OPNsense Forum
International Forums => German - Deutsch => Topic started by: Oxygen61 on December 20, 2016, 08:13:02 am
-
Hallo,
mir ist aufgefallen, dass jeder User der unter "System > Access > Users" angelegt wird, auch wenn er keine Privilegien zugeordnet bekommt sich am Captive Portal erfolgreich authentifizieren kann.
Bei pfSense wie auch bei OPNsense gibt es ja das "Services: Captive Portal" Privileg, welches diesen Zugriff eigentlich extra erlauben sollte.
Hab ich da einen Denkfehler oder warum braucht man dieses Privileg nicht?
Ich will eigentlich nicht unbedingt, dass jemand der von mir aus jetzt nur als Beispiel das Monitoring übernehmen sollte, sich auch gleichzeitig sofort am Captive Portal anmelden darf mit seinem Handy.
Schöne Grüße
Oxy
-
??? - Bump - :o
Hat keiner vielleicht noch ne Idee warum dieses "Feature" aus der pfSense Übernahme von damals entfernt wurde?
Hat man sich einfach dazu entschieden den Teil raus zu nehmen, weil er "überflüssig" war? :-/
Schöne Grüße
Oxy :)
-
Hi Oxy,
Das Captive-Portal wurde mit 16.1 *komplett* ausgetauscht, deswegen vielleicht.
Sollten wir überlegen, ob wir dies wieder aufnehmen?
Grüsse
Franco
-
Hey Franco,
schön das du dieses Thema doch nochmal aufgreifst. Freut mich! :)
In der Firma in der ich arbeite ist es üblich eine Handvoll Gäste WLAN Nutzer fest mit Username und Passwort,
für einen bestimmten Zeitraum, einzutragen.
Nun habe ich per Firewall Rule so oder so den Zugriff
auf die OPNsense Weboberfläche aus dem WLAN Gästenetz verboten.
Trotzdem müssen sich bestimmte User wie "Admin", "Praktikant/Azubi" und "Monitoring"
nicht extra am Captive Portal anmelden können,
nur weil sie gezwungener Weise als User mit bestimmten Privilegien, hinzugefügt wurden.
Nutzer/WLAN-Gäste/Praktikanten sollten eigentlich ausgeschlossen von den anderen Usern, zu mindestens optisch unter "System > Access > Users", durch das Captive Portal Privileg vom Rest abgetrennt sein.
User die von mir für den Captive Portal Zugang "angemeldet" werden, trage ich so oder so mit Vorname/Nachname und Passwort als temporären User ein. Dieser User sollte dann dazu fähig sein sich am Captive Portal anzumelden. Der User "Monitoring" muss das ja nicht unbedingt können dürfen/müssen.
Für mich ist das am Ende nur eine frage der Übersichtlichkeit. Also eher ein "kosmetisches Feature" für die GUI ("System > Access > Users"), sodass man auf den ersten Blick sehen kann, welche User nur für das Captive Portal angelegt wurden und z.B. in zwei Wochen wieder verschwinden werden. Fakt ist aber trotzdem, dass jemand das WLAN nutzen und das Captive Portal "umgehen" kann, wenn Name und Passwort von irgendeinem angelegten User bekannt sind. Auch wenn das z.B. der User: Test1 mit PW: Abc123 sein sollte, der zufällig bei den angelegten Usern noch herumgeistert. :)
Um es kurz zu machen: Ja, das Captive Portal Privileg hätte ich gerne wieder zurück. :D
Schöne Grüße
Oxy
-
Hi Oxy,
Wir haben das intern besprochen und folgendes kam dabei heraus:
https://github.com/opnsense/core/issues/1377
D.h. es wird hoffentlich in den nächsten Wochen erledigt werden, aber etwas anders als vorher: pro CP Zone wird es dann eine Select-Box geben mit Gruppen die sich einwählen dürfen.
Ähnliches haben wir auch für den Proxy und VPN vor.
Grüsse
Franco
-
[...]aber etwas anders als vorher: pro CP Zone wird es dann eine Select-Box geben mit Gruppen die sich einwählen dürfen.
Perfekt! Das klingt richtig gut so mit den "Gruppen". Bin gespannt! :)
Ähnliches haben wir auch für den Proxy und VPN vor.
Für den Proxy hab ich gerade keinen richtigen Anwendungsfall im Kopf, aber "VPN-Gruppen" finde ich auch sehr gut und hätte ich dann in nächster Zeit eh ebenfalls gebraucht. ;) Passt also alles! :)
Schöne Grüße,
Oxy