das geht zb mit SQUID sehr gut. das ist ein http/https/ftp...-proxy. dort kann man verschiedene arten der authorisierung wählen. wenn der user den explorer startet und die erste seite aufruft erscheint dann ein login fenster und nach erfolgtem login kann der user ungestört surfen. die authorisierung gilt bis zum beenden des browsers. die anmeldetechnik nutzt das selbe protokoll wie der apache für authorisierte seiten. ist also für gängige browser kein problem.
eine verwaltung der mac-adressen oder ip ist damit unnötig. schau mal im link nach, ist ein sehr gutes online-handbuch.

ach soooo, du sollst das rad noch einmal neu erfinden?

meiner meinung nach ist so eine proxylösung die beste, denn bevor der rechner internetkontakt bekommt, muss ja zumindest die anmeldeseite übertrageb werden, also muss das teil ja sowieso webserver-funktionalität haben. welche tools darfst du denn verwenden??? oder musst du das ganze os neu schreiben. was ist erlaubt?

Hi,

wenn der Squid nicht reicht und Du alles neu erfinden sollst...dann sorge dafuer,
dass sich die Person per ssh einlogged....mache in der ".profile" eine iptables-Rule, die seine MAC durchlaesst - schau dafuer nach, welche MAC-Adresse er hat ....
netstat - /proc...... ...bzw arp. Und schmeiss' den Typen danach mit exit wieder aus der Shell....

und wann wird der account wieder geschlossen??? wenn der nächste ans gerät geht hat er auch internetkontakt, da die mac ja frei zugänglich ist. eine freischaltung per mac ist für frei zugängliche rechner sehr ungünstig. woran erkennst du dann, ob der nur kurz pause macht oder liest oder ob er nicht mehr surft?

Zitat

Original von Peopls
Es soll sich ja primär, wie oben beschrieben, später denn über nen accespoint/WLAN eingewählt werden ... Ich würd nur erstmal kleine schritte machen und nicht gleich die großen Sprünge...

trotzdem sollte man sich nicht von anfang an auch gleich konzeptionelle schwächen einbauen.

wenn ich linux nutze und dabei potentiell mehrere user auf einem rechner arbeiten können und mit der selben mac in das netz gehen, ist diese authorisierung in meinen augen eine konzeptionelle schwäche. wenn nun auch noch mehrere maschinen über einen proxy an deinen authorisierungsrechner kommen, ist mit mac ganz schluss. da hätten nach der anmeldung eines users plötzlich alle zugriff, auch ohne ticket.
die ibemmer haben sich auch mal gesagt "och zwei stellen fürs datum reichen doch" und dann wars mist.

Zitat

und wann wird der account wieder geschlossen??? wenn der nächste ans gerät geht hat er auch internetkontakt, da die mac ja frei zugänglich ist. eine freischaltung per mac ist für frei zugängliche rechner sehr ungünstig. woran erkennst du dann, ob der nur kurz pause macht oder liest oder ob er nicht mehr surft?

- Log-Funktion von iptables....
- timeouts fuer die Konnektierungen.
- oder Du laesst die SSH-Konnektierung offen und wenn diese geschlossen wird, wird auch der Rest geschlossen

...naja, ok....squid ist NATUERLICH besser.

Mach' ich eben einen neuen Vorschlag:

Wir tunneln HTTP per SSH - FERTIG!

hi Peopls,

hier ein loesungsansatz fuer einen teilaspekt deines projektes.

zuerst eine kurze beschreibung unserer situation:
- benutzer die inHaus mit dem Laptop arbeiten wollen, sollen einen netzzugang erhalten um onlinedienste im internet, die fuer unsere organisation freigeschaltet sind [ueber IP], nutzen zu koennen.
- zugang ueber wlan oder Kabel
- absicherung gegenüber dem internen netzwerk
- authentifikation an vorhandener benutzerdatenbank
- fuer die absicherung ihres laptops sind die benutzer selbst verantwortlich
- moeglichst geringer aufwand fuer die systemadministration
- keine zeitbeschraenkungen
- keine ip/domain/inhaltsfilter [squid/squidGuard]

in punkto benutzerdatenbank und zeitbeschraenkung haben wir zwar andere voraussetzungen ... aber zuerst muss der client ja mal behandelt werden ...

hardware:
- server mit 2 netzwerkkarten [dhcp, iptables, apache]
- wlan-accesspoint

funktion:
- wer internetzugang wuenscht muss sein netzwerk auf dhcp stellen
- mit iptables [NAT] werden port 80 und 443 des segments auf eine php-seite des servers redirectet um die authentifizierung zu erzwingen
- ist diese erfolgreich, wird ein weiteres iptables-script mit dem parameter 'IP des benutzers' ausgeführt und der redirect bzw. NAT fuer diese IP zurueckgesetzt
[dieses script ist wie ein start/stop-script aufgebaut und koennte auch dazu verwendet werden die verbindung fuer diese ip wieder zu beenden d. h. NAT auf die authetifikationsseite]

fuer die verifizierung mac/ip wuerde ich die ausgabe von arp gegen den eintrag in der dhcpd.leases pruefen
z.B.:

bei uns wird bei der freischaltung nur ein logfile geschrieben - zu diesem zeitpunkt koennte auch die berechnung einer zeitscheibe beginnen die mittels timestamp/ip/mac/zeitvorgabe [z. B.: 90 minuten] prueft ob die vorgabezeit verstrichen ist und das iptables-script fuer den NAT-prerouting auf diese ip ausfuehrt]

das zeitfenster waere somit nur statisch - nach NN minuten wird getrennt.

ausserhalb der betriebszeiten werden alle connections beendet.
um die 'kleine paranoia' unseres netzadmins zu behandeln laeuft noch ein 'prelude' auf dem server mit.

gruß epikur