni caso, hai impostato semplicemente l'AP per autenticarsi sul radius di SME? senza toccare altro?
Title: Re: connessioni contemporanee ldap
Post by: Milano1971 on June 21, 2016, 04:00:17 PM
si
semplicemente ho impostato l'access point con l'ip e la porta del radius di sme e la chiave privata.
in sme ho inserito nei nomi host conosciuti l'access point
in sme ho configurato la chiave privata condivisa con l'access point
tutto funziona come ti dicevo, sulla wifi si autenticano gli utenti sme
Title: Re: connessioni contemporanee ldap
Post by: Stefano on June 21, 2016, 04:12:41 PM
Quote from: Milano1971 on June 21, 2016, 04:00:17 PM
in sme ho configurato la chiave privata condivisa con l'access point

dove, esattamente? che contrib hai installato? SME non fa questo di default
dettagli, io non conosco il tuo server, non sono accanto a te e la sfera di cristallo USB è rotta (ordinata su amazon prime)
Title: Re: connessioni contemporanee ldap
Post by: Milano1971 on June 21, 2016, 04:29:23 PM
Non ho utilizzato nessun contrib, ho semplicemente configurato il tutto da shell.
Il problema principale comunque resta (limitare le connessioni concorreti) su rete wireless wpa con radius, ed anche i login al dominio contemporanei da parte dello stesso utente su machine diverse.