Каким инструментом массово сменить пароль админа на микротиках? Есть ли что то у микротиков по типу tacacs+ для создания групп пользователей с ограниченными правами?

[QWE]

ansible? или самому писать скрипт?

[andy.alex]

Для этого надо было делать радиус, тогда проблем бы не было

[QWE]

локальная учетка в любом случае  будет использоваться, даже если radius не доступен? 

[jffulcrum]

Локальная учетка будет использоваться даже если RADIUS доступен.

 

Группы пользователей есть, можно назначать группу через RADIUS же. Можно раздавать права по типу входа, и отдельно права на конфигурацию, но градаций там немного, читат, писать, управлять учетками и в ROS7 добавили отд.право смотреть sensitive инфу, т.к. можно дать права смотреть конфиг, но секреты/пароли будут скрыты.

[andy.alex]

Конечно 

[QWE]

с каким radius под linux микротик хорошо работает? есть ли для этого radius сервера админка для заведения пользователей?

[jffulcrum]

FreeRadius работает, вроде даже мануал был по настройке под МТ

[Saab95]

11 часов назад, andy.alex сказал:

Для этого надо было делать радиус, тогда проблем бы не было

Ага, учитывая то, что в разных версиях ПО микротика свои схемы работы радиуса для целей авторизации пользователей, то нужно, одновременно, иметь 3-4 радиус сервера и на каждой конфигурации микротика иметь 3-4 настройки запроса на каждый. Это если на сети много микротиков и разные варианты версий 6/7 веток.

 

Если предположить, что сработает последний, то задержка авторизации администратора будет десятки секунд.

 

12 часов назад, QWE сказал:

самому писать скрипт?

По SSH все легко менять, заодно и экспорт конфигов собрать каждого устройства.

 

9 часов назад, QWE сказал:

есть ли для этого radius сервера админка для заведения пользователей?

Вообще нужно пользователя админ держать только для управления другими правами и так же по SSH заходить и добавлять через нее физических администраторов. Ведь не забывайте ситуацию, что если радиус перестанет работать, администраторы не смогут подключится к устройству.

 

А если у администратора доступ по логину и паролю через радиус, то такую же учетку можно на каждом микротике создать, а после, если нужно - удалить.

 

Яркие примеры:

 

1. На крупной сети радиус сервер стоит в центре, офисы и производства подключаются по туннелю в центр. В центре случилась проблема с провайдером и на всех офисах потребовалось изменить IP адрес для подключения - но локальной авторизации нет, только через радиус, но связи с ним нет. Пришлось передавать всем пароль основного админа что бы смогли произвести изменения, а после его менять.

 

2. На сети произошел обрыв кабеля и пропала связь с одним сегментом. Сделали резервную линию и монтажнику потребовалось зайти на оборудование что бы включить порт. Авторизоваться через мак телнет он не мог, т.к. локальной учетки не было. Пришлось так же сообщать пароль основного администратора.

[VolanD666]

8 часов назад, Saab95 сказал:

Ага, учитывая то, что в разных версиях ПО микротика свои схемы работы радиуса для целей авторизации пользователей, то нужно, одновременно, иметь 3-4 радиус сервера и на каждой конфигурации микротика иметь 3-4 настройки запроса на каждый. Это если на сети много микротиков и разные варианты версий 6/7 веток.

 

Если предположить, что сработает последний, то задержка авторизации администратора будет десятки секунд.

 

По SSH все легко менять, заодно и экспорт конфигов собрать каждого устройства.

 

Вообще нужно пользователя админ держать только для управления другими правами и так же по SSH заходить и добавлять через нее физических администраторов. Ведь не забывайте ситуацию, что если радиус перестанет работать, администраторы не смогут подключится к устройству.

 

А если у администратора доступ по логину и паролю через радиус, то такую же учетку можно на каждом микротике создать, а после, если нужно - удалить.

 

Яркие примеры:

 

1. На крупной сети радиус сервер стоит в центре, офисы и производства подключаются по туннелю в центр. В центре случилась проблема с провайдером и на всех офисах потребовалось изменить IP адрес для подключения - но локальной авторизации нет, только через радиус, но связи с ним нет. Пришлось передавать всем пароль основного админа что бы смогли произвести изменения, а после его менять.

 

2. На сети произошел обрыв кабеля и пропала связь с одним сегментом. Сделали резервную линию и монтажнику потребовалось зайти на оборудование что бы включить порт. Авторизоваться через мак телнет он не мог, т.к. локальной учетки не было. Пришлось так же сообщать пароль основного администратора.

 

Чисто для истории и потомков. Это очередная бредятина от местного тролля, можно не читать.

[Saab95]

В 15.08.2025 в 10:21, VolanD666 сказал:

Это очередная бредятина от местного тролля, можно не читать.

Конечно, имея один сервер биллинга и один маршрутизатор для доступа и ограничений абонентов, нужно сделать авторизацию по радиусу, вместо статических записей и в случае, когда биллинг перестанет работать, выслушивать по телефону жалобы от абонентов=)

 

Поэтому бредятина делать авторизацию по радиусу администраторов для доступа на оборудование.

 

Единственное, где авторизация по радиусу может иметь место быть, это когда используется система мониторинга The DUDE или аналогичная, где можно ввести один и тот же логин/пароль на карту для доступа к устройствам, что бы на основе IP адреса администратора / сотрудника техподдержки, выдавались права на полный доступ или только просмотр, при этом логин/пароль авторизации на роутеры у всех один и тот же.

[alibek]

Цитата

Поэтому бредятина делать авторизацию по радиусу администраторов для доступа на оборудование.

Наверное это так, в вымышленной сети.

В реальном мире польза от централизованной системы авторизации, не требующая ручного обновления паролей при их компрометации, очевидна.

[fractal]

20 часов назад, Saab95 сказал:

Конечно, имея один сервер биллинга и один маршрутизатор для доступа и ограничений абонентов, нужно сделать авторизацию по радиусу, вместо статических записей и в случае, когда биллинг перестанет работать, выслушивать по телефону жалобы от абонентов=)

 

Поэтому бредятина делать авторизацию по радиусу администраторов для доступа на оборудование.

 

Единственное, где авторизация по радиусу может иметь место быть, это когда используется система мониторинга The DUDE или аналогичная, где можно ввести один и тот же логин/пароль на карту для доступа к устройствам, что бы на основе IP адреса администратора / сотрудника техподдержки, выдавались права на полный доступ или только просмотр, при этом логин/пароль авторизации на роутеры у всех один и тот же.

ага, с одним и тем же логином и паролем не понятно кто из админов накосячил, нормальная идея, надежная)

[Saab95]

10 часов назад, alibek сказал:

В реальном мире польза от централизованной системы авторизации, не требующая ручного обновления паролей при их компрометации, очевидна.

В случае проблем с сервером радиуса никто на оборудование попасть не сможет.

 

Если поставить 2 сервера радиуса, то при проблемах с первым запросы будут идти на него, если ответа нет пойдет запрос на второй, это приведет задержке получения доступа на устройства.

 

4 часа назад, fractal сказал:

ага, с одним и тем же логином и паролем не понятно кто из админов накосячил, нормальная идея, надежная)

IP адрес в логах и отчетах микротик показывает кто подключается.

 

При работе с картой Dude как с карты открывать устройства, если на них один пароль везде указан?

[fractal]

4 часа назад, Saab95 сказал:

В случае проблем с сервером радиуса никто на оборудование попасть не сможет.

2-3 радиус, такакс сервера решают вопрос полностью, все остальное это фантазии

[jffulcrum]

12 часов назад, Saab95 сказал:

IP адрес в логах и отчетах микротик показывает кто подключается.

Угу, залез на один микро и с него подключаешься к следующим, что же за адрес будет в логах на них? И стесняюсь спросить - у вас в неведомой чудо-сети на микротиках сбор логов хоть настроен? Или syslog - устаревшая технология?

[sirmax]

10 часов назад, fractal сказал:

2-3 радиус, такакс сервера решают вопрос полностью, все остальное это фантазии

та я не встречал железок которые не умеют при недоступности радиуса проверить локальную базу, это умеют даже длинки 
(это не значит что резервирование не нужно!)
 

authentication login radius local

 

 

В 18.08.2025 в 12:41, alibek сказал:

Наверное это так, в вымышленной сети.

В реальном мире польза от централизованной системы авторизации, не требующая ручного обновления паролей при их компрометации, очевидна.

Этот клоу нужен что бы не скучать, а не что бы что-то умное говорить ) 
Так то конечно это уже лет 25 всем очевидно и все и везде крутят свои  OpenLDAP/FreeIPS/Whatever со всякими 2fa и прочим )

Хочу я видеть как двухфкторку на миротике сдеть  без радиуса (и исключить из нее сервисных пользователей вроде того что для ансиБля)

[VolanD666]

42 минуты назад, sirmax сказал:

Этот клоу нужен что бы не скучать, а не что бы что-то умное говорить

Дык беда в том, что к нему прислушиваются. Причем т.к. он тусит в теме про микротик, сюда часто приходят начинающие и он им в уши льет про устаревшие технологии.

[Saab95]

21 час назад, fractal сказал:

2-3 радиус, такакс сервера решают вопрос полностью, все остальное это фантазии

Еще раз напишу, микротик отправляет запросы по кругу, сначала на первый радиус, если он не доступен то на второй и т.п.

 

Представьте сломается первый и второй радиус сервера, останется третий - будет заметная задержка перед доступом на устройства.

 

13 часов назад, jffulcrum сказал:

Угу, залез на один микро и с него подключаешься к следующим, что же за адрес будет в логах на них?

Еще раз напишу - в The Dude на карте указывается один и тот же логин/пароль. Если с картой работает много сотрудников, то все они могут нажать на квадратик устройства и выбрать winbox, он откроется с логином и паролем, который на карте установлен.

 

Дальше как будете администраторов разбирать, на основе IP адреса? Нужно каждому сделать текстовый командный файл на своем компе, что бы выбирать не winbox а пункт выполнить, который запустит этот текстовый файл, а в нем будет запрос на подключение со своим логином и паролем.

 

10 часов назад, sirmax сказал:

Так то конечно это уже лет 25 всем очевидно и все и везде крутят свои  OpenLDAP/FreeIPS/Whatever со всякими 2fa и прочим )

 

Было очень много случаев, когда работа сети (доступ до оборудования) прекращался на несколько часов, а то и суток, когда пропадал доступ до серверов авторизации. При этом проблема могла быть уровня маршрутизации, когда где-то прописали не верный IP или маршруты, и данные не доходили до серверов. А что бы зайти и исправить доступа не было из-за отсутствия локальных учеток.

[fractal]

2 часа назад, Saab95 сказал:

Еще раз напишу, микротик отправляет запросы по кругу, сначала на первый радиус, если он не доступен то на второй и т.п.

 

Представьте сломается первый и второй радиус сервера, останется третий - будет заметная задержка перед доступом на устройства.

 

Еще раз напишу - в The Dude на карте указывается один и тот же логин/пароль. Если с картой работает много сотрудников, то все они могут нажать на квадратик устройства и выбрать winbox, он откроется с логином и паролем, который на карте установлен.

 

Дальше как будете администраторов разбирать, на основе IP адреса? Нужно каждому сделать текстовый командный файл на своем компе, что бы выбирать не winbox а пункт выполнить, который запустит этот текстовый файл, а в нем будет запрос на подключение со своим логином и паролем.

 

 

Было очень много случаев, когда работа сети (доступ до оборудования) прекращался на несколько часов, а то и суток, когда пропадал доступ до серверов авторизации. При этом проблема могла быть уровня маршрутизации, когда где-то прописали не верный IP или маршруты, и данные не доходили до серверов. А что бы зайти и исправить доступа не было из-за отсутствия локальных учеток.

Всё описанное Вами это проблема именно микротиков, видимо не умеет он проверять заранее жив ли сервер или нет, у себя не сталкивался с проблемой большой задержки ни разу, Вам видимо если и делать радиус то надо просто подойти сначала к архитектуре резервирования, хотя судя по тому что Вы пишите с этим у Вас проблемы

[sirmax]

9 часов назад, Saab95 сказал:

доступа не было из-за отсутствия локальных учеток.

Чукча не читатель, чукча писатель?

 

локальные учетки есть, только ими не пользуются кроме критичных случаев и не светят их кому попало, после использования меняют пароли. 
 

я думал все так делают 

[fractal]

13 минут назад, sirmax сказал:

Чукча не читатель, чукча писатель?

 

локальные учетки есть, только ими не пользуются кроме критичных случаев и не светят их кому попало, после использования меняют пароли. 
 

я думал все так делают 

это устаревшее, сейчас модно иметь один логин и пароль на все

[VolanD666]

1 час назад, fractal сказал:

это устаревшее, сейчас модно иметь один логин и пароль на все

Думаю скоро дойдет до того что и пароли не нужны будут. Нажал на кнопку и все. Чего только не придумаешь для выдуманной сети.

[Saab95]

В 20.08.2025 в 11:12, fractal сказал:

это устаревшее, сейчас модно иметь один логин и пароль на все

Авторизация может быть не только по логину и паролю, но и по IP адресу администратора. Например они подключаются по туннелю в центр и оттуда заходят на устройства.

[fractal]

4 часа назад, Saab95 сказал:

Авторизация может быть не только по логину и паролю, но и по IP адресу администратора. Например они подключаются по туннелю в центр и оттуда заходят на устройства.

Вы наверное имели в виду аутентификацию

[gard]

В микроте же есть юзер-менеджер.. почему его не использовать как радиус на отдельной железке?