www.ProFTPD.de

ProFTPD => ProFTPD - Deutsch => Thema gestartet von: hurga am 21. Mai 2004, 19:20:51



Titel: <Limit> und kein Satisfy?
Beitrag von: hurga am 21. Mai 2004, 19:20:51
Hallo,

ich will sowas ähnliches in meine Konfig schreiben:
Code:

 <LOGIN>
     AllowUser someuser
     Allow from 192.168.0.
  </Limit>

Da aber proftpd meine Wünschen nun 'odert', kann sich der 'someuser' von überallher einloggen und es können sich alle User von dem angegebenen IP-Range anmelden. Das habe ich mir aber so nicht vorgestellt!

Ich brauche also sowas wie 'Satisfy All' (analog zum Apache) anstatt das 'Satisfy Any'. Es gab anscheinend mal eine Idee der Behebung in http://bugs.proftpd.org/show_bug.cgi?id=1898 aber das ist wohl nie umgesetzt worden.

Und nun? Wie erlaube ich einem User sich nur von einem bestimmten Adressbereich aus einzuloggen?

Vielen Dank für alle Ideen!
   ++ralph

P.S.: Es gibt VIELE User/Gruppen dieser Art, so daß die erste offensichtliche Idee mit mod_wrap nicht klappt... (Also in hosts.allow erst mal die IP-Restriktionen behandeln...)


Titel: Re: <Limit> und kein Satisfy?
Beitrag von: stonki am 21. Mai 2004, 20:07:08
Zitat von: "hurga"
Hallo,

ich will sowas ähnliches in meine Konfig schreiben:
Code:

 <LOGIN>
     AllowUser someuser
     Allow from 192.168.0.
  </Limit>

Da aber proftpd meine Wünschen nun 'odert', kann sich der 'someuser' von überallher einloggen und es können sich alle User von dem angegebenen IP-Range anmelden. Das habe ich mir aber so nicht vorgestellt!

Ich brauche also sowas wie 'Satisfy All' (analog zum Apache) anstatt das 'Satisfy Any'. Es gab anscheinend mal eine Idee der Behebung in http://bugs.proftpd.org/show_bug.cgi?id=1898 aber das ist wohl nie umgesetzt worden.

Und nun? Wie erlaube ich einem User sich nur von einem bestimmten Adressbereich aus einzuloggen?

Vielen Dank für alle Ideen!
   ++ralph

P.S.: Es gibt VIELE User/Gruppen dieser Art, so daß die erste offensichtliche Idee mit mod_wrap nicht klappt... (Also in hosts.allow erst mal die IP-Restriktionen behandeln...)

wie viele User, Gruppen dieser Art gibt es denn ? Ich dachte erst an die Ifsessions....

cu
stonki


Titel: <Limit> und kein Satisfy?
Beitrag von: hurga am 21. Mai 2004, 21:27:54
Im Moment sind es 83, aber es werden im Laufe der Zeit bestimmt mehr.

Wenn man 'anders' drüber nachdenkt, gibt es in der Tat einige Lösungsansätze.
Code:

<IfUser someuser>
  <Limit login>
    Allow from 192.168.0.
 </Limit>
</IfUser>


oder andersrum:
Code:

<IfClass !maschinenklasse-fuer-someuser>
 DenyUser someuser
</IfClass>
 


Vielleicht geht ja auch
Code:

<Anonymous ~someuser>
  <Limit login>
     Allow from 192.168.0.
  </Limit>
</Anonymous>


Hm, wenn man völlig versteift eine 'Satisfy'-Variante sucht, sieht man den Wald vor lauter Bäumen nicht. Nach so einem kleinen Kasten Flensburger und einem kleinen Tipp vom Admin kommt man ja doch manchmal auf gute Ideen. :-) Jetzt muss ich allerdings bis morgen mit dem Ausprobieren warten.....

Vielen Dank für die Denkhilfe!
   ++ralph

P.S.: Endlich halbwegs brauchbare 'Class'en in 10rc1! Das wurde ja auch Zeit. :-)


Titel: <Limit> und kein Satisfy?
Beitrag von: stonki am 23. Mai 2004, 22:07:17
noch ne andere Idee, aber komplett ungetestet und ich habe auch keine Idee, ob es ueberhaupt moeglich ist. mod_sql erlaubt eine "whereclause". Nun muesste man mal checken, ob man dort ein Feld in der DB gegen die IP (die ja ggf. als % Variable vorliegt) checken kann.

cu
stonki