Приоритет методов авторизации в Mikrotik (RADIUS AAA или Local AAA)

[kiano]

Доброго дня, камрады!

Столкнулся с таким интересным кейсом.

Настроена авторизация на устройствах mikrotik (т.е. логин в само устройство) в связке с наружным Radius-сервером. Всё хорошо, всё работает, группы, права и прочее.

Но стал такой вопрос: как быть, если Радиус-сервер стал недоступен, а залогиниться нужно? Как вариант, иметь одну локальную учётную запись. НО! Смысл в радиус-авторизации отпадает, если юзеры (админы, операторы) будут иметь доступ к этой учётной записи, которая работает всегда.

Эдакая брешь. В цисках/джунах есть понятие приоритета метода авторизации. Если сработал радиус - то дальше проверка и не проходит, есть ли такой юзер в локальной ААА базе.

Как обстоят дела в микротике с этим?

Цель проста: отключить локальные учётные записи, если Радиус-сервер доступен и работает. При потере связи с Радиус-сервером чтобы работала локальная база.

[DeLL]

В микротике сначала проверяется локальная база и потом (если настроен) идет запрос на радиус. Если радиус недоступен - просто получите отказ, в логах будет таймуат. То есть настроить приоритет нет возможности

[kiano]

On 11/3/2021 at 1:50 PM, DeLL said:

В микротике сначала проверяется локальная база и потом (если настроен) идет запрос на радиус. Если радиус недоступен - просто получите отказ, в логах будет таймуат. То есть настроить приоритет нет возможности

спасибо

возможно, есть какие-то "костыли"?

[alibek]

Удалить локальные учетные записи, создать одну тайную, с нестандартным именем (на аварийный случай).

[kiano]

On 11/4/2021 at 1:15 PM, alibek said:

Удалить локальные учетные записи, создать одну тайную, с нестандартным именем (на аварийный случай).

печаль в том, что этот пароль потенциально утечёт (от этой самом учётной записи)

Edited November 4, 2021 by kiano

[jffulcrum]

Пароли от учеток в экпорте конфигурации не светятся. Плюс,  через Allowed Address ставится ограничение, откуда можно логиниться. Если будет неудобно ходить, то ходить и не будут.