User bazlı gruplama hak.
-
Merhaba,
Öncelikle sorunumla alakalı forumu Türkçe-ingilizce olarak araştırdığımı belirtmek istiyorum.
pfsense (2.0) ağda düzgün çalışıyor.Squid-squidguard ve raporlama için lightsquid mevcut.
Problemim şu ; Şirkete misafir geldiğinde IP alıyor ve bizden username/password istiyorlar.Bizde user açıyoruz mesela Ali diye, kullanıcıda giriş yapıyor.Ben Group acl kısmında kısıtlamalar yapıyorum ama yinede gidip common acl kısmındakini alıyor yetkilendirmelerde.Kısıtlamalar heryerde IP aralıkları ile anlatılmış.Source yazan yere kullanıcı tanımlayamazmıyım ? .Özetle isteğim muhasebe diye bir grup oluşturup bunlara bazı serbestlikler vermek (ama IP aralığı yazmadan,sadece usernameleri gruba ekliyeceğim. çünkü kim ne zaman hangi IP alıyor belli değil), misafirlere farklı serbestlikler.Kusura bakmayın kafam çok karıştı çıkamadım içinden.User oluşturdugum yerde birde grup oluşturma kısmı var.Oluşturdugum kullanıcıyı burada oluşturdugum misafir grubuna atıyorum.Ama bu misafir adlı gruba nasıl ACL atayacağımı bir türlü çözemedim.Group ACL kısmında misafir grubunu göremiyorum order kısmında.Source kısmınamı yazmam gerek buradaki kısıtlamaları gruba işlemesi için ? Group ACL kısmında yapılan değişiklikler sanırım hep IP temelli.Ben IP temelli değil suername temelli yapmaya çalışıyorum.
Sanırım çok karışık oldu kusura kalmayın.Fikir verirseniz sevinirim.Aslında sorun çok :) mesela dhcp ye x.x.x.10 ile x.x.x.200 arası ata diyorum, ilk ip yi 120 atıyor, random yani.sıradan gitmiyor.Loglarda username çıkmıyor (emin değilim ama ldap olmadan olmuyor sanırım), firewall loglarını toplayıp kayıt altına almam gerek ama bulamıyorum.Kurcaladıkça zevk veriyor ama ilk aşamalar zor geldi ne yalan söylüyeyim.
Vaktinizi aldım dostlar, fikir verirseniz mutlu olurum.
-
-Telaş etmeyin telaşlandıkça herşey sorunlu gibi gelir.. öğrendikçe birçok şeyin sorun değil de öyle olması gerektiğini göreceksiniz..
-Kusura bakmayın ve yanlış anlamayın ama çok yeni olduğunuz için size şimdi pek de birşey anlatılamaz gibi görünüyor.. :)
-Acele etmeyin şimdilik kurulmuş sisteminiz interneti kullanıyorlar, siz bu arada bol bol okumanız lazım..
-Radius ya da Ldap sizin birçok işinizi görecektir onlara yoğunlaşın..
-Captive portal da kısmen işinize yarayabilir.. -
Yanlış anlamam kesinlikle.Her işte bu çaylaklık dönemleri sonrası için komedi oluyor biliyorum.:)
Okuyorum sürekli yabancı kaynakları ama kafamda sadece bahsettiğim grup bazlı atamalar kısmı oturmadı.Belkide alışık oldugumuz policy oluştur, gruba ata, içindekilerin hepsi etkilensin mantıgı kadar basit değil bu.Radius ve ldap sunucularım var ama bu lokasyonda değiller.Buradada sadece local database i kullanmayı planlıyoruz kimlik dogrulama için.Ama buda yanında işte böyle sıkıntılar getiriyor.Loglamada username çıkmıyor gibi.. Araştırmaya devam.Destek olacaklarada şimdiden teşekkürler :DHocam mesajın içinde teşekkür ederim.