saaremaa Опубликовано 19 мая, 2018 · Жалоба 47 минут назад, modnyman сказал: Я описал ситуацию в случае когда скомпрометирован данный пароль, или пароль для юзера локального с правами полиси. 1. Python + Paramiko 2. Golang + golang.org/x/crypto/ssh 3. [Python | Golang | PHP] + Mikrotik API 1 - просто как самогонный аппарат, но долго и тупо на больших количествах узлов 2 - сложнее , но очень быстро на горутинах. 3 - имхо вариант очень стремный из-за странного синтаксиса API у Микротика. Был бы банальный RestAPI - imho было бы лучше Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 19 мая, 2018 · Жалоба 1 час назад, modnyman сказал: Смогли. Все и так на радиусе и работает норм. Но! Монтажникам ведь надо иногда зайти на антенну у которой например пропала связь с бс, дабы продиагностировать... Я описал ситуацию в случае когда скомпрометирован данный пароль, или пароль для юзера локального с правами полиси. Что бы локально зайти на антенну - можно и по мак адресу зайти. Следовательно никакой IP не нужен и тут работают обычные ограничения по сервисам/админам - что бы со стороны интернета никто не зашел, и что бы со стороны абонентского порта так же никто не зашел. При доступе по мак адресу политики IP не используются, и через винбокс по маку монтажники всегда смогут зайти, никакие же программы показа пароля по маку не работают. Для ограничения паролей можно держать служебные учетки, штук 10 например, или для каждого сотрудника своя - он от нее знает пароль, права минимальные - только чтение или с возможностью редактирования, но без просмотра паролей. 1 час назад, modnyman сказал: В ссш сессии можно генерировать ответ и наблюдать его визуально. Всё-таки не ежедневная процедура. За несколько лет мне пришлось прибегнуть к ней 1 раз, при увольнении сотрудника... А по поводу учёта вообще - можно добавить строку кода и писать в файл результат. Я больше данную фичу использую для апдейта прошивок массового или для обновления конфига. Через SSH можно удаленно собирать конфиги с оборудования, и так же сразу вносить необходимые изменения, в том числе и паролей. Все устройства по IP адресам держать в базе, и если конфиг с него сняли - отмечать время с датой и ставить флаг что конфиг есть, аналогично и с паролями. Если подключиться не удалось (это проверяется парсингом ответа), то при следующем проходе повторять попытки соединения. 1 час назад, saaremaa сказал: 1 - просто как самогонный аппарат, но долго и тупо на больших количествах узлов 2 - сложнее , но очень быстро на горутинах. 3 - имхо вариант очень стремный из-за странного синтаксиса API у Микротика. Был бы банальный RestAPI - imho было бы лучше Вообще есть putty и его можно запускать из самописного приложения группами, например по 100 устройств за раз, далее следить за списком процессов - если количество активных процессов стало меньше 100 - запускать еще и так пока все устройства не будут обработаны. Если проблем со скоростью, задержками и ответами нет, то на 10000 устройств хватает где-то пол часа для опроса/изменения конфигурации, иногда бывает что некоторые устройства не успевают отвечать, или приходит не весь конфиг, поэтому в командах следует использовать служебные метки вида: put message=!!!-START-COMPACT-!!! /export compact put message=!!!-END-COMPACT-!!! Тогда при прочтении ответа смотрите начало конфига и метки его полного получения, т.к. если без этого, может придти половина конфига, а другая часть потеряться. Так же бывает процессы зависают и долго висят, поэтому нужно по прошествии определенного времени, например минут 5 - их принудительно завершать, и, если данные по устройству не были получены, повторять попытку подключения к этому адресу. Сейчас складывается тенденция, что все хотят получить что-то готовое, или за минимальную стоимость - такого не бывает. На сети все надо держать свое и именно для своих нужд. Из простых вариантов база MS SQL и самописное приложение на делфи или вижуал си, кто что умеет. Тогда можно по сети с базой работать из любого места. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bek777 Опубликовано 20 июля, 2018 · Жалоба Добрый день! Один такой вопрос касательно The Dude. Можно ли на Dude создать аккаунт только режим view или read only для определёных групп людей кроме админа? Если да как? Не хочу на каждом оборудование создать аккаунты. Спасибо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 23 июля, 2018 · Жалоба Так можно сделать только через радиус, ведь на карте будет заведен только один пароль, через который все устройства открываются. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mafijs Опубликовано 23 июля, 2018 (изменено) · Жалоба Добавь `user`с правaми `read` на Mikrotik_е где DUDE и всё. Доступ к карте есть, но изменить ничего не может. Изменено 23 июля, 2018 пользователем mafijs Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 24 июля, 2018 · Жалоба Это они на карте не могут, а доступ к устройствам получат полный. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...