alger Posted May 25, 2017 (edited) · Report post Приветствую. Подскажите можно ли изменить порядок авторизации на Микротике? Чтобы при наличии связи с radius, нельзя было под локальной записью авторизоваться. Авторизация в админку. Edited May 25, 2017 by alger Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
maxkst Posted May 25, 2017 · Report post А что если сделать так user aaa set use-radius=yes Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alger Posted May 26, 2017 · Report post А что если сделать так user aaa set use-radius=yes И что ? Это и так включено, без этого авторизация через радиус бы не работала Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
VolanD666 Posted May 26, 2017 · Report post Вроде нельзя. Он всегда локально авторизует Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alger Posted May 26, 2017 (edited) · Report post Вроде нельзя. Он всегда локально авторизует Печально. На днях столкнулся то-ли с глюком, то-ли с фичей с Freeradius & Mikrotik: при использовании Cleartext-Password могу авторизоваться и через winbox и через ssh при использовании зашифрованного пароля, например SHA1-Password, могу подключиться только через ssh. Никто не сталкивался? как подключитсья через winbox при использовании шифрованных паролей? Edited May 26, 2017 by alger Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
maxkst Posted May 26, 2017 · Report post И что ? Это и так включено, без этого авторизация через радиус бы не работала Допустим что пользователю с именем User111 на радиусе все запрещено, но существует такой же локальный юзер, которому все разрешено. Залогинившись этот юзер получит все или ничего если радиус сервер жив и отвечает? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DRiVen Posted May 26, 2017 · Report post Радиус по умолчанию приоритетней. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
maxkst Posted May 26, 2017 · Report post Радиус по умолчанию приоритетней. И если радиус живой, и в нем явно все запрещено для конкретного пользователя, а локальная запись для этого же пользователя дает админские права, то в итоге у пользователя будет все запрещено т.к. радиус приоритетней. И снова перечитываю вопрос и не понимаю в чем проблема. Продублировать все локальные учетки в радиус и позакрывать. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alger Posted May 26, 2017 · Report post Радиус по умолчанию приоритетней. И если радиус живой, и в нем явно все запрещено для конкретного пользователя, а локальная запись для этого же пользователя дает админские права, то в итоге у пользователя будет все запрещено т.к. радиус приоритетней. И снова перечитываю вопрос и не понимаю в чем проблема. Продублировать все локальные учетки в радиус и позакрывать. Мысль понял, завтра проверю: попробую в радиус admin запретить. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alger Posted May 27, 2017 · Report post Радиус по умолчанию приоритетней. И если радиус живой, и в нем явно все запрещено для конкретного пользователя, а локальная запись для этого же пользователя дает админские права, то в итоге у пользователя будет все запрещено т.к. радиус приоритетней. И снова перечитываю вопрос и не понимаю в чем проблема. Продублировать все локальные учетки в радиус и позакрывать. Не работает. При наличии локального пользователя, к радиусу даже не обращается. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DRiVen Posted May 28, 2017 · Report post М-да, сорри, был не прав: The RADIUS server database is consulted only if no matching user acces record is found in router's local database. Попробуйте группу пользователей для аутентификации через радиус указать как defaul-group, а локальные, за исключением административной, вынести в exclude-groups. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alger Posted May 30, 2017 · Report post Попробуйте группу пользователей для аутентификации через радиус указать как defaul-group, а локальные, за исключением административной, вынести в exclude-groups. Ничего не понял. Можно подробнее? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DRiVen Posted May 30, 2017 · Report post У вас пользователи все в группе read? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
jffulcrum Posted May 30, 2017 · Report post указать как defaul-group, а локальные, за исключением административной, вынести в exclude-groups. По ссылке же: The RADIUS user database is consulted only if the required username is not found in the local user database Локальная база используется всегда. В частности, если есть совпадающие логины локальные и RADIUS, проверяется только локальный. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DRiVen Posted May 31, 2017 · Report post jffulcrum, по ссылке то сходили? exclude-groups (list of group names; Default: ) Exclude-groups consists of the groups that should not be allowed to be used for users authenticated by radius. If radius server provides group specified in this list, default-group will be used instead. This is to protect against privilege escalation when one user (without policy permission) can change radius server list, setup it's own radius server and log in as admin. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alger Posted May 31, 2017 · Report post Короче, без вариантов, локальная авторизация в приоретете. Блин, в очередной раз сталкиваюсь на непригодность микротика для корпоративного использования. Пришлось выкрутиться сделав скрипт который проверяет доступность радиуса, и отключает/включает локальную учетку. Но что будет если он сбойнет :) а с такой проблемкой никто не сталкивался ? при использовании Cleartext-Password в freeradius могу авторизоваться и через winbox и через ssh при использовании зашифрованного пароля, например SHA1-Password, могу подключиться только через ssh. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
maxkst Posted May 31, 2017 · Report post Но что будет если он сбойнет :) А если бы все заработало так как вам нужно, но связь с радиусом сбойнула? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
jffulcrum Posted June 1, 2017 · Report post по ссылке то сходили? Спрашивать цитирующего текст со ссылки, ходил ли он по ссылке... Пичаль. Ну да ладно. Ключевая фраза в вашем куске: to be used for users authenticated by radius Т.е. exclude проверяется лишь для пользователей, уже авторизованных по RADIUS. Но если имя пользователя найдено в локальной базе, RADIUS не запрашивается вообще! И до exclude-group уже не доходит. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DRiVen Posted June 1, 2017 · Report post exclude проверяется лишь для пользователей, уже авторизованных по RADIUS. Но если имя пользователя найдено в локальной базе, RADIUS не запрашивается вообще! jffulcrum, а группа exclude что, не в локальной базе? Как пользователь может авторизоваться на радиусе, если вы утверждаете, что при нахождении в локальной базе запроса на радиус не происходит вовсе? И да, действительно печаль, даже дочитать процитированное не можете. Специально для вас: If radius server provides group specified in this list, default-group will be used instead. Это к вашему недочиту и утверждению о незапрашиваемости радиуса. А теперь предположите, что должно произойти, если группа присутствует и локально и на радиусе, но на МТ определена как exclude. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...