Беспроводная точка доступа с проверкой подлинности через сервер RADIUS и MySQL

Системы , технический

Если еще пару месяцев назад я показал вам, как создать VPN соединения между Linux и Windows машины с аутентификацией через RADIUS Server и MySQL теперь мы видим, как использовать ту же структуру для аутентификации пользователей подключение к нашей беспроводной сети, так что у нас есть все доступ окружающей среды Наши интегрированные сети. В последующих главах мы можем увидеть, как добавить больше услуг.

Прежде всего заметить, что я не являюсь экспертом в этой области и могут говорить вещи, которые не подходят :P Пожалуйста, не стесняйтесь меня поправить.

Наиболее важных системных мы уже готовы, если необходимо смонтировать весь сервер Радиус можно прочитать предыдущие статьи, которая объясняет процедуру хорошо. На этот раз мы сосредоточиться на сервере Радиус, что у нас для аутентификации пользователей подключение к нашей беспроводной точки доступа.

В нормальных сценарий точку доступа, которая отвечает за аутентификацию клиента, чтобы подключиться через пароли известны (технически коллективного ключей) с тем недостатком, что все пользователи должны использовать то же самое и в случае необходимости заменить довести до сведения всех, что является новым.

Есть два понятия в рамках всей этой системы, которые всегда идут рука об руку, но различаются

  1. Шифрования связи между клиентом и точкой доступа, известный WEP , WAP и WAP2 .
  2. Общий ключ доступа к маршрутизатору.

Эти два элемента являются полностью независимыми. Я технически не получить различные типы шифрования, поскольку они не цель данной статьи и Есть все документы, которые вы хотите в этом отношении. В нашем примере мы используем WPA2 шифрования AES . Помните, что эти параметры имеют значение, только до точки доступа и клиентские подключения, используется для обеспечения безопасности беспроводной канал, сервер Радиус совершенно чужда этих механизмов.

В нашем сценарии выше процедура была бы, как показано на этом графике.

Dibujo11 Punto de acceso inalámbrico con autentificación a través de servidor Radius y MySQL

То есть, для подключения к нашей точке доступа необходимо соответствующие полномочия. После того как А. П. получает консультации RADIUS сервер, если они правильны и должны пропустить его, и в этом случае клиент может получить доступ к нашей сети. Как можно заметить, между ПА и Радиус не назвал в любое время или WPA2 AES, они используются только в качестве верхней графе желтый луч, беспроводной среде. Таким образом, разница между обычной конфигурации со статическим общих ключей и что, что мы позволить каждый пользователь должен иметь ваш Логин независимыми и могут отменить Ваш доступ в любое время, которое может быть очень полезным в определенных условиях, особенно корпоративных.

Настройка сервера Радиус

Радиус Наш сервер уже был накрыт, мы только внести некоторые изменения. Сначала добавьте разрешение на подключение точки доступа и клиенты могут проверить подлинность этого мы добавить следующую строку в / и т.д. / raddb / clients.conf:

  1. 192 168 100 100 (клиента
  2. секрет = clavesecreta
  3. shortname = osusnet
  4. )

Где IP-ЗС, секрет пароль, используемый для подключения к shortname Радиус А.П. и внутренний идентификатор. Затем отредактировать файл / ETC / raddb / eap.conf оставив в следующих разделах следующим образом:

  1. default_eap_type = PEAP
  3. TLS (
  4. private_key_password = все
  5. /certs/cert-srv.pem raddbdir private_key_file = $ () / сертификаты / сертификат-srv.pem
  6. /certs/cert-srv.pem raddbdir certificate_file = $ () / сертификаты / сертификат-srv.pem
  7. /certs/demoCA/cacert.pem Raddbdir CA_file = $ () / сертификаты / demoCA / cacert.pem
  8. /certs/dh raddbdir dh_file = $ () / сертификаты / DH
  9. /certs/random raddbdir произвольный_файл = $ () / сертификаты / случайная
  10. )
  12. (PEAP
  13. MSCHAPv2 default_eap_type =
  14. )

Восточное партнерство является метод проверки подлинности, которые будут использоваться в том случае, если мы будем PEAP (также известный как EAP-MSCHAPv2), а также требует, TLS, поэтому вы должны добавить две в настройках Radius. В моем случае, установка FreeRADIUS создает необходимые сертификаты и не буду вдаваться в более подробно на эту тему, мы предполагаем, что они существуют и работают хорошо. Вам просто нужно перезапустить демон Радиус для изменения начинают быть видимыми.

Настройка точки доступа

На данный момент мы завершили настройки сервера в Linux. Теперь настроить маршрутизатор, в моем случае SMC . Вы должны использовать сетевой кабель, чтобы получить доступ к маршрутизатору и не могут войти, пока мы не WiFi настроена правильно. Настройки маршрутизатора будет очень похож на него. В опциях "Беспроводной" означает, что безопасность WPA:

router4 Punto de acceso inalámbrico con autentificación a través de servidor Radius y MySQL

В настройках WPA указать параметры, которые мы договорились, и WPA2 AES. Кроме того, мы сообщаем, что мы не будем использовать Pre-Shared Key для аутентификации, но будет через протокола 802.1x. Другие параметры, мы не заботимся.

router1 Punto de acceso inalámbrico con autentificación a través de servidor Radius y MySQL Наконец настроить параметры проверки подлинности 802.1x включена, с указанием IP-адреса нашего Linux сервера Radius.

router2 Punto de acceso inalámbrico con autentificación a través de servidor Radius y MySQL Маршрутизатор уже настроен. Мы можем сделать это только с нашей беспроводной клиент. Как мы уже выбрали WAP2 предположить, что беспроводная карта ноутбука поддерживает его, в противном случае, почему вы выбрали? :P .

Настройка беспроводных клиентов

При поиске доступных беспроводных сетей на ноутбуке появится маршрутизатор мы настроены. По умолчанию мы не можем его открыть, мы расскажем как для аутентификации, для этого перейдите в раздел "Дополнительные параметры" и выберите список сетей, который нас интересует, и пусть свойствами.

В продажу, которая открывает выбрать на вкладке "Ассоциация", проверки подлинности и шифрования, методы, которые были определены:

wifi3 Punto de acceso inalámbrico con autentificación a través de servidor Radius y MySQL В поле "Аутентификация" выберите "PEAP" типа СРГ и выберите "Свойства":

wifi1 Punto de acceso inalámbrico con autentificación a través de servidor Radius y MySQL В открывшемся окне снимите "Использовать сертификат клиента" и метода аутентификации EAP-MSCHATP v2 "выберите" Настройка ", избавляя пользователя от окна, которое открывается возможность, который отмечен по умолчанию.

wifi0 Punto de acceso inalámbrico con autentificación a través de servidor Radius y MySQL Мы принимаем все изменения назад и сохранить настройки. Через несколько секунд мы увидим это предупреждение:

wifi4 Punto de acceso inalámbrico con autentificación a través de servidor Radius y MySQL Он, кажется, работает :P . Нажмите на предупреждение и пропустит продаж мы ищем:

wifi5 Punto de acceso inalámbrico con autentificación a través de servidor Radius y MySQL Представляем имя пользователя и пароль padentro Радиус!

Вот-вот, мы добились статьи, используя ту же инфраструктуру аутентификации для беспроводной сети, что у нас для удаленного доступа к VPN.

Для Osus , 25/09/2009
1 комментарий

Ftp виртуальных пользователей vsftpd и MySQL

Генеральная , системы , технического

Одна из проблем, которые я представил более одного раза, чтобы обеспечить доступ FTP папки для определенных пользователей, которым необходимо обновить файлы на них. Как правило, мы должны создать систему, пользователь, который его "дом" в этой папке или символической ссылке с другого, но я никогда не нравилась идея о правом и левом пользователей, даже без привилегий. Глядя на один день, я начал искать информацию о создании пользователей "виртуальный" в vsftpd и мне очень понравилась эта идея, сочетая это с руководством пользователей MySQL может быть достаточно простой FTP доступ к нескольким пользователям без увеличения системы и, следовательно, без открытия дыр в безопасности.

Во-первых, установить модули, необходимые, если вы уже MySQL сервером. Нам понадобится пакет vsftpd и сделать pam_mysql позволяет аутентификации по базе данных этого типа.

  1. ням установить vsftpd pam_mysql

Теперь настроить / и т.д. / pam.d / vsftpd сделать так;

  1. # cat /etc/pam.d/vsftpd [Osus vsftpd @ сервер] # кота / и т.д. / pam.d / vsftpd
  2. clave host= localhost db= basedatos table= usuarios usercolumn= usuario passwdcolumn= pass crypt= 0 аутентификации требуется / Библиотека / Безопасность / pam_mysql.so пользователь = vsftpd Passwd = пароль локального хост = DB = = basedatos таблице пользователей = usercolumn passwdcolumn пользователь = пройти склеп = 0
  3. clave host= localhost db= basedatos table= usuarios usercolumn= usuario passwdcolumn= pass crypt= 0 требуется учетная запись / Библиотека / Безопасность / pam_mysql.so пользователь = vsftpd Passwd = пароль локального хост = DB = = basedatos таблице пользователей = пользователь usercolumn passwdcolumn = пройти склеп = 0
  4. clave host= localhost db= basedatos table= usuarios usercolumn= usuario passwdcolumn= pass crypt= 0 сессии требуется / Библиотека / Безопасность / pam_mysql.so пользователь = vsftpd Passwd = пароль локального хост = DB = = basedatos таблице пользователей = пользователь usercolumn passwdcolumn = пройти склеп = 0

Это говорит vsftpd пройти проверку в отношении "basedatos" на "локальный" на пользователя "vsftpd" и пароль "пароль" и обратите внимание на таблицу "пользователей" с колоннами "Пользователи" и "пройдет". Что особенно заметно :P .

Последний параметр, "склеп", способ хранения ключей:

  • 0 для ключа в незашифрованном текстовом
  • 1 для функциональных клавиш, зашифрованные с склеп ()
  • 2 ключи, созданные с PASSWORD () функции в MySQL
  • 3 ключевых md5

Выбор системы вы предпочитаете. Мы оставим в настоящее время основной файл конфигурации следующим образом:

  1. # cat /etc/vsftpd/vsftpd.conf [@ Server osus vsftpd] # кота / и т.д. / vsftpd / vsftpd.conf
  2. ftpd_banner = "FTP Server"
  3. anonymous_enable = NO
  4. chroot_local_user = YES
  5. = YES guest_enable
  6. guest_username = ftpoculto
  7. hide_ids = YES
  8. слушать = да
  9. listen_address = 192 168 3 254
  10. listen_port = 21
  11. local_enable = YES
  12. max_clients = 100
  13. max_per_ip = 5
  14. pam_service_name = vsftpd
  15. use_localtime = YES
  16. user_config_dir = / и т.д. / vsftpd / пользователей
  17. userlist_enable = YES
  18. userlist_file = / и т.д. / vsftpd / denied_users
  19. virtual_use_local_privs = YES
  20. xferlog_enable = YES
  21. async_abor_enable = YES
  22. connect_from_port_20 = YES
  23. dirlist_enable = NO
  24. download_enable = NO
  25. local_umask = 000

При этом мы говорим, мы не будем разрешить анонимный доступ, и что фактический пользователь должен использоваться "ftpoculto" виртуальных пользователей будет работать как этот пользователь. Он также отметил, что виртуальные пользователи смотрят в / и т.д. / vsftpd / пользователей и не пускать их в реальных пользователей, только виртуальный. Что касается последнего, мы будем:

  1. | cut -d ":" -f 1 | sort > /etc/vsftpd/denied_users кот / и т.д. / пароль | сокращение-д "" е 1 сорт> | / и т.д. / vsftpd / denied_users

Таким образом, мы добавить к списку пользователей отказано для всех пользователей системы, мы не должны передать их 12:59 :) .

Теперь мы должны настроить доступ для каждого пользователя в папке "пользователей". Имя файла должно быть таким же, как пользователь, который был добавлен в базу данных, которая будет использовать для подключения. Я, например, земля, используемая в качестве названия домена клиента и узнать, кто есть кто.

  1. # cat tudominio.com [Osus @ сервер пользователь] # кот tudominio.com
  2. dirlist_enable = YES
  3. download_enable = YES
  4. local_root = / VAR / WWW / tudominio.com /
  5. write_enable = YES
  6. anon_world_readable_only = NO

Мы должны установить каталог этого так что вы можете писать на нем. Чтобы не забыть, что использование фактических пользователей vsftpd "ftpoculto". Мы должны, следовательно, установить права на каталоги виртуальных пользователей, пользователей:

  1. /var/www/tudominio.com Чаун-R ftpoculto. пользователей / VAR / WWW / tudominio.com

При этом, пользователь "tudominio.com" может двигаться в / VAR / WWW / tudominio.com дома :) .

Честно говоря, я всегда работал очень хорошо. В сочетании с простой доступ к системе VPN , так что порт FTP не должны быть открытыми púclibamente, все очень прочным и безопасным плюс очень легко добавлять новых пользователей, даже можно автоматизировать с помощью сценария, как только должны добавить запись в базе данных и создать файл конфигурации в / и т.д. / vsftpd / пользователей.

Это хорошая идея, не в последнюю среду ISP специальных или специализированных средах, где пользователи, как правило, не понадобится FTP доступ (CMS, блоги, корпоративные веб-сайты ...).

Есть еще очень много параметров в vsftpd, ограничивать полосу пропускания для пользователей использовать SSL соединение, вы просто должны читать некоторые документы :) .

Для Osus , 27/02/2009
13 Комментарии

Резервное копирование баз данных

Базы данных , системы , технического

С помощью Agile мысли пришли к статье , где они объяснить интересный способ делать резервные копии баз данных Mysql использованием Subversion . Идея отличная, но я сомневаюсь, возникает ряд баз в случае больших объемов данных. Я думаю, это здорово сохранить структуру базы данных проекта и сохранение вкладок на изменения, которые сделали об этом, но и сохранить данные ... Я не могу видеть.

В одном из моих проектов у меня есть дамп базы данных, который занимает около 1 ГБ. Честно говоря, я не вижу постоянно поддерживать такой файл в SVN. Идея отличная и баз данных "малых" Я думаю, что это полезно было бы решить, во всяком случае то, что мы подразумеваем под "малыми". Но, повторяю, не стоит надеяться на большие файлы, 1Gb, у нас есть критерий большой / маленький у нас есть, это большой файл.

Обычно то, что мне делать, чтобы сделать резервные копии это получить дамп всех баз данных, поэтому вы можете получить любой из них, а также сжатие результат с bzip2 . Почему bzip2 и GZIP? Просто потому, что степень сжатия. В свое время эти две системы мы тестировали сошел лучше и bzip2. Ниже приведены результаты мы получили бы сегодня стандарт сжатия двух систем:

  1. 1023246033 Feb 2 01 : 50 bbdd.sql -RW-р-р-1 пользователей 1023246033 osus 2 февраля 2001: 50 bbdd.sql
  2. 141481434 Feb 2 01 : 50 bbdd.sql.bz2 -RW-р-р-1 пользователей osus 141 481 434 2 февраля 1901 50 bbdd.sql.bz2
  3. 190733372 Feb 2 01 : 50 bbdd.sql.gz -RW-р-р-1 пользователей osus 190 733 372 2 февраля 2001: 50 bbdd.sql.gz

С резервного bzip2 весит около 50mb меньше.

Сценарий, который я использовать для резервного копирования базы данных, является более или менее то, что я, как правило, большинство людей:

  1. #! / Bin / ш
  2. +% w ` в день = `Дата% ш +`
  3. ` /usr/bin/mysql -N – execute= 'show databases;' ` Я в `/ USR / BIN / MySQL-N - выполнить = 'показать баз данных;'`
  4. делать
  5. Эхо "Создание резервной копии $ я"
  6. / $i .sql / USR / BIN / туздЫшпр-опция-C $ I> / копирования / DB / $ в день / $ i. Sql
  7. / $i .sql bzip2-ФЗ / Резервное копирование / DB / $ в день / $ i. SQL
  8. сделанный

Иными словами, хранить полную копию последние семь дней, каждую неделю заменены теми день мы встретились. В папке дня соответствующего сжатые дампы всех баз данных.

Последний шаг заключается в копировании свалки день на другую машину. Задача, которая запускает процесс работает ежедневно, как только вы завершите создание подкрепляя ее. Мы два разных машинах. Первый внешний машины и отправили в автоматическом SSH использованием открытых ключей, так что удаленный компьютер не требует от пользователя, ключ. Вторая машина в нашем офисе, с которыми мы VPN, что встает перед резервного копирования, плоская на спине с SSH, а также близки к завершению. В этой машине в офисе каждый день есть еще одна задача, которая восстанавливает резервную копию базы данных определенные на локальном Mysql таким образом убить двух зайцев одним выстрелом: с одной стороны, мы имеем базу данных практически идентичны развития производства, явится только предыдущий день данные, а во-вторых, что мы aseguramosn резервных копий, которые сделали точны, поскольку в противном случае восстановление не удастся.

Пока хорошо работала система. Однажды нам пришлось вернуть часть таблицы базы данных и некоторые у нас не было слишком много проблем, все работает прекрасно.

Я повторяю, что это не критика системы подрывной деятельности, напротив, я чувствую себя чертовски прекрасная идея, но я думаю, следует сказать или учебы время Практическая в определенных ситуациях.

Для Osus , 02/02/2009
3 Комментарии

[ERROR] / USR / libexec / туздЫ: Некорректный индексный файл для таблицы:

Базы данных , Проекты , Технические

Или каким образом взимать плату за сервер базы данных для воспроизведения параметров конфигурации :P .

Через пару недель мы имели столкновения с MySQL из одного из наших серверов. Некоторые таблицы начали возвращаться странные ошибки, связанные с / TMP и индексный файл в несколько таблиц. Я жалею, что у конкретного сообщения. Дело в том, что база данных была бесполезной. После изучения мало Google начал тестирование какого-либо параметра изменения в / и т.д. / my.cnf. Это показалось очень странным, так как конфигурация, которые мы используем на протяжении многих лет погашения, на самом деле это далеко не самое активное сегодня, когда мы имели.

После выполнения глупо осенило меня, смеяться надо мной, что машина выбежал дискового пространства :P . Было ли это результат, который не способен к регенерации таблице индексов и других связанных с ошибками.

После решить ошибка все стало нормально функционировать и казалось, что все было хорошо. Большой ошибкой.

Несколько дней назад мы поняли, что журнал MySQL наполнялась сообщения об ошибках, как это без всякой видимой причины:

080 902 0:51:42 [ERROR] / USR / libexec / туздЫ: Некорректный индексный файл для таблицы '. / Basededatos / tabla.MYI; Попробуйте восстановить его

Бросив стол стол ремонт решить эту ошибку, но это было нечто временное, вскоре вернулся, но в этой таблице, совсем другое. Даже таблиц базы данных с мало пользы.

Поиск в Google еще раз, первый результат дал мне ключ. Да, это был один из параметров, которые изменили день, когда я выбежал дискового пространства и не была восстановлена.

key_cache_block_size = 1024

Я читал, что увеличение этого параметра позволит решить эту ошибку, так что я был не праздный я положил 10 024 и т. д., хотя эта проблема не была решена :P .

Кажется, что этот параметр должен быть степенью 2 значение 512, а случайные ошибки появляются в индексные файлы, что мы едем к нам.

Восстановление значение 1024, перезагрузите сервер базы данных и, волшебным образом, проблемы исчезли.

В заключение мы получаем более абсурдно, что параметр может заставить нас потерять дней исследований и проблемы, в моем случае в 4 утра :P . На этот раз нам повезло. В следующий раз, думаю, указывать все изменения вы делаете, на всякий случай ...

Для Osus , 05/09/2008
1 комментарий

Моделирование баз данных MySQL Workbench

Базы данных , программирование , технический

Если есть средства разработки баз данных, известных в свободное программное обеспечение, это, безусловно, DBDesigner . Если на данном этапе не знаю, что вы не дизайн баз данных или у вас "на лету", вы будете знать, что вы делаете :) .

Несколько лет назад MySQL купил Fabforce , компания, разработавшая эту программу. Мне не удалось найти точную дату, но в августе 2005 года объявила о запуске первой альфа его преемника, MySQL Workbench . Очевидно, что-то должно нарушить первоначальные планы с момента выпуска в апреле 2008 года все еще бета-версии, однако, в государственных и Release Candidate. Следует отметить, что последняя версия DBDesigner ничего больше и не меньше чем в 2003 году, но все еще используется.

Самое интересное во всем этом новый продукт, что она основана исключительно на своего предшественника, команда разработчиков точно такой же, и даже не оставили возможность импортировать проекты, созданные с DBDesigner .

Как указано в старом форуме программы, fabForce держать DBDesigner сайте до публикации первой версии MySQL Workbench, со времени исчезнуть. Кажется, что время близко.

У меня сложилось впечатление, что, несмотря на свои планы на продукт после покупки MySQL, новые продукты, как думают в первую очередь. Ничего больше и не меньше, чем набор новых функций в соответствии с графической среды, которая появилась несколько лет: MySQL Administrator , QueryBrowser и Migration Toolkit , все развитые группой DBDesigner, фантастические прибыли. Помните, что до сих пор нет никакой официальной визуальный инструмент для работы с MySQL, все из которых были третьи стороны явных недостатков в сфере малого и среднего бизнеса в попытке ввести в честь великого успеха в веб-среде.

Что было особенного DBDesigner?

В первую очередь, визуальный инструмент для моделирования баз данных и создания диаграмм и / г в чистом стиле DBDesigner Oracle или SQL Server диаграмм. К этому надо добавить большие возможности синхронизации и обратного проектирования. Бывший позволяет автоматически отражать вашу конструкцию изменений с базой данных на сервере, и наоборот, необходимо создать по всей базе данных еще раз. Второй позволяет читать всю базу данных с вашего сервера, и автоматически создает схему. Если вы еще не пробовали это делать, не знаю, что вы пропали без вести.

Другой отличительной особенностью является возможность создавать плагины расширить свою прибыль. Принес серии, одна из них, SimpleWebFront, построить приложение, позволяющее CRUD завершить проектирование в PHP, не играя в одну строку кода.

Наконец, отметим, что он может работать даже в этот момент с другими СУБД, Oracle, MSSQL, SqlLite, ODBC ...

Что нового

Им пришлось провести пять лет, чтобы увидеть новую версию одного из лучших инструментов, которые существовали для MySQL. Что-то новое предложить. В принципе, она сохранила суть старого интерфейса приложения модернизации и добавления новых функций.

Плохая новость заключается в том, что две версии будут, община, бесплатных и коммерческих. Фундаментальное различие заключается в том, что параметры синхронизации и обратное проектирование на сервере оставлены на платный вариант, но есть бесплатный вариант, который позволяет делать то же самое с SQL файлы, а не жить. Большинство новых функций, будут включены в розничную версию, но уверяю вас, они не являются необходимыми, мы говорили о различных вариантах для отладки и обозначения.

Планы MySQL включать в себя создание сообщества разработчиков расширений и плагинов, с тем чтобы новые параметры, которые были бы не удивительно, что первым был появиться бесплатная версия жить варианты, как говорилось выше.

Лучшая часть: попытаться получить собственные выводы. Для меня это всегда первый шаг в подготовке новой заявки. Если у вас есть хорошие визуальные модели очень легко подготовить классы модели или кто-то рассказать, что делать без необходимости постоянно пересматривать структуру с сервера.

Окончательный вариант в ближайшее время. Тем временем вы можете скачать последнюю бета-версий здесь .

Для Osus , 06/04/2008
6 Комментарии

Переключиться на наш мобильный сайт