{"id":513,"date":"2009-10-01T23:47:14","date_gmt":"2009-10-01T22:47:14","guid":{"rendered":"http:\/\/blog.solution.it\/?p=513"},"modified":"2019-04-16T11:56:15","modified_gmt":"2019-04-16T10:56:15","slug":"ipcop-creare-un-utente-amministratore-con-interfaccia-web-limitata","status":"publish","type":"post","link":"https:\/\/blog.solution.it\/?p=513","title":{"rendered":"IPCop: creare un utente amministratore con interfaccia web limitata"},"content":{"rendered":"

Avviso : IPCOP non riceve pi\u00f9 aggiornamenti dal 2015 ed il sito ufficiale \u00e8 stato chiuso. Potete eventualmente effettuare\u00a0 il download da http:\/\/ipcop.sourceforge.net o rivolgervi ad un altro prodotto, come ad esempio PFsense, IPFire od altri.<\/p>\n

problema aggiornamento AdvProxy: articolo aggiornato il 6 ottobre<\/em><\/p>\n

Quante\u00a0 volte avreste voluto evitare di dare la password di amministrazione del firewall IPCop<\/a> ad altri e non avete potuto farne a meno perch\u00e9 IPCop non prevede una gestione utenti?<\/p>\n

Personalmente \u00e8 successo un sacco di volte, oggi \u00e8 stata per\u00f2 l’ultima volta. Mi sono deciso a trovare un modo per creare una interfaccia limitata, ad esempio\u00a0 solo spegnimento e gestione dei filtri URL, cos\u00ec da non rischiare dando la password di amministrazione a qualcuno che potrebbe combinare qualche guaio.
\nIn sovrappi\u00f9, con questo metodo si possono creare tutti gli utenti di amministrazione che servono cos\u00ec da rendere compliant IPCop alla normativa sulla privacy ed ai provvedimenti del Garante in tema di Amministratori di sistema.<\/p>\n

Come fare? Non esistono addon specifici, ma \u00e8 bastato spulciare un po su Apache per trovare una soluzione. Ecco quindi come fare per creare un utente di amministrazione di IPCop specificando a quali pagine dell’interfaccia web di gestione\u00a0 possa accedere.<\/p>\n

Per prima cosa va creato un nuovo utente. Non si tratta di un utente di sistema ma di un utente del “sito web”\u00a0 di IPCop tramite il quale si effettua l’amministrazione.<\/p>\n

I nomi degli utenti e la password crittografata si trovano nel file \/var\/ipcop\/auth\/users<\/em>. Se lo aprite troverete una cosa simile a questa:<\/p>\n\n\n\n
admin:$apr1$7aDR1\/..$Aa0R7T\/DAjrr.fd<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Per aggiungere un nuovo utente \u00e8 sufficiente digitare il seguente comando:<\/p>\n\n\n\n
htpasswd -m \/var\/ipcop\/auth\/users nuovo_utente<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

sostituendo ovviamente nuovo_utente<\/em> con lo username da creare.<\/p>\n

A questo punto l’utente \u00e8 stato creato, ma ancora non potr\u00e0 fare nulla. Sar\u00e0 necessario assegnargli i diritti di accesso alle pagine web\u00a0 di amministrazione che vogliamo possa gestire.<\/p>\n

Per fare questo dovremo modificare a\u00a0 mano il file di configurazione di Apache. Fate una copia di riserva<\/em> della configurazione originale prima di metterci le mani!<\/p>\n

Aprite con vi il file \/etc\/httpd\/conf\/httpd.conf, <\/em>e cercate la sezione che inizia con <Directory \/home\/httpd\/cgi-bin><\/em>. Probabilmente sar\u00e0 qualcosa di simile a questo:<\/p>\n\n\n\n
<Directory \/home\/httpd\/cgi-bin>
\nAllowOverride None
\nOptions None
\nAuthName “Restricted”
\nAuthType Basic
\nAuthUserFile \/var\/ipcop\/auth\/users
\nRequire user admin
\n<Files index.cgi>
\nSatisfy Any
\nAllow from All
\n<\/Files>
\n# Start of modification by advproxy
\n<Files chpasswd.cgi>
\nSatisfy Any
\nAllow from All
\n<\/Files>
\n<Files webaccess.cgi>
\nSatisfy Any
\nAllow from All
\n<\/Files>
\n# End of modification by advproxy
\n<Files credits.cgi>
\nSatisfy Any
\nAllow from All
\n<\/Files>
\n<Files dial.cgi>
\nRequire user admin dial
\n<\/Files># le modifiche vanno qui<\/em><\/p>\n

<\/Directory><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

prima della chiusura del tag <\/Directory><\/em> dovrete aggiungere delle sezioni, una per ogni pagina che desiderate dare in gestione al\u00a0 nuovo utente oppure una sola se desiderate assegnargli pieni poteri.<\/p>\n\n\n\n
# Abilita accesso a tutte le pagine
\n<Files vpnmain.cgi> #
\nRequire user admin\u00a0 nuovo_utente # <– il nome del nuovo utente creato
\n<\/Files># oppure una sezione per ogni pagina, ad esempio:# Abilita accesso a pagina shutdown<\/p>\n

<Files shutdown.cgi>
\nRequire user admin\u00a0 nuovo_utente # <– il nome del nuovo utente creato
\n<\/Files><\/p>\n

# Abilita accesso a urlfilter<\/p>\n

<Files urlfilter.cgi>
\nRequire user admin\u00a0 nuovo_utente # <– il nome del nuovo utente creato
\n<\/Files><\/p>\n

# Abilita accesso a advanced Proxy<\/p>\n

<Files advproxy.cgi>
\nRequire user admin nuovo_utente # <– il nome del nuovo utente creato
\n<\/Files><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

A questo punto non resta che salvare il file e\u00a0 riavviare apache per testare il tutto.<\/p>\n\n\n\n
killall httpd\u00a0\u00a0\u00a0 # chiude il demone di Apachehttpd -DSSL # riavvia il servizio<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Quando il\u00a0 nuovo utente effettuer\u00e0 il login, potr\u00e0 accedere solo alle pagine permesse.<\/p>\n

Sto testando la cosa su alcune installazioni, se avete qualche commento, notate anomalie od altro, non esitate e scrivetemi.<\/p>\n

Aggiornamento<\/strong> del 6 ottobre 2009<\/p>\n

Sembra che se si effettua l’aggiornamento della versione di Advanced Proxy dopo aver fatto la modifica sopra suggerita venga danneggiato il file httpd.conf<\/strong> con il risultato che Apache non si avvia impedendo l’accesso al pannello di controllo pur mantenendo attive\u00a0 tutte le funzioni di IPcop e la navigazione. In questo caso \u00e8 sufficiente ripristinare la copia di http.conf originale e apportare nuovamente le modifiche. Nel caso non si abbia una copia di riserva del file, potete editare a amano il file danneggiato. Probabilmente troverete che mancano tutte le modifiche apportate. Resta solo un tag incompleto tipo questo:<\/p>\n\n\n\n
Require user admin pippo
\n<\/Files><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Manca cio\u00e8 la parte iniziale del tag<\/p>\n\n\n\n
<Files advproxy.cgi><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

che sembra andata persa nell’aggiornamento di versione. Devo analizzare lo script di installazione di Advanced Proxy per capire cosa sia successo. Eventuali aggiornamenti saranno postati qui.<\/p>\n","protected":false},"excerpt":{"rendered":"

Avviso : IPCOP non riceve pi\u00f9 aggiornamenti dal 2015 ed il sito ufficiale \u00e8 stato chiuso. Potete eventualmente effettuare\u00a0 il download da http:\/\/ipcop.sourceforge.net o rivolgervi ad un altro prodotto, come ad esempio PFsense, IPFire od altri. problema aggiornamento AdvProxy: articolo aggiornato il 6 ottobre Quante\u00a0 volte avreste voluto evitare di… <\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[6,12,36,60,62],"_links":{"self":[{"href":"https:\/\/blog.solution.it\/index.php?rest_route=\/wp\/v2\/posts\/513"}],"collection":[{"href":"https:\/\/blog.solution.it\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.solution.it\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.solution.it\/index.php?rest_route=\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.solution.it\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=513"}],"version-history":[{"count":16,"href":"https:\/\/blog.solution.it\/index.php?rest_route=\/wp\/v2\/posts\/513\/revisions"}],"predecessor-version":[{"id":1027,"href":"https:\/\/blog.solution.it\/index.php?rest_route=\/wp\/v2\/posts\/513\/revisions\/1027"}],"wp:attachment":[{"href":"https:\/\/blog.solution.it\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=513"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.solution.it\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=513"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.solution.it\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=513"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}