[ps/2]

Приветствую!

Можно ли авторизовывать через радиус админские учетки при заходе на микротик через Winbox? Если можно, то как?

Через ssh авторизует, а через winbox нет.

[ps/2]

Никто не знает чтоли? 8)

[Saab95]

А смысл сей затеи для чего? Вы продаете услугу "покрутить настройки микротика"? =)

[ps/2]

почему продаю? я хочу чтоб админы на железке авторизовались через радиус, а не локально.

мне кажется вполне нормальная хотелка, учитывая, что функционал вроде есть

[Saab95]

почему продаю? я хочу чтоб админы на железке авторизовались через радиус, а не локально.

мне кажется вполне нормальная хотелка, учитывая, что функционал вроде есть

 

Гиблое дело, если связь с сервером будет прервана то и доступ к настройкам они не получат. Лучше сделать список устройств и централизованно рассылать / удалять пароли на них.

[ps/2]

Вопрос-то я другой задал ;)

[WhyMax]

Функционал есть и поидее работать должно.

У группы пользователей, которую вы выбрали для авторизации через radius стоит галка winbox?

Изменено 21 декабря, 2012 пользователем WhyMax

[saaremaa]

С этого сообщения и ниже. Это должно помочь.

[ps/2]

Функционал есть и поидее работать должно.

У группы пользователей, которую вы выбрали для авторизации через radius стоит галка winbox?

Так в том и дело, что функционал есть, а воспользоваться не получается, группу ставлю full

С этого сообщения и ниже. Это должно помочь.

Не увидел там :(

 

Я поясню свои действия.

Делаю настройки радиуса: /radius add service=login address=ip.add.re.ss secret=good_secret authentication-port=auth_port

accounting-port=acc_port

Делаю настройки для входа: /user aaa set use-radius=yes default-group=full accounting=yes

После этого по ssh авторизуется через радиус, а winbox не желает.

Неужто никто не сталкивался? Это ж первое дело, если железок много.

[ps/2]

Возникла другая проблема, Winbox авторизуется с использованием chap, можно ли заставить через рар?

[1baddog1]

Тоже пытаюсь сделать авторизацию через радиус(win 2008 r2) + AD на микротик. Получилось?

У меня работает только, если включаю "Принимать пользователей без проверки учетных данных"

[myst]

почему продаю? я хочу чтоб админы на железке авторизовались через радиус, а не локально.

мне кажется вполне нормальная хотелка, учитывая, что функционал вроде есть

 

Гиблое дело, если связь с сервером будет прервана то и доступ к настройкам они не получат. Лучше сделать список устройств и централизованно рассылать / удалять пароли на них.

Бредовый ответ. Когда железок становится чуть больше двух (у меня например больше 1000) то радиус начинает быть ой как актуальным.

 

/radius add service=login address=10.0.3.10 secret=ХХХХ disabled=no

/user aaa set use-radius=yes

 

Все. Все работает.

[Saab95]

Бредовый ответ. Когда железок становится чуть больше двух (у меня например больше 1000) то радиус начинает быть ой как актуальным.

 

/radius add service=login address=10.0.3.10 secret=ХХХХ disabled=no

/user aaa set use-radius=yes

 

Все. Все работает.

 

У меня тоже радиус, только железок намного больше. Каждый администратор, в зависимости от своего IP адреса, попадает на оборудование с нужными правами. Однако если по какой-то причине связь до оборудования плохо работает и есть потери, то бывает, нужно раз 5 пробовать авторизоваться, прежде чем пустит.

 

Однако если требуется просто пускать или не пускать, то радиус не нужен, достаточно на всех внешних стыках сети, или офисном маршрутизаторе, заблокировать не желательные IP адреса.

[1baddog1]

Бредовый ответ. Когда железок становится чуть больше двух (у меня например больше 1000) то радиус начинает быть ой как актуальным.

 

/radius add service=login address=10.0.3.10 secret=ХХХХ disabled=no

/user aaa set use-radius=yes

 

Все. Все работает.

 

У меня тоже радиус, только железок намного больше. Каждый администратор, в зависимости от своего IP адреса, попадает на оборудование с нужными правами. Однако если по какой-то причине связь до оборудования плохо работает и есть потери, то бывает, нужно раз 5 пробовать авторизоваться, прежде чем пустит.

 

Однако если требуется просто пускать или не пускать, то радиус не нужен, достаточно на всех внешних стыках сети, или офисном маршрутизаторе, заблокировать не желательные IP адреса.

 

Мне удалось настроить авторизацию через радиус win2008r2 + AD. Но пришлось включить для учётки - обратимое шифрование хранения пароля. Авторизуется winbox через протокол шифрования CHAP. Это не совсем безопасно. Но дело в том, что микротиков уже много, и хотелось бы сделать авторизацию через радиус. Может есть какие-нибудь варианты, чтобы более безопаснее сделать подключение к микротикам?

[Saab95]

Мне удалось настроить авторизацию через радиус win2008r2 + AD. Но пришлось включить для учётки - обратимое шифрование хранения пароля. Авторизуется winbox через протокол шифрования CHAP. Это не совсем безопасно. Но дело в том, что микротиков уже много, и хотелось бы сделать авторизацию через радиус. Может есть какие-нибудь варианты, чтобы более безопаснее сделать подключение к микротикам?

 

Если сейчас вас пускает на микротик радиус, нажмите в винбоксе кнопку New Terminal, и микротик вообще потребует передачу открытого пароля. Безопасно или не безопасно смотрите сами. Если сеть ваша, то кто там будет пароли красть?

[1baddog1]

Мне удалось настроить авторизацию через радиус win2008r2 + AD. Но пришлось включить для учётки - обратимое шифрование хранения пароля. Авторизуется winbox через протокол шифрования CHAP. Это не совсем безопасно. Но дело в том, что микротиков уже много, и хотелось бы сделать авторизацию через радиус. Может есть какие-нибудь варианты, чтобы более безопаснее сделать подключение к микротикам?

 

Если сейчас вас пускает на микротик радиус, нажмите в винбоксе кнопку New Terminal, и микротик вообще потребует передачу открытого пароля. Безопасно или не безопасно смотрите сами. Если сеть ваша, то кто там будет пароли красть?

 

Дело в том, что микротики доступны извне по порту 8291 winbox.

[QWE]

Если микротик настроить авторизовывать пользователя winbox через RADIUS, в случае недоступности RADIUS микротик с локальной учеткой пустит через winbox?

[jffulcrum]

В 14.04.2022 в 22:10, QWE сказал:

в случае недоступности RADIUS микротик с локальной учеткой пустит через winbox?

Да.