Oggi ho avuto a che fare con Grande Tecnico utOnto, GTu per gli amici. Il tutto e' nato dalla richiesta del Boss di installare un sistema wireless Ruckus per una manifestazione pubblica di non so cosa. Installare uno ZoneDirector con tre access point in mesh non e' un gran problema. Il vero problema e' che occorre creare una connessione a un server Radius con maschera di login personalizzata in cui viene richiesto nome, cognome, mail e numero di telefono salvando tutti questi dati piu' login e password casuali all'interno di un database SQL.
Visto che e' la prima volta che "gioco" con gli apparati Ruckus, non ho idea di cosa sappiano fare. O meglio, so che possono generare password random per utenti "guest" ma se possono o no salvarle in un database esterno e' tutto un altro paio di maniche.
Ovviamente, la richiesta e' stata fatta mercoledi' e per il lunedi' successivo occorre che sia tutto pronto. Visto che, dopo aver letto documentazione e forum ufficiali, non ho tirato fuori un ragno dal famoso buco, ho aggiornato il Boss della cosa.
Io: Secondo me non si fa. Cioe', lo fai ma ti devi creare una pagina web che gestisca la connessione e il salvataggio al database nonche' la generazione di password.
Boss: Umh, fai una cosa. Chiama [GTu]. Lui ci lavora e conosce bene quegli apparati (rileggetevi quest'ultima frase, please, e fissatevela bene in testa).
Dopo aver ricevuto il sacro-numero-diretto-senza-passare-dal-centralino, chiamo GTu che, per la cronaca, era stato pre-allertato dal mio Boss.
GTu: Si?
Io: Salve, sono [io] di [nome ditta]. La chiamo per quel discorso degli apparati Ruckus...
GTu: Ah, si. Se vuoi ci possiamo dare del tu senza problemi.
Io: Perfetto.
Inizio a spiegare per filo e per segno cosa devo fare e le prove che ho gia' eseguito e, una volta terminata la filippica, GTu mi chiede accesso remoto alla macchina su cui e' installato il radius e il database SQL. Fornisco l'accesso e attendo che il tizio analizzi la configurazione.
GTu: (guardando la parte relativa ai metodi di autenticazione) Qua devi mettere Active Directory.
Io: Visto che non c'e' un dominio Active Directory dove questo affare dovra' essere installato ne dubito molto fortemente.
Dopo qualche secondo...
GTu: Qua, pero', l'apparato l'hai chiamato "Radius".
Io: (penso) E allora? Se lo volevo chiamare "[organo genitale maschile volgarmente detto] vuoi?" era un problema? (dico) Essendo un server Radius lo trovo azzeccato come nome.
GTu: In effetti.
A questo punto, GTu passa a controllare alcuni flag e a me viene in mente, sfortunatamente, di dire una cosa.
Io: Quella voce che hai appena passato credo che sarebbe meglio attivarla.
Nota: Per chi fosse curioso, si trattava del WiFi Client Isolation.
GTu: E' gia' attiva.
Io: (osservando il quadratino grigio topo SENZA segno di spunta dentro) Sicuro?
GTu: Si, sicuro.
Io: (penso) promemoria per me: attivarla quando questo tizio si e' disconnesso.
Dopo qualche altro flag, arriviamo al "Terms of service" che e' correttamente abilitato.
Io: Potresti lasciarlo cosi' che voglio vedere cosa appare in fase di login?
GTu: Certo.
E, detto questo, sposta la freccia sul quadratino e DISATTIVA il "Terms of service" il cui campo di inserimento testo diventa TUTTO (ed e' uno spazio bello grande) grigio-non-editabile.
Dopo alcuni minuti di discussione per cercare (inutilmente) di far capire a GTu che TOGLIERE il flag significa disattivare, ritorniamo a parlare del problema.
GTu: Mi potresti rispiegare cosa devi fare?
Io: (penso, guardando l'orologio) Sono quaranta minuti che stiamo discutendo e ORA mi chiedi di rispiegare tutto? (dico) gli utenti devono collegarsi alla rete WiFi, gli deve venire chiesto l'inserimento dei dati personali e quindi il sistema deve generare delle credenziali valide per 48 ore salvando il tutto in un database SQL. L'autenticazione deve passare per un server Radius.
GTU: Ok, ho capito.
Io: (penso) Si, come no.
GTu: Quindi tu dagli la passphrase della rete WiFi. Quando si collegano, gli verra' richiesto un altro username e un'altra password.
Io: Se io mi collego a una rete Wireless e inserisco la passphrase dell'encryption WPA2, a meno che non ci siano altri script dietro, dubito fortemente che possa essere rediretto a una richiesta di inserimento di username e password.
GTu: Ah, e' vero anche quello.
A questo punto riparte una discussione sul sistema, su cosa dobbiamo fare e suoi vari problemi e, durante tutto questo tempo, sento GTu sfogliare appunti come un folle. Dopo UN'ORA E VENTI MINUTI, ne avevo abbastanza di questo soggetto.
Io: Senti, facciamo una cosa, ci aggiorniamo domani che adesso ho bisogno di chiamare un cliente.
GTu: (sollevato della cosa) Si, perfetto. A domani.
E questo, un soggetto che non sa distinguere fra un flag attivato e uno disattivato, sarebbe il tecnico che dovrebbe aiutarmi a sistemare il problema? Seeeeeeeeeeee, come no.
venerdì 29 giugno 2012
Iscriviti a:
Commenti sul post (Atom)
Strano, quando ho letto quello che devi fare ho avuto quasi un fremito... Se non fosse stato per le 48 ore, avrei quasi pensato che dovessi preparare un sistema per diventare federati a questi qui!
RispondiEliminaIn ogni caso, IMHO, una roba simile la fai solo se puoi impostare la pagina di accesso alla rete radius (cosa che non so nemmeno se si può fare) altrimenti devi poter impostare sul Proxy o sul Default Gateway dei client di effettuare la redirezione. In ogni caso, non è una cosa che si fa in 3 giorni...
Dubbio da un altro tecnico utonto (nel senso che ha poca esperienza):
RispondiEliminama non avresti potuto evitare di demandare l'autenticazione all'apparato e affidarla ad un apparato terzo con supporto al captive portal?
Perchè per fare quello che vuoi te con pfsense a collegare ad un radius a sua volta collegato ad un database sql non ci dovrebbe volere troppo, poi magari sbaglio.
Che ne pensi?
@Daniele C.: Infatti il problema era il tempo. Avessi avuto un paio di settimane qualcosa (forse) avrei tirato fuori. :)
RispondiElimina@wizard1993: Sfortunatamente siamo stati obbligati a utilizzare quell'apparato per l'autenticazione e non c'e' stata nessuna possibilita' di scelta in merito.
qualcosa del genere la feci pure io XD
RispondiEliminacon chillispot + il radius e un applicazione per gestire il database di freeradius.
L'alternativa era usare easyhotspot che ha tutto già pronto
Il problema, come ho detto a wizard1993, e' che eravamo legati a utilizzare quel prodotto specifico. Avendo avuto del tempo, comunque, le soluzioni si trovavano. :)
EliminaAlla fine come è andata?
RispondiEliminaMa 'cidenti, il tubo mi tradisce: non trovo lo spezzone adatto di 'The Producers' quando in tribunale Max Bialystock implora le vecchiette 'Please, don't help me'
RispondiElimina@Gk: Alla fine abbiamo risolto, piu' o meno, utilizzando un terzo apparato simil-radius per salvare i dati (non c'era ne' tempo ne', soprattutto, hardware per creare un server radius da zero). Taccio sulle sfighe che abbiamo avuto e sulla qualita' di questo prodotto. :)
RispondiElimina@Locomotiva: Ho presente. ;)