Jump to content
Калькуляторы

Сервер авторизации пользователей для оборудования

С ростом количества оборудования возник острый вопрос по авторизации администраторов на оборудовании.

Есть оборудование Mikrotik, Eltex и прочие

Есть ли какой то софт для централизованной авторизации администраторов на оборудовании чрез радиус кроме freeipa?

Share this post


Link to post
Share on other sites
13 часов назад, mefer сказал:

С ростом количества оборудования возник острый вопрос по авторизации администраторов на оборудовании.

Есть оборудование Mikrotik, Eltex и прочие

Есть ли какой то софт для централизованной авторизации администраторов на оборудовании чрез радиус кроме freeipa?

FreeRadius?

Share this post


Link to post
Share on other sites
17 часов назад, mefer сказал:

Есть оборудование Mikrotik, Eltex и прочие

Нужно будет поднимать несколько копий сервера фрирадиуса, т.к. у микротика одни версии прошивок авторизуют по одной схеме, последние версии по другой, и в пределах одного сервиса объединить их нельзя.

То же самое и других устройств. Поэтому как минимум 3 копии сервера должны работать одновременно.

Share this post


Link to post
Share on other sites
Только что, Saab95 сказал:

То же самое и других устройств.

у "других устройств" все таки более-менее стандартизированно.

ну а то что у некротиков в зависимости от версии и веществ, употребляемых говнокодерами, все работает совершенно по-разному и несовместимо друг с другом - так это уже классика...

Share this post


Link to post
Share on other sites
7 минут назад, NiTr0 сказал:

работает совершенно по-разному и несовместимо друг с другом - так это уже классика...

Они изменили для повышения безопасности, вся авторизация через радиус теперь идет в зашифрованном виде. В отличии от дырявых остальных производителей.

Share this post


Link to post
Share on other sites
11 минут назад, Saab95 сказал:

В отличии от дырявых остальных производителей.

Ну да, у дырявых производителей просто используются устаревшие технологии, вроде management vlan или следования стандартам.

 

Но если под оборудованием подразумеваются коммутаторы, то я бы скорее смотрел на TACACS+, там обычно поддержка лучше и шире.

Share this post


Link to post
Share on other sites
4 часа назад, Ivan_83 сказал:

Тоже делал на фрирадиус, правда до продакшена не дошло, по не техническим причинам.

http://www.netlab.linkpc.net/download/software/FreeRadius/radius_acc/

тут конфиги как минимум начальные.

А какие модули можно безопасно отключить которые автоматически идут в стандартной поставке с Freeradius если используется пока что обычный файл users ?

 

mods-enabled/
lrwxrwxrwx 1 root radiusd 24 Aug 26  2019 always -> ../mods-available/always
lrwxrwxrwx 1 root radiusd 29 Aug 26  2019 attr_filter -> ../mods-available/attr_filter
lrwxrwxrwx 1 root radiusd 27 Aug 26  2019 cache_eap -> ../mods-available/cache_eap
lrwxrwxrwx 1 root radiusd 22 Aug 26  2019 chap -> ../mods-available/chap
lrwxrwxrwx 1 root radiusd 22 Aug 26  2019 date -> ../mods-available/date
lrwxrwxrwx 1 root radiusd 24 Aug 26  2019 detail -> ../mods-available/detail
lrwxrwxrwx 1 root radiusd 28 Aug 26  2019 detail.log -> ../mods-available/detail.log
lrwxrwxrwx 1 root radiusd 24 Aug 26  2019 digest -> ../mods-available/digest
lrwxrwxrwx 1 root radiusd 33 Aug 26  2019 dynamic_clients -> ../mods-available/dynamic_clients
lrwxrwxrwx 1 root radiusd 21 Aug 26  2019 eap -> ../mods-available/eap
lrwxrwxrwx 1 root radiusd 22 Aug 26  2019 echo -> ../mods-available/echo
lrwxrwxrwx 1 root radiusd 22 Aug 26  2019 exec -> ../mods-available/exec
lrwxrwxrwx 1 root radiusd 28 Aug 26  2019 expiration -> ../mods-available/expiration
lrwxrwxrwx 1 root radiusd 22 Aug 26  2019 expr -> ../mods-available/expr
lrwxrwxrwx 1 root radiusd 23 Aug 26  2019 files -> ../mods-available/files
lrwxrwxrwx 1 root radiusd 25 Aug 26  2019 linelog -> ../mods-available/linelog
lrwxrwxrwx 1 root radiusd 27 Aug 26  2019 logintime -> ../mods-available/logintime
lrwxrwxrwx 1 root radiusd 24 Aug 26  2019 mschap -> ../mods-available/mschap
lrwxrwxrwx 1 root radiusd 27 Aug 26  2019 ntlm_auth -> ../mods-available/ntlm_auth
lrwxrwxrwx 1 root radiusd 21 Aug 26  2019 pap -> ../mods-available/pap
lrwxrwxrwx 1 root radiusd 24 Aug 26  2019 passwd -> ../mods-available/passwd
lrwxrwxrwx 1 root radiusd 28 Aug 26  2019 preprocess -> ../mods-available/preprocess
lrwxrwxrwx 1 root radiusd 25 Aug 26  2019 radutmp -> ../mods-available/radutmp
lrwxrwxrwx 1 root radiusd 23 Aug 26  2019 realm -> ../mods-available/realm
lrwxrwxrwx 1 root radiusd 27 Aug 26  2019 replicate -> ../mods-available/replicate
lrwxrwxrwx 1 root radiusd 21 Aug 26  2019 soh -> ../mods-available/soh
lrwxrwxrwx 1 root radiusd 26 Aug 26  2019 sradutmp -> ../mods-available/sradutmp
lrwxrwxrwx 1 root radiusd 22 Aug 26  2019 unix -> ../mods-available/unix
lrwxrwxrwx 1 root radiusd 24 Aug 26  2019 unpack -> ../mods-available/unpack
lrwxrwxrwx 1 root radiusd 22 Aug 26  2019 utf8 -> ../mods-available/utf8

 

Share this post


Link to post
Share on other sites
11 часов назад, Saab95 сказал:

Нужно будет поднимать несколько копий сервера фрирадиуса, т.к. у микротика одни версии прошивок авторизуют по одной схеме, последние версии по другой, и в пределах одного сервиса объединить их нельзя.

То же самое и других устройств. Поэтому как минимум 3 копии сервера должны работать одновременно.

Как минимум в конфиге можно три разных инстанса сделать, но вообще то там логика описывается на том же анленг и её можно менять легко.

 

11 часов назад, Saab95 сказал:

Они изменили для повышения безопасности, вся авторизация через радиус теперь идет в зашифрованном виде. В отличии от дырявых остальных производителей.

Ссылка на рфк будет или опять какой то костыль?

И покажите как вы взломали hmac-md5 на общем секрете, так чтобы остальных производителей сделать несекурными.

 

 

7 часов назад, hsvt сказал:

А какие модули можно безопасно отключить которые автоматически идут в стандартной поставке с Freeradius если используется пока что обычный файл users ?

Я уже не помню.

Кажется там и так всё отключено кроме необходимого.

Ну или отключить всё и возвращать пока ошибки не уйдут :)

Share this post


Link to post
Share on other sites
9 часов назад, Ivan_83 сказал:

Ссылка на рфк будет или опять какой то костыль?

ну а как иначе?

нужно сначала героически изобретать ни с чем не совместимые костыли, потом - героически страдать от того, что костыли не стандартизированы и от версии к версии меняются, постоянно что-то ломая.

Share this post


Link to post
Share on other sites
1 час назад, jffulcrum сказал:

https://tools.ietf.org/html/rfc6614 если речь о RadSec

Это да, но смысла в этом нет даже когда приватного влана для этого нет: никто не показал взлом hmac-md5

Share this post


Link to post
Share on other sites
В 31.03.2020 в 13:54, Saab95 сказал:

Нужно будет поднимать несколько копий сервера фрирадиуса, т.к. у микротика одни версии прошивок авторизуют по одной схеме, последние версии по другой, и в пределах одного сервиса объединить их нельзя.

То же самое и других устройств. Поэтому как минимум 3 копии сервера должны работать одновременно.

В нашем случае в первую очередь это авторизация админов на олтах Eltex, BDcom, на оборудовании микротик 6.ххх

Во общем только микротов около 1000 устройств. От того и спрашиваю. По тому как бывает дискредитация паролей. Просто через радиус не очень удобно, по тому как оперативность смены очень страдает.

Share this post


Link to post
Share on other sites

а что вы будете делать в случае компрометации своего радиус сервера? :-)

 

Share this post


Link to post
Share on other sites
8 часов назад, mefer сказал:

В нашем случае в первую очередь это авторизация админов на олтах Eltex, BDcom, на оборудовании микротик 6.ххх

Во общем только микротов около 1000 устройств. От того и спрашиваю. По тому как бывает дискредитация паролей. Просто через радиус не очень удобно, по тому как оперативность смены очень страдает.

А в чем проблемы с оперативностью смены? Прикрутите вебку к этому и вперед.

Share this post


Link to post
Share on other sites
2 часа назад, LostSoul сказал:

а что вы будете делать в случае компрометации своего радиус сервера? :-)

сменить пароли админов - делов-то. а потом - сменить радиус secret на железках для спокойствия.

 

а что вы будете делать если ваш админпароль утечет наружу? в мыле ручками менять его по всем железкам? :)

Share this post


Link to post
Share on other sites
2 минуты назад, NiTr0 сказал:

а что вы будете делать если ваш админпароль утечет наружу? в мыле ручками менять его по всем железкам? :)

у нас нету одинакового админ пароля к всем железкам.

и нету такого единого сервера,  взлом которого позволил бы получить доступ к всем остальным

и нету зависимости процесса авторизации на железке от работоспособности сети ( наличии связи с ядром )

или процесс авторизации через радиус , он как-то кеширует хеши , аки винда с active directrory?

 

Share this post


Link to post
Share on other sites
14 минут назад, LostSoul сказал:

у нас нету одинакового админ пароля к всем железкам. 

ок, уволился админ. с жопой в мыле по 100500 железкам менять пароли? :)

Share this post


Link to post
Share on other sites
23 минуты назад, LostSoul сказал:

у нас нету одинакового админ пароля к всем железкам.

и нету такого единого сервера,  взлом которого позволил бы получить доступ к всем остальным

и нету зависимости процесса авторизации на железке от работоспособности сети ( наличии связи с ядром )

или процесс авторизации через радиус , он как-то кеширует хеши , аки винда с active directrory?

 

Видимо мало у вас железок. на 1500 железках менять пароль это не один день и не неделю.

Share this post


Link to post
Share on other sites
36 минут назад, NiTr0 сказал:

ок, уволился админ. с жопой в мыле по 100500 железкам менять пароли? :)

а конфиги вы на 100500 железок тоже руками через гуй кляк-кляц что ли раскидываете?

Те же скрипты что занимаются деплоем прочей конфигурации - они же и пароли сменят

 

 

27 минут назад, mefer сказал:

Видимо мало у вас железок. на 1500 железках менять пароль это не один день и не неделю.

а если по ним пешком ходить по всему глобусу  , без использования транспорта,  то наверняка даже 100 жизней не хватит.

 

Я так понимаю, сами конфиги вы тоже по какому-нибудь модному TR-69 на устройства распостраняете?

ну раз единственным кошерным способом хранения паролей на железку считаете вариант с централизованной базой в radius

 

Share this post


Link to post
Share on other sites
22 часа назад, NiTr0 сказал:

сменить пароли админов - делов-то. а потом - сменить радиус secret на железках для спокойствия.

 

а что вы будете делать если ваш админпароль утечет наружу? в мыле ручками менять его по всем железкам? :)

управляющий влан для этого делают, который "наружу" не выходит

Share this post


Link to post
Share on other sites
В 27.04.2020 в 00:39, mefer сказал:

Во общем только микротов около 1000 устройств. От того и спрашиваю. По тому как бывает дискредитация паролей. Просто через радиус не очень удобно, по тому как оперативность смены очень страдает.

На микротиках, например, можно иметь учетку админ, пароль от которой знает лишь один человек.

Каждому админу делать свою учетку, с ограниченными правами в части заведения администраторов, но тут минус - нет возможности перезагрузить микротик.

Если используется некая система управления, например дуда, то на карте можно вбивать логин/пароль, по которому радиус сервер авторизует администратора на основе его IP адреса.

 

В 27.04.2020 в 12:46, mefer сказал:

Видимо мало у вас железок. на 1500 железках менять пароль это не один день и не неделю.

Поменять можно за 5-10 минут. Достаточно иметь список IP адресов устройств (можно получить пингом), далее зайти под старым паролем и заменить на новый, например через ssh клиента автоматически.

 

В 28.04.2020 в 10:55, ichthyandr сказал:

управляющий влан для этого делают, который "наружу" не выходит

Какой еще управляющий влан, например, на маршрутизаторах?

Ранее он пошел при использовании управляемых коммутаторов, что бы отделить управление от остальных данных. В первые поры L2 коммутаторы часто так и использовали, влан управления и влан абонентов, т.к. авторизация была или по маку или через PPPoE. И по мере развития редко кто делал влан на порт, потому что центр не умел так авторизовывать, вешали всякие там опции и т.п.

 

Но сейчас держать влан управления, прокидывать его по все сети, растягивая L2 сегменты - это уже устарело.

Share this post


Link to post
Share on other sites
41 минуту назад, Saab95 сказал:

Какой еще управляющий влан, например, на маршрутизаторах?

На L3-устройствах либо для управления отдельный VRF, либо для оставить его в глобале, а все остальное в свои vrf.

Share this post


Link to post
Share on other sites
В 27.04.2020 в 12:22, LostSoul сказал:

и нету зависимости процесса авторизации на железке от работоспособности сети ( наличии связи с ядром )

Там всегда можно зайти под юзерами в локальной базе свича.

 

В 27.04.2020 в 12:22, LostSoul сказал:

или процесс авторизации через радиус , он как-то кеширует хеши , аки винда с active directrory?

Никто ничего не кеширует, нет в этом потребности.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now