Přihlašování techniků přes RADIUS
Přihlašování techniků přes RADIUS (Remote Authorization Dial-In User Service) je funkce, která vám umožní z ISPadmina spravovat centrálně přístupy na routery MikroTik. Toto řešení je výhodné, protože vám značně usnadní práci. Nemusíte vytvářet účty pro techniky na každém routeru zvlášť. Navíc pokud vám nějaký technik odejde, tak jeho přístupy můžete jednoduše zrušit.
Tato funkce je součástí modulu NMM (Network management a monitoring).
Předpoklady
Před samotným zprovozněním tohoto systému přihlašování je potřeba splnit několik předpokladů a provést několik prvotních nastavení:
- nakonfigurovat FreeRADIUS server (Zprovoznění FreeRADIUS serveru), pokud ještě není nakonfigurován
- v obecném nastavení povolit možnost přihlašování techniků za pomocí RADIUS serveru (klíč service_mikrotik_login)
- aktivovat RADIUS klienta v nastavení vybraného routeru typu MikroTik
- zkontrolovat v obecném nastavení klíč server_ip (Nastavení –> Syst. nastavení –> Obecné). Musí se shodovat s IP adresou serveru se systémem ISPadmin
- funkční a zprovozněná komunikace u routeru přes API-SSL a SSH (možnost propsat konfiguraci RADIUS klienta do routeru z ISPA)
- požadavky na ověření musí chodit z IP adresy routeru, která je zaevidována v systému ISPadmin (bez NAT). Pokud se adresa zařízení překládá a požadavky na přihlášení poté neodpovidají IP adrese zaevidované v systému ISPadmin, uživatel nemůže být ověřen (zabezpečení)
- dostupnost serveru se systémem ISPadmin z daného routeru v momentě přihlašování technika (k ověření dochází v momentě pokusu o připojení, pokud tedy daný uživatel neexistuje na routeru lokálně)
Zprovoznění FreeRADIUS serveru
Nejprve je potřeba v konfiguraci FreeRADIUSu nastavit heslo pro komunikaci s MySQL databází:
nano /etc/freeradius/3.0/mods-enabled/sql
V souboru vyhledejte část, kde je nastavení DB. Viz následující obrázek:
U většiny instalací běží tato databáze na serveru společně s ISPadminem. V takovém případě stačí pouze nastavit heslo:
server = "localhost"
port = 3306
login = "ispadmin"
password = "heslo_do_databaze"
Pokud však databáze běží na jiném stroji, změňte ještě hodnoty u položek server, port a login.
Po změně nastavení restartujte FreeRADIUS:
systemctl restart freeradius.service
Nastavení přihlašování techniků v ISPA
Obecné nastavení
Pro možnost se vůbec do Mikrotiků přihlásit pomocí Radiusu je nutné tuto možnost povolit v nastavení.
Klíč service_mikrotik_login v (Nastavení -> Syst. nastavení -> Mikrotik).
Aktivovat RADIUS v nastavení routeru
V editaci routeru MikroTik aktivujte RADIUS, vyplňte heslo pro komunikaci a nakonec aktivujte možnost přihlášení techniků:
Aktivace RADIUSu je jedna ze změn, které vyžadují master reset routeru. Při změně nastavení RADIUSu u routeru se tak vedle tlačítka Uložit objeví ještě jedno tlačítko, a sice Uložit a aktualizovat konfiguraci routeru:
Po kliknutí na toto tlačítko jste informováni, že bude proveden master reset routeru:
Pokud kliknete na tlačítko Uložit a aktualizovat router, tak se během 5 minut provede automaticky master reset. Pokud však kliknete na tlačítko Pouze uložit, tak bude nutné provést master reset routeru později z konzole. Dokud nebude proveden, router nebude nastaven pro komunikaci s RADIUS serverem.
/usr/local/script/ispadmin/bin/update_conf.pl master_reset <ID_routeru>
Vytvořit skupiny
Oprávnění pro jednotlivé skupiny uživatelů se nastavují v (Nastavení -> Administrátoři -> Mikrotik login -> Skupiny):
Na MikroTiku se vytvoří skupiny s prefixem „ispadmin_ml_“:
Po přidání/editaci skupiny se routery označí pro update. Změny se během několika minut automaticky propíší na routery.
Vytvořit uživatele/techniky
Uživatele si můžete nastavit v (Nastavení –> Administrátoři –> Mikrotik login –> Uživatelé):
Ve formuláři je potřeba vyplnit uživatelské jméno (tím se bude technik hlásit do routerů), dvakrát heslo a skupinu (Nastavení –> Administrátoři –> Mikrotik login –> Skupiny). Skupina určuje rozsah oprávnění daného uživatele. Po uložení dojde automaticky k synchronizaci databáze.
Od té chvíle se mohou vybraní technici přihlašovat na vybrané routery MikroTik. Nastavením zásad jim můžete umožnit/znemožnit některé z činností. Odstraněním uživatele dojde k odebrání jeho přístupu na všechny routery.