[alger]

Приветствую.

 

Подскажите можно ли изменить порядок авторизации на Микротике?

Чтобы при наличии связи с radius, нельзя было под локальной записью авторизоваться.

Авторизация в админку.

Изменено 25 мая, 2017 пользователем alger

[maxkst]

А что если сделать так user aaa set use-radius=yes

[alger]

А что если сделать так user aaa set use-radius=yes

И что ? Это и так включено, без этого авторизация через радиус бы не работала

[VolanD666]

Вроде нельзя. Он всегда локально авторизует

[alger]

Вроде нельзя. Он всегда локально авторизует

 

Печально.

 

На днях столкнулся то-ли с глюком, то-ли с фичей с Freeradius & Mikrotik:

при использовании Cleartext-Password могу авторизоваться и через winbox и через ssh

при использовании зашифрованного пароля, например SHA1-Password, могу подключиться только через ssh.

 

Никто не сталкивался? как подключитсья через winbox при использовании шифрованных паролей?

Изменено 26 мая, 2017 пользователем alger

[maxkst]

И что ? Это и так включено, без этого авторизация через радиус бы не работала

Допустим что пользователю с именем User111 на радиусе все запрещено, но существует такой же локальный юзер, которому все разрешено. Залогинившись этот юзер получит все или ничего если радиус сервер жив и отвечает?

[DRiVen]

Радиус по умолчанию приоритетней.

[maxkst]

Радиус по умолчанию приоритетней.

И если радиус живой, и в нем явно все запрещено для конкретного пользователя, а локальная запись для этого же пользователя дает админские права, то в итоге у пользователя будет все запрещено т.к. радиус приоритетней.

И снова перечитываю вопрос и не понимаю в чем проблема. Продублировать все локальные учетки в радиус и позакрывать.

[alger]

Радиус по умолчанию приоритетней.

И если радиус живой, и в нем явно все запрещено для конкретного пользователя, а локальная запись для этого же пользователя дает админские права, то в итоге у пользователя будет все запрещено т.к. радиус приоритетней.

И снова перечитываю вопрос и не понимаю в чем проблема. Продублировать все локальные учетки в радиус и позакрывать.

Мысль понял, завтра проверю: попробую в радиус admin запретить.

[alger]

Радиус по умолчанию приоритетней.

И если радиус живой, и в нем явно все запрещено для конкретного пользователя, а локальная запись для этого же пользователя дает админские права, то в итоге у пользователя будет все запрещено т.к. радиус приоритетней.

И снова перечитываю вопрос и не понимаю в чем проблема. Продублировать все локальные учетки в радиус и позакрывать.

 

Не работает. При наличии локального пользователя, к радиусу даже не обращается.

[DRiVen]

М-да, сорри, был не прав:

The RADIUS server database is consulted only if no matching user acces record is found in router's local database.

Попробуйте группу пользователей для аутентификации через радиус указать как defaul-group, а локальные, за исключением административной, вынести в exclude-groups.

[alger]

Попробуйте группу пользователей для аутентификации через радиус указать как defaul-group, а локальные, за исключением административной, вынести в exclude-groups.

Ничего не понял. Можно подробнее?

[DRiVen]

У вас пользователи все в группе read?

[jffulcrum]

указать как defaul-group, а локальные, за исключением административной, вынести в exclude-groups.

По ссылке же:

The RADIUS user database is consulted only if the required username is not found in the local user database

 

Локальная база используется всегда. В частности, если есть совпадающие логины локальные и RADIUS, проверяется только локальный.

[DRiVen]

jffulcrum, по ссылке то сходили?

exclude-groups (list of group names; Default: )

 

Exclude-groups consists of the groups that should not be allowed to be used for users authenticated by radius. If radius server provides group specified in this list, default-group will be used instead. This is to protect against privilege escalation when one user (without policy permission) can change radius server list, setup it's own radius server and log in as admin.

[alger]

Короче, без вариантов, локальная авторизация в приоретете. Блин, в очередной раз сталкиваюсь на непригодность микротика для корпоративного использования. Пришлось выкрутиться сделав скрипт который проверяет доступность радиуса, и отключает/включает локальную учетку. Но что будет если он сбойнет :)

 

 

а с такой проблемкой никто не сталкивался ?

при использовании Cleartext-Password в freeradius могу авторизоваться и через winbox и через ssh

при использовании зашифрованного пароля, например SHA1-Password, могу подключиться только через ssh.

[maxkst]

Но что будет если он сбойнет :)

А если бы все заработало так как вам нужно, но связь с радиусом сбойнула?

[jffulcrum]

по ссылке то сходили?

Спрашивать цитирующего текст со ссылки, ходил ли он по ссылке... Пичаль. Ну да ладно. Ключевая фраза в вашем куске:

 

 

to be used for users authenticated by radius

 

Т.е. exclude проверяется лишь для пользователей, уже авторизованных по RADIUS. Но если имя пользователя найдено в локальной базе, RADIUS не запрашивается вообще! И до exclude-group уже не доходит.

[DRiVen]

exclude проверяется лишь для пользователей, уже авторизованных по RADIUS. Но если имя пользователя найдено в локальной базе, RADIUS не запрашивается вообще!

jffulcrum, а группа exclude что, не в локальной базе? Как пользователь может авторизоваться на радиусе, если вы утверждаете, что при нахождении в локальной базе запроса на радиус не происходит вовсе? И да, действительно печаль, даже дочитать процитированное не можете. Специально для вас:

If radius server provides group specified in this list, default-group will be used instead.

Это к вашему недочиту и утверждению о незапрашиваемости радиуса. А теперь предположите, что должно произойти, если группа присутствует и локально и на радиусе, но на МТ определена как exclude.