Wi-CAT LLC

Wireless Comprehensive Advanced Technology. Build your network now.

Wi-CAT LLC
Навигация Форума
Вы должны войти, чтобы создавать сообщения и темы.

(решено) Права доступа пользователей

Хочу закрыть для ordinary user доступ к разделу Wi-Fi - Main. Насколько я понимаю, это настраивается в /etc/nginx/nvram_acl.conf. Нет ли описания, что и где там нужно указывать?

В nvram_acl указываются права доступа к переменным nvram, с их помощью, конечно, можно ограничить доступ, но интерфейс во вкладке для пользователя скорее всего будет сломан. Формат очень простой: rwRW означает доступ на чтение и запись для пользователя и администратора. Чтобы запретить доступ пользователю, нужно указать --RW. Внутри файла есть комментарии, какие настройки к какому разделу относятся.

А как тогда правильно ограничить интерфейс (убрать у пользователя раздел Main)?

Правильнее было бы закрыть доступ к переменным в nvram_acl и скрыть wireless/main для пользователя в файле treeapp.asp .

А не подскажите подробнее? Мне нужно для обычных пользователей либо вообще скрыть раздел Main (через treeapp.asp я его скрыл, но есть еще кнопка "Go to settings", предлагающая настроить безопасность беспроводной сети, которая игнорирует treeapp.asp), либо (что более оптимально) разрешить пользователям изменять настройки радио (включить/выключить, сменить канал), разрешить просмотр "SSID Settings" (без возможности любых изменений) и полностью скрыть все остальные подразделы настроек. в nvram_acl.conf я прописал --RW у всех настроек, связанных с wireless, однако в интерфейсе эти настройки по прежнему видны и визуально доступны для изменений.

Чтобы визуально они были недоступны, придётся вносить изменения непосредственно в js и html в файле wireless/main.asp, в простейшем случае проставив элементам классы auth-disable-user, либо используя функции displayElement и disableElement, какого-то специального api на этот случай не существует. Можете посмотреть, как ограничивается доступ на других страницах и сделать по аналогии.

Классы auth-readonly-user и auth-disable-user я уже увидел в коде страниц. Их можно применять к TD или к любых элементам HTML? Я пробовал просматривать controls.js (который обрабатывает эти классы), но он слишком большой и запутанный, чтобы с ходу разобраться.

Из controls.js нужно прочитать только содержимое disableControlsByAuth() , там всё должно быть понятно. readonly и disabled нужно вешать на контролы, имеющие соответствующие атрибуты, а auth-hide-user будет отрабатывать практически на всём.

Хорошо, попробую.

Не посоветуете еще, как вносить эти изменения? Редактировать файлы через vi в ssh — получается очень печально. Использовать sftp или scp у меня не получилось, видимо это ограничения dropbear.

Я бы хотел скопировать нужные файлы на ПК, отредактировать их, а затем загрузить обратно.

/web находится в read-only FS, отредактировать его без пересборки прошивки не получится. Можно редактировать копию в /tmp/web , но после первой же перезагрузки она будет заменена. Поэтому варианта два: либо обойтись nvram_acl , либо самостоятельно пересобирать фирмварь.

Мне ведь не для личного пользования, а лицензия, насколько я помню, кастомизации в таких случаях не разрешает.

Раньше можно было архивом в RWFS подменять файлы прошивки. Теперь это делать нельзя?

В таком случае вряд ли чем-то можно помочь, web не хранится в rwfs, т.ч. и подменить его там не получится.

1) Из RWFS как была возможность хоть весь WEB заменить так и осталась там логика не менялась Sadler (ты чего эт вдруг?) вводит в заблужение.

        if [ -d /etc/web ]; then
            $LOG "Copy user web pages to tmpfs."
            cp -rpf /etc/web/* /tmp/web
        fi

Выполняется при загрузке. Т.е. если туда (в /etc/web) положить странички которые надо подменить они будут  подменятся в WEB при каждой загрузке.

О, спасибо.

2) Sadler добавь в туду по HQ возможность выставлять флаги для блокирования подгрузки asp файлов целиком с подменой на затычку per user. В HQ ессно. MT всё останется как есть. Только фиксы ошибок.

2 alibek Ну я всё понимаю. Но как бы ладно багрепорты. Ладно инфу какую запросить. Но ведь вы же должны пониматься, что NAG терь сам по себе, а MT ветка в режиме только багфиксов. Да и доки ессно никто под MT уже писать никакие не будет. NAG не дети африки что бы заниматься ТП за них. Решили они сами "развивать" - ок.

Sadler У тебя вроде работы и так вагон. А у меня 3 вагона и 4й на подходе.

Тему закрываю.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: