mefer Опубликовано 30 марта, 2020 · Жалоба С ростом количества оборудования возник острый вопрос по авторизации администраторов на оборудовании. Есть оборудование Mikrotik, Eltex и прочие Есть ли какой то софт для централизованной авторизации администраторов на оборудовании чрез радиус кроме freeipa? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
catalist Опубликовано 30 марта, 2020 · Жалоба Cisco acs Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 31 марта, 2020 · Жалоба 13 часов назад, mefer сказал: С ростом количества оборудования возник острый вопрос по авторизации администраторов на оборудовании. Есть оборудование Mikrotik, Eltex и прочие Есть ли какой то софт для централизованной авторизации администраторов на оборудовании чрез радиус кроме freeipa? FreeRadius? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 31 марта, 2020 · Жалоба Тоже делал на фрирадиус, правда до продакшена не дошло, по не техническим причинам. http://www.netlab.linkpc.net/download/software/FreeRadius/radius_acc/ тут конфиги как минимум начальные. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 31 марта, 2020 · Жалоба 17 часов назад, mefer сказал: Есть оборудование Mikrotik, Eltex и прочие Нужно будет поднимать несколько копий сервера фрирадиуса, т.к. у микротика одни версии прошивок авторизуют по одной схеме, последние версии по другой, и в пределах одного сервиса объединить их нельзя. То же самое и других устройств. Поэтому как минимум 3 копии сервера должны работать одновременно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 31 марта, 2020 · Жалоба Только что, Saab95 сказал: То же самое и других устройств. у "других устройств" все таки более-менее стандартизированно. ну а то что у некротиков в зависимости от версии и веществ, употребляемых говнокодерами, все работает совершенно по-разному и несовместимо друг с другом - так это уже классика... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 31 марта, 2020 · Жалоба 7 минут назад, NiTr0 сказал: работает совершенно по-разному и несовместимо друг с другом - так это уже классика... Они изменили для повышения безопасности, вся авторизация через радиус теперь идет в зашифрованном виде. В отличии от дырявых остальных производителей. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 31 марта, 2020 · Жалоба 11 минут назад, Saab95 сказал: В отличии от дырявых остальных производителей. Ну да, у дырявых производителей просто используются устаревшие технологии, вроде management vlan или следования стандартам. Но если под оборудованием подразумеваются коммутаторы, то я бы скорее смотрел на TACACS+, там обычно поддержка лучше и шире. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hsvt Опубликовано 31 марта, 2020 · Жалоба 4 часа назад, Ivan_83 сказал: Тоже делал на фрирадиус, правда до продакшена не дошло, по не техническим причинам. http://www.netlab.linkpc.net/download/software/FreeRadius/radius_acc/ тут конфиги как минимум начальные. А какие модули можно безопасно отключить которые автоматически идут в стандартной поставке с Freeradius если используется пока что обычный файл users ? mods-enabled/ lrwxrwxrwx 1 root radiusd 24 Aug 26 2019 always -> ../mods-available/always lrwxrwxrwx 1 root radiusd 29 Aug 26 2019 attr_filter -> ../mods-available/attr_filter lrwxrwxrwx 1 root radiusd 27 Aug 26 2019 cache_eap -> ../mods-available/cache_eap lrwxrwxrwx 1 root radiusd 22 Aug 26 2019 chap -> ../mods-available/chap lrwxrwxrwx 1 root radiusd 22 Aug 26 2019 date -> ../mods-available/date lrwxrwxrwx 1 root radiusd 24 Aug 26 2019 detail -> ../mods-available/detail lrwxrwxrwx 1 root radiusd 28 Aug 26 2019 detail.log -> ../mods-available/detail.log lrwxrwxrwx 1 root radiusd 24 Aug 26 2019 digest -> ../mods-available/digest lrwxrwxrwx 1 root radiusd 33 Aug 26 2019 dynamic_clients -> ../mods-available/dynamic_clients lrwxrwxrwx 1 root radiusd 21 Aug 26 2019 eap -> ../mods-available/eap lrwxrwxrwx 1 root radiusd 22 Aug 26 2019 echo -> ../mods-available/echo lrwxrwxrwx 1 root radiusd 22 Aug 26 2019 exec -> ../mods-available/exec lrwxrwxrwx 1 root radiusd 28 Aug 26 2019 expiration -> ../mods-available/expiration lrwxrwxrwx 1 root radiusd 22 Aug 26 2019 expr -> ../mods-available/expr lrwxrwxrwx 1 root radiusd 23 Aug 26 2019 files -> ../mods-available/files lrwxrwxrwx 1 root radiusd 25 Aug 26 2019 linelog -> ../mods-available/linelog lrwxrwxrwx 1 root radiusd 27 Aug 26 2019 logintime -> ../mods-available/logintime lrwxrwxrwx 1 root radiusd 24 Aug 26 2019 mschap -> ../mods-available/mschap lrwxrwxrwx 1 root radiusd 27 Aug 26 2019 ntlm_auth -> ../mods-available/ntlm_auth lrwxrwxrwx 1 root radiusd 21 Aug 26 2019 pap -> ../mods-available/pap lrwxrwxrwx 1 root radiusd 24 Aug 26 2019 passwd -> ../mods-available/passwd lrwxrwxrwx 1 root radiusd 28 Aug 26 2019 preprocess -> ../mods-available/preprocess lrwxrwxrwx 1 root radiusd 25 Aug 26 2019 radutmp -> ../mods-available/radutmp lrwxrwxrwx 1 root radiusd 23 Aug 26 2019 realm -> ../mods-available/realm lrwxrwxrwx 1 root radiusd 27 Aug 26 2019 replicate -> ../mods-available/replicate lrwxrwxrwx 1 root radiusd 21 Aug 26 2019 soh -> ../mods-available/soh lrwxrwxrwx 1 root radiusd 26 Aug 26 2019 sradutmp -> ../mods-available/sradutmp lrwxrwxrwx 1 root radiusd 22 Aug 26 2019 unix -> ../mods-available/unix lrwxrwxrwx 1 root radiusd 24 Aug 26 2019 unpack -> ../mods-available/unpack lrwxrwxrwx 1 root radiusd 22 Aug 26 2019 utf8 -> ../mods-available/utf8 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 31 марта, 2020 · Жалоба 11 часов назад, Saab95 сказал: Нужно будет поднимать несколько копий сервера фрирадиуса, т.к. у микротика одни версии прошивок авторизуют по одной схеме, последние версии по другой, и в пределах одного сервиса объединить их нельзя. То же самое и других устройств. Поэтому как минимум 3 копии сервера должны работать одновременно. Как минимум в конфиге можно три разных инстанса сделать, но вообще то там логика описывается на том же анленг и её можно менять легко. 11 часов назад, Saab95 сказал: Они изменили для повышения безопасности, вся авторизация через радиус теперь идет в зашифрованном виде. В отличии от дырявых остальных производителей. Ссылка на рфк будет или опять какой то костыль? И покажите как вы взломали hmac-md5 на общем секрете, так чтобы остальных производителей сделать несекурными. 7 часов назад, hsvt сказал: А какие модули можно безопасно отключить которые автоматически идут в стандартной поставке с Freeradius если используется пока что обычный файл users ? Я уже не помню. Кажется там и так всё отключено кроме необходимого. Ну или отключить всё и возвращать пока ошибки не уйдут :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 1 апреля, 2020 · Жалоба 9 часов назад, Ivan_83 сказал: Ссылка на рфк будет или опять какой то костыль? ну а как иначе? нужно сначала героически изобретать ни с чем не совместимые костыли, потом - героически страдать от того, что костыли не стандартизированы и от версии к версии меняются, постоянно что-то ломая. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 1 апреля, 2020 · Жалоба 16 часов назад, Ivan_83 сказал: Ссылка на рфк будет или опять какой то костыль? https://tools.ietf.org/html/rfc6614 если речь о RadSec Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 1 апреля, 2020 · Жалоба 1 час назад, jffulcrum сказал: https://tools.ietf.org/html/rfc6614 если речь о RadSec Это да, но смысла в этом нет даже когда приватного влана для этого нет: никто не показал взлом hmac-md5 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mefer Опубликовано 26 апреля, 2020 · Жалоба В 31.03.2020 в 13:54, Saab95 сказал: Нужно будет поднимать несколько копий сервера фрирадиуса, т.к. у микротика одни версии прошивок авторизуют по одной схеме, последние версии по другой, и в пределах одного сервиса объединить их нельзя. То же самое и других устройств. Поэтому как минимум 3 копии сервера должны работать одновременно. В нашем случае в первую очередь это авторизация админов на олтах Eltex, BDcom, на оборудовании микротик 6.ххх Во общем только микротов около 1000 устройств. От того и спрашиваю. По тому как бывает дискредитация паролей. Просто через радиус не очень удобно, по тому как оперативность смены очень страдает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 27 апреля, 2020 · Жалоба а что вы будете делать в случае компрометации своего радиус сервера? :-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 27 апреля, 2020 · Жалоба 8 часов назад, mefer сказал: В нашем случае в первую очередь это авторизация админов на олтах Eltex, BDcom, на оборудовании микротик 6.ххх Во общем только микротов около 1000 устройств. От того и спрашиваю. По тому как бывает дискредитация паролей. Просто через радиус не очень удобно, по тому как оперативность смены очень страдает. А в чем проблемы с оперативностью смены? Прикрутите вебку к этому и вперед. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 27 апреля, 2020 · Жалоба 2 часа назад, LostSoul сказал: а что вы будете делать в случае компрометации своего радиус сервера? :-) сменить пароли админов - делов-то. а потом - сменить радиус secret на железках для спокойствия. а что вы будете делать если ваш админпароль утечет наружу? в мыле ручками менять его по всем железкам? :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 27 апреля, 2020 · Жалоба 2 минуты назад, NiTr0 сказал: а что вы будете делать если ваш админпароль утечет наружу? в мыле ручками менять его по всем железкам? :) у нас нету одинакового админ пароля к всем железкам. и нету такого единого сервера, взлом которого позволил бы получить доступ к всем остальным и нету зависимости процесса авторизации на железке от работоспособности сети ( наличии связи с ядром ) или процесс авторизации через радиус , он как-то кеширует хеши , аки винда с active directrory? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 27 апреля, 2020 · Жалоба 14 минут назад, LostSoul сказал: у нас нету одинакового админ пароля к всем железкам. ок, уволился админ. с жопой в мыле по 100500 железкам менять пароли? :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mefer Опубликовано 27 апреля, 2020 · Жалоба 23 минуты назад, LostSoul сказал: у нас нету одинакового админ пароля к всем железкам. и нету такого единого сервера, взлом которого позволил бы получить доступ к всем остальным и нету зависимости процесса авторизации на железке от работоспособности сети ( наличии связи с ядром ) или процесс авторизации через радиус , он как-то кеширует хеши , аки винда с active directrory? Видимо мало у вас железок. на 1500 железках менять пароль это не один день и не неделю. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 27 апреля, 2020 · Жалоба 36 минут назад, NiTr0 сказал: ок, уволился админ. с жопой в мыле по 100500 железкам менять пароли? :) а конфиги вы на 100500 железок тоже руками через гуй кляк-кляц что ли раскидываете? Те же скрипты что занимаются деплоем прочей конфигурации - они же и пароли сменят 27 минут назад, mefer сказал: Видимо мало у вас железок. на 1500 железках менять пароль это не один день и не неделю. а если по ним пешком ходить по всему глобусу , без использования транспорта, то наверняка даже 100 жизней не хватит. Я так понимаю, сами конфиги вы тоже по какому-нибудь модному TR-69 на устройства распостраняете? ну раз единственным кошерным способом хранения паролей на железку считаете вариант с централизованной базой в radius Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ichthyandr Опубликовано 28 апреля, 2020 · Жалоба 22 часа назад, NiTr0 сказал: сменить пароли админов - делов-то. а потом - сменить радиус secret на железках для спокойствия. а что вы будете делать если ваш админпароль утечет наружу? в мыле ручками менять его по всем железкам? :) управляющий влан для этого делают, который "наружу" не выходит Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 29 апреля, 2020 · Жалоба В 27.04.2020 в 00:39, mefer сказал: Во общем только микротов около 1000 устройств. От того и спрашиваю. По тому как бывает дискредитация паролей. Просто через радиус не очень удобно, по тому как оперативность смены очень страдает. На микротиках, например, можно иметь учетку админ, пароль от которой знает лишь один человек. Каждому админу делать свою учетку, с ограниченными правами в части заведения администраторов, но тут минус - нет возможности перезагрузить микротик. Если используется некая система управления, например дуда, то на карте можно вбивать логин/пароль, по которому радиус сервер авторизует администратора на основе его IP адреса. В 27.04.2020 в 12:46, mefer сказал: Видимо мало у вас железок. на 1500 железках менять пароль это не один день и не неделю. Поменять можно за 5-10 минут. Достаточно иметь список IP адресов устройств (можно получить пингом), далее зайти под старым паролем и заменить на новый, например через ssh клиента автоматически. В 28.04.2020 в 10:55, ichthyandr сказал: управляющий влан для этого делают, который "наружу" не выходит Какой еще управляющий влан, например, на маршрутизаторах? Ранее он пошел при использовании управляемых коммутаторов, что бы отделить управление от остальных данных. В первые поры L2 коммутаторы часто так и использовали, влан управления и влан абонентов, т.к. авторизация была или по маку или через PPPoE. И по мере развития редко кто делал влан на порт, потому что центр не умел так авторизовывать, вешали всякие там опции и т.п. Но сейчас держать влан управления, прокидывать его по все сети, растягивая L2 сегменты - это уже устарело. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rz3dwy Опубликовано 29 апреля, 2020 · Жалоба 41 минуту назад, Saab95 сказал: Какой еще управляющий влан, например, на маршрутизаторах? На L3-устройствах либо для управления отдельный VRF, либо для оставить его в глобале, а все остальное в свои vrf. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 29 апреля, 2020 · Жалоба В 27.04.2020 в 12:22, LostSoul сказал: и нету зависимости процесса авторизации на железке от работоспособности сети ( наличии связи с ядром ) Там всегда можно зайти под юзерами в локальной базе свича. В 27.04.2020 в 12:22, LostSoul сказал: или процесс авторизации через радиус , он как-то кеширует хеши , аки винда с active directrory? Никто ничего не кеширует, нет в этом потребности. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...