Postado por KrysecK em 19 de Agosto de 2009 às 11:47pm
Pedro tem como o login e senha dos clientes via radius serem sensíveis a maiúscula e minúscula como do mikrotik/hotspot ?
Pois estou passando por uns problemas aqui por causa disto!
Para adicionar comentários, você deve ser membro de MK-AUTH.
e o ruim é que essa opção não tem como ser ativa para uns e para outros não e alguns provedores me pediram para que não fosse feita diferença entre letras maiuscula e minusculas pq gera muitos chamadas de suporte tecnico onde os cliente erra na letra e pensa que o problema é no provedor, ai eu fico no impasse de habilitar ou não.
Aqui estou precisando pelo seguinte fato: tenho redondinho aviso e bloqueio pelo Advertise do User Profiles do Hotspot...mesmo com radius abilitado no hotspot, quando o cliente digita login e senha o mikrotik 1ª faz a verificação HTTP CHAP só depois radius, com isso deixo todo os clientes tambem cadastrados mas desabilitado no User do Hotspot com o profile de aviso, então ficam autenticando normal pelo radius do MK-AUTH então quando atrasam abilito o cliente atrasado.
O problema é como o hotspot faz diferença entre maiúscula e minúscula, daê o cliente q está com aviso basta digitar alguma letra em maiúscula q ele passa pelo HTTP CHAP e será autenticado pelo radius fugindo do aviso ou bloqueio!?
Pedro Filho disse:
e o ruim é que essa opção não tem como ser ativa para uns e para outros não e alguns provedores me pediram para que não fosse feita diferença entre letras maiuscula e minusculas pq gera muitos chamadas de suporte tecnico onde os cliente erra na letra e pensa que o problema é no provedor, ai eu fico no impasse de habilitar ou não.
Grande Pedro, é enorme a necessidade de habilitar esse recurso, tem certos provedores que acham que o povo é burro, caramba, pra acessar o email todo mundo sabe que tem q ser letra minuscula, a internet tem regras e devem ser respeitadas, sem contar que como eu ia falando quem acaba passando por bobinho e outros adereços são os provedores, porque ? façam o teste, peguem na sua tabela do arp qualquer login que tem cliente conectado, muda uma das letras pra maiuscula, isso mesmo, qualquer uma, pronto, voce vai se conectar junto com ele, e pior nem vai dividir a banda, vai ter a sua = a do cara que paga e na costa do bobao do provedor que tem medo de dar suporte tecnico, é mais facil dar net de graça do que suporte ?? e se acontecer um crime usando o login de um cliente e ele for inocente ??? Pedrao, isso pra mim é = 2+2 simples =4, tem que ser sensivel a maiuscula e minuscula, não adianta a gente se matar aqui e deixar essas bobeiras queimar o filme de todo mundo, a agora que eu tornei publico e qualquer um sabe que isso é uma brecha enorme na segurança fica o recado ou muda imediatamente ou quem vai mudar sou eu, não vou de maneira alguma colocar em risco meu nome, o nome do meu provedor, e sobretudo o meu maior patrimonio (meus clientes) em risco.
Desculpem o desabafo, ate ontem eu não tinha conhecimento dessa possibilidade, contatei o Pedro e ele não me deu nenhuma resposta, pesquisei no forum e tai, sendo assim nao posso arriscar, ja são alguns anos no ramo que não vou perder por causa de algo tao absurdo.
Se so aceitasse letra maiuscula ou minuscula mas nao permitisse um login segundario ai tudo bem, mas do jeito esta nao da, so uma observação antes que alguem pense que é um espertao e me fale: ah mas no profile do mikrotik tem a opção de permitir um login so por usuario ou mais, aj vou logo avisando que o primeiro lugar que eu verifiquei ao encontrar esse problema foi la, se tentar logar usando as letras minusculas certinho = o cliente conectado da certo ou seja não loga, mas se mudar uma letra pra maiuscula no login do cliente pronto conecta na hora.
Se tiver um provedor com 30 clientes pode ate ser ... Mas se tiver outorga e conseguentemente responsabilidade civil e criminal tera que entender que precisa ser diferente.
Fabio tentei colocar esse recurso mais nos provedores que usam a access-list não funcionou pq muitos colocam o endereço MAC de qualquer forma e assim não é possivel entrar na rede sem fio, para fazer essa diferença entre elas funcionar é preciso alterar o arquivo /etc/freeradius/sql/mysql/dialup.conf e mudar nas querys as opções para consultas com username BINARY ativado, mais pelo menos em meu provedor ativando no mikrotik a opção Shared Users como 1 o mikrotik não deixa mais de o mesmo login mesmo com letras diferentes fazer login.
Fabio Gonçalves Pereira disse:
Grande Pedro, é enorme a necessidade de habilitar esse recurso, tem certos provedores que acham que o povo é burro, caramba, pra acessar o email todo mundo sabe que tem q ser letra minuscula, a internet tem regras e devem ser respeitadas, sem contar que como eu ia falando quem acaba passando por bobinho e outros adereços são os provedores, porque ? façam o teste, peguem na sua tabela do arp qualquer login que tem cliente conectado, muda uma das letras pra maiuscula, isso mesmo, qualquer uma, pronto, voce vai se conectar junto com ele, e pior nem vai dividir a banda, vai ter a sua = a do cara que paga e na costa do bobao do provedor que tem medo de dar suporte tecnico, é mais facil dar net de graça do que suporte ?? e se acontecer um crime usando o login de um cliente e ele for inocente ??? Pedrao, isso pra mim é = 2+2 simples =4, tem que ser sensivel a maiuscula e minuscula, não adianta a gente se matar aqui e deixar essas bobeiras queimar o filme de todo mundo, a agora que eu tornei publico e qualquer um sabe que isso é uma brecha enorme na segurança fica o recado ou muda imediatamente ou quem vai mudar sou eu, não vou de maneira alguma colocar em risco meu nome, o nome do meu provedor, e sobretudo o meu maior patrimonio (meus clientes) em risco.
Desculpem o desabafo, ate ontem eu não tinha conhecimento dessa possibilidade, contatei o Pedro e ele não me deu nenhuma resposta, pesquisei no forum e tai, sendo assim nao posso arriscar, ja são alguns anos no ramo que não vou perder por causa de algo tao absurdo.
Se so aceitasse letra maiuscula ou minuscula mas nao permitisse um login segundario ai tudo bem, mas do jeito esta nao da, so uma observação antes que alguem pense que é um espertao e me fale: ah mas no profile do mikrotik tem a opção de permitir um login so por usuario ou mais, aj vou logo avisando que o primeiro lugar que eu verifiquei ao encontrar esse problema foi la, se tentar logar usando as letras minusculas certinho = o cliente conectado da certo ou seja não loga, mas se mudar uma letra pra maiuscula no login do cliente pronto conecta na hora.
aqui mesmo com o shared users=1 esta logando, vou mexer entao no Bd
Pedro Filho disse:
Fabio tentei colocar esse recurso mais nos provedores que usam a access-list não funcionou pq muitos colocam o endereço MAC de qualquer forma e assim não é possivel entrar na rede sem fio, para fazer essa diferença entre elas funcionar é preciso alterar o arquivo /etc/freeradius/sql/mysql/dialup.conf e mudar nas querys as opções para consultas com username BINARY ativado, mais pelo menos em meu provedor ativando no mikrotik a opção Shared Users como 1 o mikrotik não deixa mais de o mesmo login mesmo com letras diferentes fazer login.
Fabio Gonçalves Pereira disse:
Grande Pedro, é enorme a necessidade de habilitar esse recurso, tem certos provedores que acham que o povo é burro, caramba, pra acessar o email todo mundo sabe que tem q ser letra minuscula, a internet tem regras e devem ser respeitadas, sem contar que como eu ia falando quem acaba passando por bobinho e outros adereços são os provedores, porque ? façam o teste, peguem na sua tabela do arp qualquer login que tem cliente conectado, muda uma das letras pra maiuscula, isso mesmo, qualquer uma, pronto, voce vai se conectar junto com ele, e pior nem vai dividir a banda, vai ter a sua = a do cara que paga e na costa do bobao do provedor que tem medo de dar suporte tecnico, é mais facil dar net de graça do que suporte ?? e se acontecer um crime usando o login de um cliente e ele for inocente ??? Pedrao, isso pra mim é = 2+2 simples =4, tem que ser sensivel a maiuscula e minuscula, não adianta a gente se matar aqui e deixar essas bobeiras queimar o filme de todo mundo, a agora que eu tornei publico e qualquer um sabe que isso é uma brecha enorme na segurança fica o recado ou muda imediatamente ou quem vai mudar sou eu, não vou de maneira alguma colocar em risco meu nome, o nome do meu provedor, e sobretudo o meu maior patrimonio (meus clientes) em risco.
Desculpem o desabafo, ate ontem eu não tinha conhecimento dessa possibilidade, contatei o Pedro e ele não me deu nenhuma resposta, pesquisei no forum e tai, sendo assim nao posso arriscar, ja são alguns anos no ramo que não vou perder por causa de algo tao absurdo.
Se so aceitasse letra maiuscula ou minuscula mas nao permitisse um login segundario ai tudo bem, mas do jeito esta nao da, so uma observação antes que alguem pense que é um espertao e me fale: ah mas no profile do mikrotik tem a opção de permitir um login so por usuario ou mais, aj vou logo avisando que o primeiro lugar que eu verifiquei ao encontrar esse problema foi la, se tentar logar usando as letras minusculas certinho = o cliente conectado da certo ou seja não loga, mas se mudar uma letra pra maiuscula no login do cliente pronto conecta na hora.
Grande Pedro, tentei editar de varias maneiras mas não obtive sucesso, da pra ser mais especifico ?
Pedro Filho disse:
Fabio tentei colocar esse recurso mais nos provedores que usam a access-list não funcionou pq muitos colocam o endereço MAC de qualquer forma e assim não é possivel entrar na rede sem fio, para fazer essa diferença entre elas funcionar é preciso alterar o arquivo /etc/freeradius/sql/mysql/dialup.conf e mudar nas querys as opções para consultas com username BINARY ativado, mais pelo menos em meu provedor ativando no mikrotik a opção Shared Users como 1 o mikrotik não deixa mais de o mesmo login mesmo com letras diferentes fazer logs
authorize_check_query = "SELECT id, username, attribute, value, op \ FROM ${authcheck_table} \ WHERE ativo ='s' AND ativo2 ='s' AND username = '%{SQL-User-Name}' \ ORDER BY id"
por essa outra abaixo:
authorize_check_query = "SELECT id, username, attribute, value, op \ FROM ${authcheck_table} \ WHERE ativo ='s' AND ativo2 ='s' AND username = BINARY '%{SQL-User-Name}' \ ORDER BY id"
e reinicia o freeradius.
Fabio Gonçalves Pereira disse:
Grande Pedro, tentei editar de varias maneiras mas não obtive sucesso, da pra ser mais especifico ?
Pedro Filho disse:
Fabio tentei colocar esse recurso mais nos provedores que usam a access-list não funcionou pq muitos colocam o endereço MAC de qualquer forma e assim não é possivel entrar na rede sem fio, para fazer essa diferença entre elas funcionar é preciso alterar o arquivo /etc/freeradius/sql/mysql/dialup.conf e mudar nas querys as opções para consultas com username BINARY ativado, mais pelo menos em meu provedor ativando no mikrotik a opção Shared Users como 1 o mikrotik não deixa mais de o mesmo login mesmo com letras diferentes fazer logs
Respostas
O problema é como o hotspot faz diferença entre maiúscula e minúscula, daê o cliente q está com aviso basta digitar alguma letra em maiúscula q ele passa pelo HTTP CHAP e será autenticado pelo radius fugindo do aviso ou bloqueio!?
Pedro Filho disse:
Grande Pedro, é enorme a necessidade de habilitar esse recurso, tem certos provedores que acham que o povo é burro, caramba, pra acessar o email todo mundo sabe que tem q ser letra minuscula, a internet tem regras e devem ser respeitadas, sem contar que como eu ia falando quem acaba passando por bobinho e outros adereços são os provedores, porque ? façam o teste, peguem na sua tabela do arp qualquer login que tem cliente conectado, muda uma das letras pra maiuscula, isso mesmo, qualquer uma, pronto, voce vai se conectar junto com ele, e pior nem vai dividir a banda, vai ter a sua = a do cara que paga e na costa do bobao do provedor que tem medo de dar suporte tecnico, é mais facil dar net de graça do que suporte ?? e se acontecer um crime usando o login de um cliente e ele for inocente ??? Pedrao, isso pra mim é = 2+2 simples =4, tem que ser sensivel a maiuscula e minuscula, não adianta a gente se matar aqui e deixar essas bobeiras queimar o filme de todo mundo, a agora que eu tornei publico e qualquer um sabe que isso é uma brecha enorme na segurança fica o recado ou muda imediatamente ou quem vai mudar sou eu, não vou de maneira alguma colocar em risco meu nome, o nome do meu provedor, e sobretudo o meu maior patrimonio (meus clientes) em risco.
Desculpem o desabafo, ate ontem eu não tinha conhecimento dessa possibilidade, contatei o Pedro e ele não me deu nenhuma resposta, pesquisei no forum e tai, sendo assim nao posso arriscar, ja são alguns anos no ramo que não vou perder por causa de algo tao absurdo.
Se so aceitasse letra maiuscula ou minuscula mas nao permitisse um login segundario ai tudo bem, mas do jeito esta nao da, so uma observação antes que alguem pense que é um espertao e me fale: ah mas no profile do mikrotik tem a opção de permitir um login so por usuario ou mais, aj vou logo avisando que o primeiro lugar que eu verifiquei ao encontrar esse problema foi la, se tentar logar usando as letras minusculas certinho = o cliente conectado da certo ou seja não loga, mas se mudar uma letra pra maiuscula no login do cliente pronto conecta na hora.
Fabio Gonçalves Pereira disse:
VAleu Pedrao,
aqui mesmo com o shared users=1 esta logando, vou mexer entao no Bd
Pedro Filho disse:
Pedro Filho disse:
troca a parte abaixo:
authorize_check_query = "SELECT id, username, attribute, value, op \
FROM ${authcheck_table} \
WHERE ativo ='s' AND ativo2 ='s' AND username = '%{SQL-User-Name}' \
ORDER BY id"
por essa outra abaixo:
authorize_check_query = "SELECT id, username, attribute, value, op \
FROM ${authcheck_table} \
WHERE ativo ='s' AND ativo2 ='s' AND username = BINARY '%{SQL-User-Name}' \
ORDER BY id"
e reinicia o freeradius.
Fabio Gonçalves Pereira disse: