Postado por KrysecK em 19 de Agosto de 2009 às 23:47
Pedro tem como o login e senha dos clientes via radius serem sensíveis a maiúscula e minúscula como do mikrotik/hotspot ?
Pois estou passando por uns problemas aqui por causa disto!
Visualizações: 145
Para adicionar comentários, você deve ser membro de MK-AUTH.
Acho que no WebAdmin deveria ter uma opção onde a pessoa escolhese ou não deixar somente com letras maiusculas ou somente com letras minusculas ou ambas... assim não frustraria ninguem.
Fabio Internet disse:
VAleu Pedrao,
aqui mesmo com o shared users=1 esta logando, vou mexer entao no Bd
Pedro Filho disse:
Fabio tentei colocar esse recurso mais nos provedores que usam a access-list não funcionou pq muitos colocam o endereço MAC de qualquer forma e assim não é possivel entrar na rede sem fio, para fazer essa diferença entre elas funcionar é preciso alterar o arquivo /etc/freeradius/sql/mysql/dialup.conf e mudar nas querys as opções para consultas com username BINARY ativado, mais pelo menos em meu provedor ativando no mikrotik a opção Shared Users como 1 o mikrotik não deixa mais de o mesmo login mesmo com letras diferentes fazer login.
Fabio Gonçalves Pereira disse:
Grande Pedro, é enorme a necessidade de habilitar esse recurso, tem certos provedores que acham que o povo é burro, caramba, pra acessar o email todo mundo sabe que tem q ser letra minuscula, a internet tem regras e devem ser respeitadas, sem contar que como eu ia falando quem acaba passando por bobinho e outros adereços são os provedores, porque ? façam o teste, peguem na sua tabela do arp qualquer login que tem cliente conectado, muda uma das letras pra maiuscula, isso mesmo, qualquer uma, pronto, voce vai se conectar junto com ele, e pior nem vai dividir a banda, vai ter a sua = a do cara que paga e na costa do bobao do provedor que tem medo de dar suporte tecnico, é mais facil dar net de graça do que suporte ?? e se acontecer um crime usando o login de um cliente e ele for inocente ??? Pedrao, isso pra mim é = 2+2 simples =4, tem que ser sensivel a maiuscula e minuscula, não adianta a gente se matar aqui e deixar essas bobeiras queimar o filme de todo mundo, a agora que eu tornei publico e qualquer um sabe que isso é uma brecha enorme na segurança fica o recado ou muda imediatamente ou quem vai mudar sou eu, não vou de maneira alguma colocar em risco meu nome, o nome do meu provedor, e sobretudo o meu maior patrimonio (meus clientes) em risco.
Desculpem o desabafo, ate ontem eu não tinha conhecimento dessa possibilidade, contatei o Pedro e ele não me deu nenhuma resposta, pesquisei no forum e tai, sendo assim nao posso arriscar, ja são alguns anos no ramo que não vou perder por causa de algo tao absurdo.
Se so aceitasse letra maiuscula ou minuscula mas nao permitisse um login segundario ai tudo bem, mas do jeito esta nao da, so uma observação antes que alguem pense que é um espertao e me fale: ah mas no profile do mikrotik tem a opção de permitir um login so por usuario ou mais, aj vou logo avisando que o primeiro lugar que eu verifiquei ao encontrar esse problema foi la, se tentar logar usando as letras minusculas certinho = o cliente conectado da certo ou seja não loga, mas se mudar uma letra pra maiuscula no login do cliente pronto conecta na hora.
Para os clientes não logar com letras maiusculas preciso fazer esta alteração no BD?
Pedro Filho disse:
troca a parte abaixo:
authorize_check_query = "SELECT id, username, attribute, value, op \ FROM ${authcheck_table} \ WHERE ativo ='s' AND ativo2 ='s' AND username = '%{SQL-User-Name}' \ ORDER BY id"
por essa outra abaixo:
authorize_check_query = "SELECT id, username, attribute, value, op \ FROM ${authcheck_table} \ WHERE ativo ='s' AND ativo2 ='s' AND username = BINARY '%{SQL-User-Name}' \ ORDER BY id"
e reinicia o freeradius.
Fabio Gonçalves Pereira disse:
Grande Pedro, tentei editar de varias maneiras mas não obtive sucesso, da pra ser mais especifico ?
Pedro Filho disse:
Fabio tentei colocar esse recurso mais nos provedores que usam a access-list não funcionou pq muitos colocam o endereço MAC de qualquer forma e assim não é possivel entrar na rede sem fio, para fazer essa diferença entre elas funcionar é preciso alterar o arquivo /etc/freeradius/sql/mysql/dialup.conf e mudar nas querys as opções para consultas com username BINARY ativado, mais pelo menos em meu provedor ativando no mikrotik a opção Shared Users como 1 o mikrotik não deixa mais de o mesmo login mesmo com letras diferentes fazer logs
entra em opções e marca o tipo de login se é case sensitive e altera...
Charlles de Queiroz disse:
Pedrão, meu shared user está em 1, mas consigo logar mais de uma vez.
Onde altero essa config:
Pedro Filho disse:
troca a parte abaixo:
authorize_check_query = "SELECT id, username, attribute, value, op \ FROM ${authcheck_table} \ WHERE ativo ='s' AND ativo2 ='s' AND username = '%{SQL-User-Name}' \ ORDER BY id"ogs
Pedrão, meu shared user está em 1, mas consigo logar mais de uma vez.
Onde altero essa config:
Pedro Filho disse:
troca a parte abaixo:
authorize_check_query = "SELECT id, username, attribute, value, op \ FROM ${authcheck_table} \ WHERE ativo ='s' AND ativo2 ='s' AND username = '%{SQL-User-Name}' \ ORDER BY id"
por essa outra abaixo:
authorize_check_query = "SELECT id, username, attribute, value, op \ FROM ${authcheck_table} \ WHERE ativo ='s' AND ativo2 ='s' AND username = BINARY '%{SQL-User-Name}' \ ORDER BY id"
e reinicia o freeradius.
Fabio Gonçalves Pereira disse:
Grande Pedro, tentei editar de varias maneiras mas não obtive sucesso, da pra ser mais especifico ?
Pedro Filho disse:
Fabio tentei colocar esse recurso mais nos provedores que usam a access-list não funcionou pq muitos colocam o endereço MAC de qualquer forma e assim não é possivel entrar na rede sem fio, para fazer essa diferença entre elas funcionar é preciso alterar o arquivo /etc/freeradius/sql/mysql/dialup.conf e mudar nas querys as opções para consultas com username BINARY ativado, mais pelo menos em meu provedor ativando no mikrotik a opção Shared Users como 1 o mikrotik não deixa mais de o mesmo login mesmo com letras diferentes fazer logs
pq usando essa opção de fazer diferenças entre letras o mac tem que fica todo com letras maiusculas.
Fabio Gonçalves Pereira disse:
Eu uso criptografia WPA2 com AES nas rockets e nos ultimos mikrotiks que ainda uso para distribuir em 2.4, nos enlaces uso mac acl. Mas porque a "pregunta", atualizaei o mk-auth ontem e vi que tem essa opção mas fico com medo de usar, teria que sincronizar todos mik que distribuem com o mk, como uso hotpost acaba não sendo confiavel de funcionar, porque quando libero um mik no ip bindings do mik servidor ele acaba uma hora ou outra perdendo a conexão, é so um cliente com wds desligar pronto, muda o mac, por causa das bridges, como eu tambem estou migrando tudo para M5 não sei se dai funcionaria, mas se conseguisse seria otimo, porque por exe, uma base com 50 usuarios, gastaria um processamento fixando as configs dos 50, ja se fosse pelo Bd so subiria os 25 online, ou seja conforme o tipo de base poderiamos economizar ate 50% de processamento ganhando assim mais estabilidade... seria isso ?
Eu uso criptografia WPA2 com AES nas rockets e nos ultimos mikrotiks que ainda uso para distribuir em 2.4, nos enlaces uso mac acl. Mas porque a "pregunta", atualizaei o mk-auth ontem e vi que tem essa opção mas fico com medo de usar, teria que sincronizar todos mik que distribuem com o mk, como uso hotpost acaba não sendo confiavel de funcionar, porque quando libero um mik no ip bindings do mik servidor ele acaba uma hora ou outra perdendo a conexão, é so um cliente com wds desligar pronto, muda o mac, por causa das bridges, como eu tambem estou migrando tudo para M5 não sei se dai funcionaria, mas se conseguisse seria otimo, porque por exe, uma base com 50 usuarios, gastaria um processamento fixando as configs dos 50, ja se fosse pelo Bd so subiria os 25 online, ou seja conforme o tipo de base poderiamos economizar ate 50% de processamento ganhando assim mais estabilidade... seria isso ?
Perfeito Pedrão, agora ficou show, tentei de varias formas, so loga um usuario de cada vez, pode mudar as letras do jeito que quiser ... Obrigado ...
Pedro Filho disse:
troca a parte abaixo:
authorize_check_query = "SELECT id, username, attribute, value, op \ FROM ${authcheck_table} \ WHERE ativo ='s' AND ativo2 ='s' AND username = '%{SQL-User-Name}' \ ORDER BY id"
por essa outra abaixo:
authorize_check_query = "SELECT id, username, attribute, value, op \ FROM ${authcheck_table} \ WHERE ativo ='s' AND ativo2 ='s' AND username = BINARY '%{SQL-User-Name}' \ ORDER BY id"
e reinicia o freeradius.
Fabio Gonçalves Pereira disse:
Grande Pedro, tentei editar de varias maneiras mas não obtive sucesso, da pra ser mais especifico ?
Pedro Filho disse:
Fabio tentei colocar esse recurso mais nos provedores que usam a access-list não funcionou pq muitos colocam o endereço MAC de qualquer forma e assim não é possivel entrar na rede sem fio, para fazer essa diferença entre elas funcionar é preciso alterar o arquivo /etc/freeradius/sql/mysql/dialup.conf e mudar nas querys as opções para consultas com username BINARY ativado, mais pelo menos em meu provedor ativando no mikrotik a opção Shared Users como 1 o mikrotik não deixa mais de o mesmo login mesmo com letras diferentes fazer logs
Respostas
Ah, valeu.. estou usando o sistema a pouco mais de 5 dias e ainda não verifiquei tudo... valeu pela dica.
amigo em gerenciar recursos tem como ativar ou desativar essa opção de diferenciar as letras
login case sensitive: sim ou não
Acho que no WebAdmin deveria ter uma opção onde a pessoa escolhese ou não deixar somente com letras maiusculas ou somente com letras minusculas ou ambas... assim não frustraria ninguem.
Fabio Internet disse:
Para os clientes não logar com letras maiusculas preciso fazer esta alteração no BD?
Pedro Filho disse:
entra em opções e marca o tipo de login se é case sensitive e altera...
Charlles de Queiroz disse:
Pedrão, meu shared user está em 1, mas consigo logar mais de uma vez.
Onde altero essa config:
Pedro Filho disse:
Fabio Gonçalves Pereira disse:
Fabio Gonçalves Pereira disse:
Pedro Filho disse:
-
1
-
2
de 2 Próximo