alger Опубликовано 25 мая, 2017 (изменено) · Жалоба Приветствую. Подскажите можно ли изменить порядок авторизации на Микротике? Чтобы при наличии связи с radius, нельзя было под локальной записью авторизоваться. Авторизация в админку. Изменено 25 мая, 2017 пользователем alger Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
maxkst Опубликовано 25 мая, 2017 · Жалоба А что если сделать так user aaa set use-radius=yes Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alger Опубликовано 26 мая, 2017 · Жалоба А что если сделать так user aaa set use-radius=yes И что ? Это и так включено, без этого авторизация через радиус бы не работала Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 26 мая, 2017 · Жалоба Вроде нельзя. Он всегда локально авторизует Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alger Опубликовано 26 мая, 2017 (изменено) · Жалоба Вроде нельзя. Он всегда локально авторизует Печально. На днях столкнулся то-ли с глюком, то-ли с фичей с Freeradius & Mikrotik: при использовании Cleartext-Password могу авторизоваться и через winbox и через ssh при использовании зашифрованного пароля, например SHA1-Password, могу подключиться только через ssh. Никто не сталкивался? как подключитсья через winbox при использовании шифрованных паролей? Изменено 26 мая, 2017 пользователем alger Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
maxkst Опубликовано 26 мая, 2017 · Жалоба И что ? Это и так включено, без этого авторизация через радиус бы не работала Допустим что пользователю с именем User111 на радиусе все запрещено, но существует такой же локальный юзер, которому все разрешено. Залогинившись этот юзер получит все или ничего если радиус сервер жив и отвечает? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 26 мая, 2017 · Жалоба Радиус по умолчанию приоритетней. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
maxkst Опубликовано 26 мая, 2017 · Жалоба Радиус по умолчанию приоритетней. И если радиус живой, и в нем явно все запрещено для конкретного пользователя, а локальная запись для этого же пользователя дает админские права, то в итоге у пользователя будет все запрещено т.к. радиус приоритетней. И снова перечитываю вопрос и не понимаю в чем проблема. Продублировать все локальные учетки в радиус и позакрывать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alger Опубликовано 26 мая, 2017 · Жалоба Радиус по умолчанию приоритетней. И если радиус живой, и в нем явно все запрещено для конкретного пользователя, а локальная запись для этого же пользователя дает админские права, то в итоге у пользователя будет все запрещено т.к. радиус приоритетней. И снова перечитываю вопрос и не понимаю в чем проблема. Продублировать все локальные учетки в радиус и позакрывать. Мысль понял, завтра проверю: попробую в радиус admin запретить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alger Опубликовано 27 мая, 2017 · Жалоба Радиус по умолчанию приоритетней. И если радиус живой, и в нем явно все запрещено для конкретного пользователя, а локальная запись для этого же пользователя дает админские права, то в итоге у пользователя будет все запрещено т.к. радиус приоритетней. И снова перечитываю вопрос и не понимаю в чем проблема. Продублировать все локальные учетки в радиус и позакрывать. Не работает. При наличии локального пользователя, к радиусу даже не обращается. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 28 мая, 2017 · Жалоба М-да, сорри, был не прав: The RADIUS server database is consulted only if no matching user acces record is found in router's local database. Попробуйте группу пользователей для аутентификации через радиус указать как defaul-group, а локальные, за исключением административной, вынести в exclude-groups. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alger Опубликовано 30 мая, 2017 · Жалоба Попробуйте группу пользователей для аутентификации через радиус указать как defaul-group, а локальные, за исключением административной, вынести в exclude-groups. Ничего не понял. Можно подробнее? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 30 мая, 2017 · Жалоба У вас пользователи все в группе read? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 30 мая, 2017 · Жалоба указать как defaul-group, а локальные, за исключением административной, вынести в exclude-groups. По ссылке же: The RADIUS user database is consulted only if the required username is not found in the local user database Локальная база используется всегда. В частности, если есть совпадающие логины локальные и RADIUS, проверяется только локальный. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 31 мая, 2017 · Жалоба jffulcrum, по ссылке то сходили? exclude-groups (list of group names; Default: ) Exclude-groups consists of the groups that should not be allowed to be used for users authenticated by radius. If radius server provides group specified in this list, default-group will be used instead. This is to protect against privilege escalation when one user (without policy permission) can change radius server list, setup it's own radius server and log in as admin. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alger Опубликовано 31 мая, 2017 · Жалоба Короче, без вариантов, локальная авторизация в приоретете. Блин, в очередной раз сталкиваюсь на непригодность микротика для корпоративного использования. Пришлось выкрутиться сделав скрипт который проверяет доступность радиуса, и отключает/включает локальную учетку. Но что будет если он сбойнет :) а с такой проблемкой никто не сталкивался ? при использовании Cleartext-Password в freeradius могу авторизоваться и через winbox и через ssh при использовании зашифрованного пароля, например SHA1-Password, могу подключиться только через ssh. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
maxkst Опубликовано 31 мая, 2017 · Жалоба Но что будет если он сбойнет :) А если бы все заработало так как вам нужно, но связь с радиусом сбойнула? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 1 июня, 2017 · Жалоба по ссылке то сходили? Спрашивать цитирующего текст со ссылки, ходил ли он по ссылке... Пичаль. Ну да ладно. Ключевая фраза в вашем куске: to be used for users authenticated by radius Т.е. exclude проверяется лишь для пользователей, уже авторизованных по RADIUS. Но если имя пользователя найдено в локальной базе, RADIUS не запрашивается вообще! И до exclude-group уже не доходит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 1 июня, 2017 · Жалоба exclude проверяется лишь для пользователей, уже авторизованных по RADIUS. Но если имя пользователя найдено в локальной базе, RADIUS не запрашивается вообще! jffulcrum, а группа exclude что, не в локальной базе? Как пользователь может авторизоваться на радиусе, если вы утверждаете, что при нахождении в локальной базе запроса на радиус не происходит вовсе? И да, действительно печаль, даже дочитать процитированное не можете. Специально для вас: If radius server provides group specified in this list, default-group will be used instead. Это к вашему недочиту и утверждению о незапрашиваемости радиуса. А теперь предположите, что должно произойти, если группа присутствует и локально и на радиусе, но на МТ определена как exclude. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...