modified on 21 lip 2010 at 09:15 ••• 14 641 views

Router AAA

Z MikroTik Wiki

Spis treści

Informacje Ogólne

Wprowadzenie

W tym dokumencie znajdziesz informacje o konfiguracji, oraz przykładach zarządzania użytkownikami na routerze.

Specyfikacja

Wymagane pakiety: system

Wymagane licencje: Level1

Poziom Home menu: /user

Wykorzystanie sprzętowe: nieznaczne

Opis

Usługa zarządzania użytkownikami routera MikroTik RouterOS obsługuje użytkowników łączących się z routerem przez konsolę lokalną, poprzez terminal szeregowy, telnet, SSH lub Winbox'a. Użytkownicy są uwierzytelniani lokalnie, lub przez serwer RADIUS.

Każdy użytkownik przydzielony jest do grupy, która określa prawa użytkownika. Profil grup jest kombinacją poszczególnych praw.

Gdy uwierzytelnianie użytkownika odbywa się przez RADIUS, klient RADIUS'a powinien być wcześniej określony w podmenu /radius.

Grupy Użytkowników Routera

Poziom menu: /user group

Opis

Grupy użytkowników routera pozwala w wygodny sposób przydzielać różne pozwolenia i prawa dostępu różnym klasom użytkowników.

Opis własności

name (name) - nazwa grupy

policy (multiple choice: local | telnet | ssh | ftp | reboot | read | write | policy | test | winbox | password | web | sniff) - ustawienie typu profilu grupy:

  • local - profil, który przydziela prawa do logowania się lokalnie przez lokalną konsole
  • telnet - profil, który przydziela prawa do logowania się zdalnie przez telnet
  • ssh - profil, który przydziela prawa do logowania się zdalnie przez SSH
  • ftp - profil, który przydziela prawa do logowania się zdalnie przez FTP i do przesyłania plików z i do routera. Pamiętaj, że użytkownik z prawem przesyłania plików, może również załadować nową wersję RouterOS, która zostanie załadowana przy następnym restarcie
  • reboot - profil pozwalający na restart routera
  • read - profil, który umożliwia na dostęp do odczytu konfiguracji routera. Wszystkie polecenia konsolowe, które nie zmienią konfiguracji routera są dozwolone
  • write - profil, który daje możliwość zapisu konfiguracji routera, oprócz zarządzaniem użytkownikami. Ten profil nie zezwala na odczytanie konfiguracji, więc pamiętaj dodać też profil odczytu.
  • policy - profil, który przydziela prawa zarządzania kontami. Powinno być używane razem z profilem zapisu.
  • test - profil, który przydziela prawa do uruchamiania poleceń ping, traceroute, bandwidth-test and wireless scan, sniffer i snooper.
  • winbox - profil, który przydziela prawa do logowania się zdalnie przez interfejs WinBox
  • password - profil przydzielający prawa do zmiany swojego własnego hasła.
  • web - profil przydzielający prawa do logowania się zdalnie przez WebBox
  • sniff - profil przydzielający prawa dostępu do usługi packet sniffer

Uwagi

Istnieją trzy grupy użytkowników, które nie mogą być usunięte:

[admin@rb13] > /user group print
 0 name="read" policy=local,telnet,ssh,reboot,read,test,winbox,password,web,
                    sniff,!ftp,!write,!policy 

 1 name="write" policy=local,telnet,ssh,reboot,read,write,test,winbox,password,
                     web,sniff,!ftp,!policy 

 2 name="full" policy=local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,
                    password,web,sniff 
[admin@rb13] >

Znak wykrzyknika '!' postawiony przed nazwa profilu oznacza zaprzeczenie NOT.

Przykład

Aby dodać grupę reboot, która posiada prawa do restartu routera lokalnie lub przez telnet, jak również ma możliwość odczytania konfiguracji routera, wpisz poniższe polecenie:

[admin@rb13] user group> add name=reboot policy=telnet,reboot,read,local
[admin@rb13] user group> print
 0 name="read" policy=local,telnet,ssh,reboot,read,test,winbox,password,web,
                    sniff,!ftp,!write,!policy 

 1 name="write" policy=local,telnet,ssh,reboot,read,write,test,winbox,password,
                     web,sniff,!ftp,!policy 

 2 name="full" policy=local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,
                    password,web,sniff 
 3 name="reboot" policy=local,telnet,reboot,read,!ssh,!ftp,!write,!policy,!test,
                      !winbox,!password,!web,!sniff 
[admin@rb13] user group>

Użytkownicy Routera

Poziom menu: /user

Opis

Baza danych użytkowników routera przechowuje informacje o personelu zarządzającym routerem, takie jaki: nazwa, hasło, dozwolone adresy dostępu i grupa

Opis własności

address (IP address/netmask; default: 0.0.0.0/0) - adres hosta lub sieci, z której umożliwione jest logowanie się użytkownika

group (name) - nazwa grupy, do której należy użytkownik

name (name) - nazwa użytkownika. Musi zaczynać się znakiem alfanumerycznym, ale może zawierać symbole: "*", "_", "." lub "@"

password (text; default: "") - hasło użytkownika. Jeżeli brak hasła, pole musi zostać puste (wćiśnij [Ente] podczas logowania się). Dostosowane jest do Unix'owego standardu charakterystyki haseł i może zawierać litery, cyfry, oraz symbole "*" i "_".

Uwagi

Tutaj definiuje się predefiniowanego użytkownika z pełnymi prawami dostępu:

[admin@MikroTik] user> print
Flags: X - disabled
  #   NAME                                             GROUP ADDRESS
  0   ;;; system default user
      admin                                            full  0.0.0.0/0

[admin@MikroTik] user>

Zawsze powinien być przynajmniej jeden użytkownik z pełnymi prawami dostępu. Jeżeli jest tylko jeden taki użytkownik, nie może zostać usunięty

Przykład

Aby dodać użytkownika joe posiadający hasło j1o2e3, należącego do grupy write, wpisz polecenie:

[admin@MikroTik] user> add name=joe password=j1o2e3 group=write
[admin@MikroTik] user> print
Flags: X - disabled
  0   ;;; system default user
      name="admin" group=full address=0.0.0.0/0

  1   name="joe" group=write address=0.0.0.0/0


[admin@MikroTik] user>

Monitorowanie Aktywnych Użytkowników Routera

Polecenie: /user active print

Opis

To polecenie pokazuje aktualnie zalogowanych użytkowników łącznie z niektórymi informacjami.

Opis własności

address (read-only: IP address) - adres IP hosta, z którego użytkownik uzyskuje dostęp do routera.

  • 0.0.0.0 - użytkownik jest zalogowany lokalnie z konsoli

name (read-only: name) - nazwa użytkownika

radius (read-only: flag) - użytkownik został uwierzytelniony przez serwer RADIUS

via (read-only: console | telnet | ssh | winbox) - metoda dostępu do routera

  • console - lokalnie
  • telnet - zdalnie przez telnet
  • ssh - zdalnie przez SSH
  • winbox - zdalnie przez WinBox

when (read-only: date) - data i czas zalogowania się użytkownika

Przykład

Aby wyświetlić aktualnie zalogowanych użytkowników, wpisz poniższe polecenie:

[admin@rb13] user> active print
Flags: R - radius
 #   WHEN                 NAME                                               ADDRESS         VIA
 0   feb/27/2004 00:41:41 admin                                              1.1.1.200       ssh
 1   feb/27/2004 01:22:34 admin                                              1.1.1.200       winbox
[admin@rb13] user>

Zdalny Użytkownik AAA Routera

Submenu level: /user aaa

Opis

Zdalny użytkownik AAA Routera umożliwia uwierzytelnianie oraz zarządzanie kontem użytkownika routera przez serwer RADIUS

Opis własności

accounting (yes | no; default: yes) - czy użytkownik korzysta z zarządzania kontem przez RADIUS'a

default-group (name; default: read) - domyślna grupa użytkownika używana przez użytkowników uwierzytelnianych przez serwer RADIUS (jeżeli serwer nie określa innej grupy)

interim-update (time; default: 0s) - interwał RADIUS Interim-Update

use-radius (yes | no; default: no) - określa czy baza użytkowników na serwerze RADIUS powinna być brana pod uwagę

Uwagi

Baza użytkowników RADIUS jest brana pod uwagę wyłącznie, gdy wymagana nazwa użytkownika nie zostałą znaleziona w lokalnej bazie użytkowników

Przykład

Aby włączyć RADIUS AAA, wpisz poniższe polecenia:

[admin@MikroTik] user aaa> set use-radius=yes
[admin@MikroTik] user aaa> print
        use-radius: yes
        accounting: yes
    interim-update: 0s
     default-group: read
[admin@MikroTik] user aaa>

Klucze SSH

Poziom menu: /user ssh-keys

Opis

Użytkownicy zdalni mogą logować się bez używania hasła uwierzytelniania i nawet bez wpisywania swojego hasła. Zamiast tego używane są klucze DSA openssh SSH. Pamiętaj, że jeżeli używasz puttygen, przekonwertuj wygenerowane klucze na odpowiedni typ.

Opis własności

key-owner (read-only: text) - zdalny użytkownik, taki sam jak określony w pliku klucza

user (name) - użytkownik, który może logować się używając tego klucza (musi istnieć na liscie użytkowników)

Opis polecenia

import - importuj klucz

  1. user - użytkownik, który związany jest z kluczem
  2. file - nazwa pliku klucza DSA

Przykład

Generacja klucza na maszynie linux:

sh-3.00$ ssh-keygen -t dsa -f ./id_dsa
Generating public/private dsa key pair.
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in ./id_dsa.
Your public key has been saved in ./id_dsa.pub.
The key fingerprint is:
91:d7:08:be:b6:a1:67:5e:81:02:cb:4d:47:d6:a0:3b admin-ssh@test
</pre      
Importowanie wygenerowanego (lub pobranego) klucza:
<pre>
[admin@MikroTik] user ssh-keys> print
 # USER                 KEY-OWNER
[admin@MikroTik] user ssh-keys> import file=id_dsa.pub user=admin-ssh
[admin@MikroTik] user ssh-keys> print
 # USER                 KEY-OWNER
 0 admin-ssh            admin-ssh@test
[admin@MikroTik] user ssh-keys>