ps/2 Posted December 20, 2012 Posted December 20, 2012 Приветствую! Можно ли авторизовывать через радиус админские учетки при заходе на микротик через Winbox? Если можно, то как? Через ssh авторизует, а через winbox нет. Вставить ник Quote
ps/2 Posted December 21, 2012 Author Posted December 21, 2012 Никто не знает чтоли? 8) Вставить ник Quote
Saab95 Posted December 21, 2012 Posted December 21, 2012 А смысл сей затеи для чего? Вы продаете услугу "покрутить настройки микротика"? =) Вставить ник Quote
ps/2 Posted December 21, 2012 Author Posted December 21, 2012 почему продаю? я хочу чтоб админы на железке авторизовались через радиус, а не локально. мне кажется вполне нормальная хотелка, учитывая, что функционал вроде есть Вставить ник Quote
Saab95 Posted December 21, 2012 Posted December 21, 2012 почему продаю? я хочу чтоб админы на железке авторизовались через радиус, а не локально. мне кажется вполне нормальная хотелка, учитывая, что функционал вроде есть Гиблое дело, если связь с сервером будет прервана то и доступ к настройкам они не получат. Лучше сделать список устройств и централизованно рассылать / удалять пароли на них. Вставить ник Quote
ps/2 Posted December 21, 2012 Author Posted December 21, 2012 Вопрос-то я другой задал ;) Вставить ник Quote
WhyMax Posted December 21, 2012 Posted December 21, 2012 (edited) Функционал есть и поидее работать должно. У группы пользователей, которую вы выбрали для авторизации через radius стоит галка winbox? Edited December 21, 2012 by WhyMax Вставить ник Quote
saaremaa Posted December 22, 2012 Posted December 22, 2012 С этого сообщения и ниже. Это должно помочь. Вставить ник Quote
ps/2 Posted December 23, 2012 Author Posted December 23, 2012 Функционал есть и поидее работать должно. У группы пользователей, которую вы выбрали для авторизации через radius стоит галка winbox? Так в том и дело, что функционал есть, а воспользоваться не получается, группу ставлю full С этого сообщения и ниже. Это должно помочь. Не увидел там :( Я поясню свои действия. Делаю настройки радиуса: /radius add service=login address=ip.add.re.ss secret=good_secret authentication-port=auth_port accounting-port=acc_port Делаю настройки для входа: /user aaa set use-radius=yes default-group=full accounting=yes После этого по ssh авторизуется через радиус, а winbox не желает. Неужто никто не сталкивался? Это ж первое дело, если железок много. Вставить ник Quote
ps/2 Posted December 28, 2012 Author Posted December 28, 2012 Возникла другая проблема, Winbox авторизуется с использованием chap, можно ли заставить через рар? Вставить ник Quote
1baddog1 Posted February 9, 2015 Posted February 9, 2015 Тоже пытаюсь сделать авторизацию через радиус(win 2008 r2) + AD на микротик. Получилось? У меня работает только, если включаю "Принимать пользователей без проверки учетных данных" Вставить ник Quote
myst Posted February 9, 2015 Posted February 9, 2015 почему продаю? я хочу чтоб админы на железке авторизовались через радиус, а не локально. мне кажется вполне нормальная хотелка, учитывая, что функционал вроде есть Гиблое дело, если связь с сервером будет прервана то и доступ к настройкам они не получат. Лучше сделать список устройств и централизованно рассылать / удалять пароли на них. Бредовый ответ. Когда железок становится чуть больше двух (у меня например больше 1000) то радиус начинает быть ой как актуальным. /radius add service=login address=10.0.3.10 secret=ХХХХ disabled=no /user aaa set use-radius=yes Все. Все работает. Вставить ник Quote
Saab95 Posted February 10, 2015 Posted February 10, 2015 Бредовый ответ. Когда железок становится чуть больше двух (у меня например больше 1000) то радиус начинает быть ой как актуальным. /radius add service=login address=10.0.3.10 secret=ХХХХ disabled=no /user aaa set use-radius=yes Все. Все работает. У меня тоже радиус, только железок намного больше. Каждый администратор, в зависимости от своего IP адреса, попадает на оборудование с нужными правами. Однако если по какой-то причине связь до оборудования плохо работает и есть потери, то бывает, нужно раз 5 пробовать авторизоваться, прежде чем пустит. Однако если требуется просто пускать или не пускать, то радиус не нужен, достаточно на всех внешних стыках сети, или офисном маршрутизаторе, заблокировать не желательные IP адреса. Вставить ник Quote
1baddog1 Posted February 10, 2015 Posted February 10, 2015 Бредовый ответ. Когда железок становится чуть больше двух (у меня например больше 1000) то радиус начинает быть ой как актуальным. /radius add service=login address=10.0.3.10 secret=ХХХХ disabled=no /user aaa set use-radius=yes Все. Все работает. У меня тоже радиус, только железок намного больше. Каждый администратор, в зависимости от своего IP адреса, попадает на оборудование с нужными правами. Однако если по какой-то причине связь до оборудования плохо работает и есть потери, то бывает, нужно раз 5 пробовать авторизоваться, прежде чем пустит. Однако если требуется просто пускать или не пускать, то радиус не нужен, достаточно на всех внешних стыках сети, или офисном маршрутизаторе, заблокировать не желательные IP адреса. Мне удалось настроить авторизацию через радиус win2008r2 + AD. Но пришлось включить для учётки - обратимое шифрование хранения пароля. Авторизуется winbox через протокол шифрования CHAP. Это не совсем безопасно. Но дело в том, что микротиков уже много, и хотелось бы сделать авторизацию через радиус. Может есть какие-нибудь варианты, чтобы более безопаснее сделать подключение к микротикам? Вставить ник Quote
Saab95 Posted February 11, 2015 Posted February 11, 2015 Мне удалось настроить авторизацию через радиус win2008r2 + AD. Но пришлось включить для учётки - обратимое шифрование хранения пароля. Авторизуется winbox через протокол шифрования CHAP. Это не совсем безопасно. Но дело в том, что микротиков уже много, и хотелось бы сделать авторизацию через радиус. Может есть какие-нибудь варианты, чтобы более безопаснее сделать подключение к микротикам? Если сейчас вас пускает на микротик радиус, нажмите в винбоксе кнопку New Terminal, и микротик вообще потребует передачу открытого пароля. Безопасно или не безопасно смотрите сами. Если сеть ваша, то кто там будет пароли красть? Вставить ник Quote
1baddog1 Posted February 13, 2015 Posted February 13, 2015 Мне удалось настроить авторизацию через радиус win2008r2 + AD. Но пришлось включить для учётки - обратимое шифрование хранения пароля. Авторизуется winbox через протокол шифрования CHAP. Это не совсем безопасно. Но дело в том, что микротиков уже много, и хотелось бы сделать авторизацию через радиус. Может есть какие-нибудь варианты, чтобы более безопаснее сделать подключение к микротикам? Если сейчас вас пускает на микротик радиус, нажмите в винбоксе кнопку New Terminal, и микротик вообще потребует передачу открытого пароля. Безопасно или не безопасно смотрите сами. Если сеть ваша, то кто там будет пароли красть? Дело в том, что микротики доступны извне по порту 8291 winbox. Вставить ник Quote
QWE Posted April 14, 2022 Posted April 14, 2022 Если микротик настроить авторизовывать пользователя winbox через RADIUS, в случае недоступности RADIUS микротик с локальной учеткой пустит через winbox? Вставить ник Quote
jffulcrum Posted April 15, 2022 Posted April 15, 2022 В 14.04.2022 в 22:10, QWE сказал: в случае недоступности RADIUS микротик с локальной учеткой пустит через winbox? Да. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.