Přeskočit na obsah Přeskočit na hlavní navigaci Přeskočit na zápatí (patičku)

Přihlašování techniků přes RADIUS

Přihlašování techniků přes RADIUS (Remote Authorization Dial-In User Service) je funkce, která vám umožní z ISPadmina spravovat centrálně přístupy na routery MikroTik. Toto řešení je výhodné, protože vám značně usnadní práci. Nemusíte vytvářet účty pro techniky na každém routeru zvlášť. Navíc pokud vám nějaký technik odejde, tak jeho přístupy můžete jednoduše zrušit.

Tato funkce je součástí modulu NMM (Network management a monitoring).

Předpoklady

Před samotným zprovozněním tohoto systému přihlašování je potřeba splnit několik předpokladů a provést několik prvotních nastavení:

  • nakonfigurovat FreeRADIUS server (Zprovoznění FreeRADIUS serveru), pokud ještě není nakonfigurován
  • v obecném nastavení povolit možnost přihlašování techniků za pomocí RADIUS serveru (klíč service_mikrotik_login)
  • aktivovat RADIUS klienta v nastavení vybraného routeru typu MikroTik
  • zkontrolovat v obecném nastavení klíč server_ip (Nastavení –> Syst. nastavení –> Obecné). Musí se shodovat s IP adresou serveru se systémem ISPadmin
  • funkční a zprovozněná komunikace u routeru přes API-SSL a SSH (možnost propsat konfiguraci RADIUS klienta do routeru z ISPA)
  • požadavky na ověření musí chodit z IP adresy routeru, která je zaevidována v systému ISPadmin (bez NAT). Pokud se adresa zařízení překládá a požadavky na přihlášení poté neodpovidají IP adrese zaevidované v systému ISPadmin, uživatel nemůže být ověřen (zabezpečení)
  • dostupnost serveru se systémem ISPadmin z daného routeru v momentě přihlašování technika (k ověření dochází v momentě pokusu o připojení, pokud tedy daný uživatel neexistuje na routeru lokálně)
Diagram znázorňující nastavení, komunikaci a připojení uživatele k zařízení MikroTik přes RADIUS
Diagram znázorňující nastavení, komunikaci a připojení uživatele k zařízení MikroTik přes RADIUS

Zprovoznění FreeRADIUS serveru

Nejprve je potřeba v konfiguraci FreeRADIUSu nastavit heslo pro komunikaci s MySQL databází:

nano /etc/freeradius/3.0/mods-enabled/sql

V souboru vyhledejte část, kde je nastavení DB. Viz následující obrázek:

Konfigurace FreeRadiusu
Konfigurace FreeRadiusu

U většiny instalací běží tato databáze na serveru společně s ISPadminem. V takovém případě stačí pouze nastavit heslo:

server = "localhost"
port = 3306
login = "ispadmin"
password = "heslo_do_databaze"

Pokud však databáze běží na jiném stroji, změňte ještě hodnoty u položek server, port a login.

Po změně nastavení restartujte FreeRADIUS:

systemctl restart freeradius.service

Nastavení přihlašování techniků v ISPA

Obecné nastavení

Pro možnost se vůbec do Mikrotiků přihlásit pomocí Radiusu je nutné tuto možnost povolit v nastavení.

Klíč service_mikrotik_login v (Nastavení -> Syst. nastavení -> Mikrotik).

Aktivovat RADIUS v nastavení routeru

V editaci routeru MikroTik aktivujte RADIUS, vyplňte heslo pro komunikaci a nakonec aktivujte možnost přihlášení techniků:

Aktivování přihlášení přes Radius v nastavení routeru
Aktivování přihlášení přes Radius v nastavení routeru

Aktivace RADIUSu je jedna ze změn, které vyžadují master reset routeru. Při změně nastavení RADIUSu u routeru se tak vedle tlačítka Uložit objeví ještě jedno tlačítko, a sice Uložit a aktualizovat konfiguraci routeru:

Po kliknutí na toto tlačítko jste informováni, že bude proveden master reset routeru:

Informace o master resetu routeru

Pokud kliknete na tlačítko Uložit a aktualizovat router, tak se během 5 minut provede automaticky master reset. Pokud však kliknete na tlačítko Pouze uložit, tak bude nutné provést master reset routeru později z konzole. Dokud nebude proveden, router nebude nastaven pro komunikaci s RADIUS serverem.

/usr/local/script/ispadmin/bin/update_conf.pl master_reset <ID_routeru>

Vytvořit skupiny

Oprávnění pro jednotlivé skupiny uživatelů se nastavují v (Nastavení -> Administrátoři -> Mikrotik login -> Skupiny):

Nastavení oprávnění pro jednotlivé skupiny uživatelů
Nastavení oprávnění pro jednotlivé skupiny uživatelů

Na MikroTiku se vytvoří skupiny s prefixem „ispadmin_ml_“:

Vytvořené skupiny na Mikrotiku
Vytvořené skupiny na Mikrotiku

Po přidání/editaci skupiny se routery označí pro update. Změny se během několika minut automaticky propíší na routery.

Vytvořit uživatele/techniky

Uživatele si můžete nastavit v (Nastavení –> Administrátoři –> Mikrotik login –> Uživatelé):

Seznam vytvořených uživatelů pro přihlášení do Mikrotiků
Seznam vytvořených uživatelů pro přihlášení do Mikrotiků
Formulář vytvoření uživatele pro přihlášení do routerů
Formulář vytvoření uživatele pro přihlášení do routerů

Ve formuláři je potřeba vyplnit uživatelské jméno (tím se bude technik hlásit do routerů), dvakrát heslo a skupinu (Nastavení –> Administrátoři –> Mikrotik login –> Skupiny). Skupina určuje rozsah oprávnění daného uživatele. Po uložení dojde automaticky k synchronizaci databáze.

Od té chvíle se mohou vybraní technici přihlašovat na vybrané routery MikroTik. Nastavením zásad jim můžete umožnit/znemožnit některé z činností. Odstraněním uživatele dojde k odebrání jeho přístupu na všechny routery.