Jump to content
Калькуляторы

авторизация админских учеток через radius на mikrotik

Reply to this topic

ps/2   

ps/2
Posted

Приветствую!

Можно ли авторизовывать через радиус админские учетки при заходе на микротик через Winbox? Если можно, то как?

Через ssh авторизует, а через winbox нет.

Share this post

Link to post
Share on other sites

ps/2   

ps/2
Posted

почему продаю? я хочу чтоб админы на железке авторизовались через радиус, а не локально.

мне кажется вполне нормальная хотелка, учитывая, что функционал вроде есть

Share this post

Link to post
Share on other sites

Saab95   

Saab95
Posted

почему продаю? я хочу чтоб админы на железке авторизовались через радиус, а не локально.

мне кажется вполне нормальная хотелка, учитывая, что функционал вроде есть

 

Гиблое дело, если связь с сервером будет прервана то и доступ к настройкам они не получат. Лучше сделать список устройств и централизованно рассылать / удалять пароли на них.

Share this post

Link to post
Share on other sites

WhyMax   

WhyMax
Posted (edited)

Функционал есть и поидее работать должно.

У группы пользователей, которую вы выбрали для авторизации через radius стоит галка winbox?

Edited by WhyMax

Share this post

Link to post
Share on other sites

ps/2   

ps/2
Posted

Функционал есть и поидее работать должно.

У группы пользователей, которую вы выбрали для авторизации через radius стоит галка winbox?

Так в том и дело, что функционал есть, а воспользоваться не получается, группу ставлю full

С этого сообщения и ниже. Это должно помочь.

Не увидел там :(

 

Я поясню свои действия.

Делаю настройки радиуса: /radius add service=login address=ip.add.re.ss secret=good_secret authentication-port=auth_port

accounting-port=acc_port

Делаю настройки для входа: /user aaa set use-radius=yes default-group=full accounting=yes

После этого по ssh авторизуется через радиус, а winbox не желает.

Неужто никто не сталкивался? Это ж первое дело, если железок много.

Share this post

Link to post
Share on other sites

ps/2   

ps/2
Posted

Возникла другая проблема, Winbox авторизуется с использованием chap, можно ли заставить через рар?

Share this post

Link to post
Share on other sites

1baddog1   

1baddog1
Posted

Тоже пытаюсь сделать авторизацию через радиус(win 2008 r2) + AD на микротик. Получилось?

У меня работает только, если включаю "Принимать пользователей без проверки учетных данных"

Share this post

Link to post
Share on other sites

myst   

myst
Posted

почему продаю? я хочу чтоб админы на железке авторизовались через радиус, а не локально.

мне кажется вполне нормальная хотелка, учитывая, что функционал вроде есть

 

Гиблое дело, если связь с сервером будет прервана то и доступ к настройкам они не получат. Лучше сделать список устройств и централизованно рассылать / удалять пароли на них.

Бредовый ответ. Когда железок становится чуть больше двух (у меня например больше 1000) то радиус начинает быть ой как актуальным.

 

/radius add service=login address=10.0.3.10 secret=ХХХХ disabled=no

/user aaa set use-radius=yes

 

Все. Все работает.

Share this post

Link to post
Share on other sites

Saab95   

Saab95
Posted

Бредовый ответ. Когда железок становится чуть больше двух (у меня например больше 1000) то радиус начинает быть ой как актуальным.

 

/radius add service=login address=10.0.3.10 secret=ХХХХ disabled=no

/user aaa set use-radius=yes

 

Все. Все работает.

 

У меня тоже радиус, только железок намного больше. Каждый администратор, в зависимости от своего IP адреса, попадает на оборудование с нужными правами. Однако если по какой-то причине связь до оборудования плохо работает и есть потери, то бывает, нужно раз 5 пробовать авторизоваться, прежде чем пустит.

 

Однако если требуется просто пускать или не пускать, то радиус не нужен, достаточно на всех внешних стыках сети, или офисном маршрутизаторе, заблокировать не желательные IP адреса.

Share this post

Link to post
Share on other sites

1baddog1   

1baddog1
Posted

Бредовый ответ. Когда железок становится чуть больше двух (у меня например больше 1000) то радиус начинает быть ой как актуальным.

 

/radius add service=login address=10.0.3.10 secret=ХХХХ disabled=no

/user aaa set use-radius=yes

 

Все. Все работает.

 

У меня тоже радиус, только железок намного больше. Каждый администратор, в зависимости от своего IP адреса, попадает на оборудование с нужными правами. Однако если по какой-то причине связь до оборудования плохо работает и есть потери, то бывает, нужно раз 5 пробовать авторизоваться, прежде чем пустит.

 

Однако если требуется просто пускать или не пускать, то радиус не нужен, достаточно на всех внешних стыках сети, или офисном маршрутизаторе, заблокировать не желательные IP адреса.

 

Мне удалось настроить авторизацию через радиус win2008r2 + AD. Но пришлось включить для учётки - обратимое шифрование хранения пароля. Авторизуется winbox через протокол шифрования CHAP. Это не совсем безопасно. Но дело в том, что микротиков уже много, и хотелось бы сделать авторизацию через радиус. Может есть какие-нибудь варианты, чтобы более безопаснее сделать подключение к микротикам?

Share this post

Link to post
Share on other sites

Saab95   

Saab95
Posted

Мне удалось настроить авторизацию через радиус win2008r2 + AD. Но пришлось включить для учётки - обратимое шифрование хранения пароля. Авторизуется winbox через протокол шифрования CHAP. Это не совсем безопасно. Но дело в том, что микротиков уже много, и хотелось бы сделать авторизацию через радиус. Может есть какие-нибудь варианты, чтобы более безопаснее сделать подключение к микротикам?

 

Если сейчас вас пускает на микротик радиус, нажмите в винбоксе кнопку New Terminal, и микротик вообще потребует передачу открытого пароля. Безопасно или не безопасно смотрите сами. Если сеть ваша, то кто там будет пароли красть?

Share this post

Link to post
Share on other sites

1baddog1   

1baddog1
Posted

Мне удалось настроить авторизацию через радиус win2008r2 + AD. Но пришлось включить для учётки - обратимое шифрование хранения пароля. Авторизуется winbox через протокол шифрования CHAP. Это не совсем безопасно. Но дело в том, что микротиков уже много, и хотелось бы сделать авторизацию через радиус. Может есть какие-нибудь варианты, чтобы более безопаснее сделать подключение к микротикам?

 

Если сейчас вас пускает на микротик радиус, нажмите в винбоксе кнопку New Terminal, и микротик вообще потребует передачу открытого пароля. Безопасно или не безопасно смотрите сами. Если сеть ваша, то кто там будет пароли красть?

 

Дело в том, что микротики доступны извне по порту 8291 winbox.

Share this post

Link to post
Share on other sites

QWE   

QWE
Posted

Если микротик настроить авторизовывать пользователя winbox через RADIUS, в случае недоступности RADIUS микротик с локальной учеткой пустит через winbox?

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Followers 0
Go to topic listing Беспроводные сети Wi-Fi, 3G/LTE/5G, LoRa...