Jump to content
Калькуляторы

MikroTik авторизация можно изменить порядок?

Приветствую.

 

Подскажите можно ли изменить порядок авторизации на Микротике?

Чтобы при наличии связи с radius, нельзя было под локальной записью авторизоваться.

Авторизация в админку.

Edited by alger

Share this post


Link to post
Share on other sites

А что если сделать так user aaa set use-radius=yes

И что ? Это и так включено, без этого авторизация через радиус бы не работала

Share this post


Link to post
Share on other sites

Вроде нельзя. Он всегда локально авторизует

 

Печально.

 

На днях столкнулся то-ли с глюком, то-ли с фичей с Freeradius & Mikrotik:

при использовании Cleartext-Password могу авторизоваться и через winbox и через ssh

при использовании зашифрованного пароля, например SHA1-Password, могу подключиться только через ssh.

 

Никто не сталкивался? как подключитсья через winbox при использовании шифрованных паролей?

Edited by alger

Share this post


Link to post
Share on other sites

И что ? Это и так включено, без этого авторизация через радиус бы не работала

Допустим что пользователю с именем User111 на радиусе все запрещено, но существует такой же локальный юзер, которому все разрешено. Залогинившись этот юзер получит все или ничего если радиус сервер жив и отвечает?

Share this post


Link to post
Share on other sites

Радиус по умолчанию приоритетней.

И если радиус живой, и в нем явно все запрещено для конкретного пользователя, а локальная запись для этого же пользователя дает админские права, то в итоге у пользователя будет все запрещено т.к. радиус приоритетней.

И снова перечитываю вопрос и не понимаю в чем проблема. Продублировать все локальные учетки в радиус и позакрывать.

Share this post


Link to post
Share on other sites

Радиус по умолчанию приоритетней.

И если радиус живой, и в нем явно все запрещено для конкретного пользователя, а локальная запись для этого же пользователя дает админские права, то в итоге у пользователя будет все запрещено т.к. радиус приоритетней.

И снова перечитываю вопрос и не понимаю в чем проблема. Продублировать все локальные учетки в радиус и позакрывать.

Мысль понял, завтра проверю: попробую в радиус admin запретить.

Share this post


Link to post
Share on other sites

Радиус по умолчанию приоритетней.

И если радиус живой, и в нем явно все запрещено для конкретного пользователя, а локальная запись для этого же пользователя дает админские права, то в итоге у пользователя будет все запрещено т.к. радиус приоритетней.

И снова перечитываю вопрос и не понимаю в чем проблема. Продублировать все локальные учетки в радиус и позакрывать.

 

Не работает. При наличии локального пользователя, к радиусу даже не обращается.

Share this post


Link to post
Share on other sites

М-да, сорри, был не прав:

The RADIUS server database is consulted only if no matching user acces record is found in router's local database.

Попробуйте группу пользователей для аутентификации через радиус указать как defaul-group, а локальные, за исключением административной, вынести в exclude-groups.

Share this post


Link to post
Share on other sites

Попробуйте группу пользователей для аутентификации через радиус указать как defaul-group, а локальные, за исключением административной, вынести в exclude-groups.

Ничего не понял. Можно подробнее?

Share this post


Link to post
Share on other sites

указать как defaul-group, а локальные, за исключением административной, вынести в exclude-groups.

По ссылке же:

The RADIUS user database is consulted only if the required username is not found in the local user database

 

Локальная база используется всегда. В частности, если есть совпадающие логины локальные и RADIUS, проверяется только локальный.

Share this post


Link to post
Share on other sites

jffulcrum, по ссылке то сходили?

exclude-groups (list of group names; Default: )

 

Exclude-groups consists of the groups that should not be allowed to be used for users authenticated by radius. If radius server provides group specified in this list, default-group will be used instead. This is to protect against privilege escalation when one user (without policy permission) can change radius server list, setup it's own radius server and log in as admin.

Share this post


Link to post
Share on other sites

Короче, без вариантов, локальная авторизация в приоретете. Блин, в очередной раз сталкиваюсь на непригодность микротика для корпоративного использования. Пришлось выкрутиться сделав скрипт который проверяет доступность радиуса, и отключает/включает локальную учетку. Но что будет если он сбойнет :)

 

 

а с такой проблемкой никто не сталкивался ?

при использовании Cleartext-Password в freeradius могу авторизоваться и через winbox и через ssh

при использовании зашифрованного пароля, например SHA1-Password, могу подключиться только через ssh.

Share this post


Link to post
Share on other sites

по ссылке то сходили?

Спрашивать цитирующего текст со ссылки, ходил ли он по ссылке... Пичаль. Ну да ладно. Ключевая фраза в вашем куске:

 

 

to be used for users authenticated by radius

 

Т.е. exclude проверяется лишь для пользователей, уже авторизованных по RADIUS. Но если имя пользователя найдено в локальной базе, RADIUS не запрашивается вообще! И до exclude-group уже не доходит.

Share this post


Link to post
Share on other sites

exclude проверяется лишь для пользователей, уже авторизованных по RADIUS. Но если имя пользователя найдено в локальной базе, RADIUS не запрашивается вообще!

jffulcrum, а группа exclude что, не в локальной базе? Как пользователь может авторизоваться на радиусе, если вы утверждаете, что при нахождении в локальной базе запроса на радиус не происходит вовсе? И да, действительно печаль, даже дочитать процитированное не можете. Специально для вас:

If radius server provides group specified in this list, default-group will be used instead.

Это к вашему недочиту и утверждению о незапрашиваемости радиуса. А теперь предположите, что должно произойти, если группа присутствует и локально и на радиусе, но на МТ определена как exclude.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.