Přeskočit na obsah Přeskočit na hlavní navigaci Přeskočit na zápatí (patičku)
Vyberte jazyk:
Vyberte jazyk:

Přihlašování techniků přes RADIUS

Přihlašování techniků přes RADIUS (Remote Authorization Dial-In User Service) je funkce, která vám umožní z ISPadmina spravovat centrálně přístupy na routery MikroTik. Toto řešení je výhodné, protože vám značně usnadní práci. Nemusíte vytvářet účty pro techniky na každém routeru zvlášť. Navíc pokud vám nějaký technik odejde, tak jeho přístupy můžete jednoduše zrušit.

Tato funkce je součástí modulu NMM (Network management a monitoring).

Zprovoznění FreeRADIUS serveru v ISPadminovi

Nejprve je potřeba v konfiguraci FreeRADIUSu nastavit heslo pro komunikaci s MySQL databází:

nano /etc/freeradius/3.0/mods-enabled/sql

V souboru vyhledejte část, kde je nastavení DB. Viz následující obrázek:

Konfigurace FreeRadiusu
Konfigurace FreeRadiusu

U většiny instalací běží tato databáze na serveru společně s ISPadminem. V takovém případě stačí pouze nastavit heslo:

server = "localhost"
port = 3306
login = "ispadmin"
password = "heslo_do_databaze"

Pokud však databáze běží na jiném stroji, změňte ještě hodnoty u položek server, port a login.

Po změně nastavení restartujte FreeRADIUS:

systemctl restart freeradius.service

Nastavení přihlašování techniků v ISPadminovi

Mikrotik nastavení

Pro možnost se vůbec do Mikrotiků přihlásit pomocí Radiusu je nutné tuto možnost zapnout v nastavení.

service_mikrotik_login v (Nastavení -> Syst. nastavení -> Mikrotik).

Aktivace RADIUSu na routeru

V editaci routeru MikroTik aktivujte RADIUS, vyplňte heslo pro komunikaci a nakonec aktivujte možnost přihlášení techniků:

Aktivování přihlášení přes Radius v nastavení routeru
Aktivování přihlášení přes Radius v nastavení routeru

Aktivace RADIUSu je jedna ze změn, které vyžadují master reset routeru. Při změně nastavení RADIUSu u routeru se tak vedle tlačítka Uložit objeví ještě jedno tlačítko, a sice Uložit a aktualizovat konfiguraci routeru:

Po kliknutí na toto tlačítko jste informováni, že bude proveden master reset routeru:

Informace o master resetu routeru

Pokud kliknete na tlačítko Uložit a aktualizovat router, tak se během 5 minut provede automaticky master reset. Pokud však kliknete na tlačítko Pouze uložit, tak bude nutné provést master reset routeru později z konzole. Dokud nebude proveden, router nebude nastaven pro komunikaci s RADIUS serverem.

/usr/local/script/ispadmin/bin/update_conf.pl master_reset <ID_routeru>

Vytvoření skupin a přístupů pro techniky

Oprávnění pro jednotlivé skupiny uživatelů se nastavují v (Nastavení -> Administrátoři -> Mikrotik login -> Skupiny):

Nastavení oprávnění pro jednotlivé skupiny uživatelů
Nastavení oprávnění pro jednotlivé skupiny uživatelů

Na MikroTiku se vytvoří skupiny s prefixem “ispadmin_ml_”:

Vytvořené skupiny na Mikrotiku
Vytvořené skupiny na Mikrotiku

Po přidání/editaci skupiny se routery označí pro update. Změny se během několika minut automaticky propíší na routery.

Vytvoření techniků

Uživatele si můžete nastavit v (Nastavení -> Administrátoři -> Mikrotik login -> Uživatelé):

Seznam vytvořených uživatelů pro přihlášení do Mikrotiků
Seznam vytvořených uživatelů pro přihlášení do Mikrotiků
Formulář vytvoření uživatele pro přihlášení do routerů
Formulář vytvoření uživatele pro přihlášení do routerů

Ve formuláři je potřeba vyplnit uživatelské jméno (tím se bude technik hlásit do routerů), dvakrát heslo a skupinu. Skupina určuje rozsah oprávnění daného uživatele. Po uložení dojde automaticky k synchronizaci databáze.

Od té chvíle se mohou vybraní technici přihlašovat na vybrané routery MikroTik. Nastavením zásad jim můžete umožnit/znemožnit některé z činností. Odstraněním uživatele dojde k odebrání jeho přístupu na všechny routery.

13. 10. 2020 Aktualizováno: 3. 3. 2023

Kategorie: MikroTik