Руководство: Маршрутизатор AAA

Резюме

Подменю: /user


Средство пользователя маршрутизатора MikroTik RouterOS управляет пользователями, подключающими маршрутизатор, с локальной консоли, через последовательный терминал, telnet, SSH или Winbox. Пользователи аутентифицируются с использованием локальной базы данных или назначенного сервера RADIUS.

Каждый пользователь назначается группе пользователей, которая обозначает права этого пользователя. Групповая политика — это комбинация отдельных элементов политики.

В случае, если аутентификация пользователя выполняется с использованием RADIUS, клиент RADIUS должен быть предварительно настроен.

Группы пользователей

Подменю: /user group

Группы пользователей маршрутизатора предоставляют удобный способ назначать разные разрешения и права доступа различным классам пользователей.

свойства

ИмуществоОписание
имя ( строка ; по умолчанию:)Название группы пользователей
политика ( локальная | telnet | ssh | ftp | перезагрузка | чтение | запись | политика | тест | winbox | пароль | web | снифф | чувствительный | api | romon | чувак | tikapp ; по умолчанию:нет )Список разрешенных политик:Правила входа:local — политика, предоставляющая права на локальный вход через консольtelnet — политика, которая предоставляет права на удаленный вход в систему через telnetssh — политика, которая предоставляет права на удаленный вход в систему через протокол защищенной оболочкиweb — политика, которая предоставляет права на удаленный вход через WebFig.winbox — политика, которая предоставляет права на удаленный вход через WinBox и проверку подлинности пропускной способностипароль — политика, которая предоставляет права на изменение пароляapi — предоставляет права доступа к роутеру через API.tikapp — политика, которая предоставляет права на удаленный вход через Tik-App.чувак — предоставляет права на вход на сервер чуваку.ftp — политика, предоставляющая полные права на удаленный вход через FTP, чтение / запись / удаление файлов и передачу файлов с / на маршрутизатор. Должен использоваться вместе с политиками чтения / записи.romon — политика, которая предоставляет права на подключение к серверу RoMon.Политика конфигурации:перезагрузка — политика, которая позволяет перезагрузить маршрутизаторread — политика, которая предоставляет доступ на чтение к конфигурации маршрутизатора. Все консольные команды, которые не изменяют конфигурацию маршрутизатора, разрешены. Не влияет на FTPwrite — политика, которая предоставляет доступ на запись к конфигурации маршрутизатора, за исключением управления пользователями. Эта политика не позволяет читать конфигурацию, поэтому обязательно включите политику чтения политика — политика, которая предоставляет права управления пользователями. Должен использоваться вместе с политикой записи. Позволяет также видеть глобальные переменные, созданные другими пользователями (требуется также политика «тестирования»).test — политика, предоставляющая права на запуск команд ping, traceroute, bandwidth-test, wireless scan, snooper и других тестовых команд чувствительный — предоставляет права на изменение параметра «скрыть чувствительный», если эта политика отключена, конфиденциальная информация не отображается, см. список ниже относительно того, что считается конфиденциальным.sniff — политика, которая предоставляет права на использование инструмента анализатора пакетов.
скин ( имя ; по умолчанию: по умолчанию )Использовал скин для WebFig

Конфиденциальная информация

Начиная с RouterOS v3.27, следующая информация считается конфиденциальной и может быть скрыта от определенных групп пользователей, для которых « конфиденциальная» политика не отмечена.

Кроме того, начиная с RouterOS v4.3, файлы резервных копий считаются конфиденциальными, и пользователи без этой политики не смогут их загрузить.

системный пакет

/ радиус: секрет
/ snmp / community: пароль аутентификации, пароль шифрования

пакет передовых инструментов

/ инструмент / смс: секрет

беспроводной пакет

/ interface / wireless / security-profile: wpa-pre-shared-key,
wpa2-pre-shared-key, static-key-0, static-key-1, static-key-2,
static-key-3, static-sta-private-key
/ interface / wireless / access-list: закрытый ключ, закрытый предварительный общий ключ

беспроводной тестовый пакет

/ interface / wireless / security-profile: wpa-pre-shared-key, wpa2-pre-shared-key, 
static-key-0, static-key-1, static-key-2, static-key-3, static-sta-private-key, ключ защиты-управления
/ interface / wireless / access-list: закрытый ключ, закрытый предварительный общий ключ, ключ управления защитой

пакет user-manager

/ инструмент / пользователь-менеджер / пользователь: пароль
/ инструмент / пользователь-менеджер / клиент: пароль

пакет точек доступа

/ ip / hotspot / user: пароль

пакет ppp

/ ppp / secret: пароль

пакет безопасности

/ ip / ipsec / instal-sa: ключ авторизации, ключ шифрования
/ ip / ipsec / manual-sa: ключ ах, ключ авторизации esp, ключ шифрования esp
/ ip / ipsec / peer: секрет

пакет маршрутизации

/ routing / bgp / peer: ключ tcp-md5
/ routing / rip / interface: ключ аутентификации
/ routing / ospf / interface: ключ аутентификации
/ routing / ospf / virtual-link: ключ аутентификации

маршрутно-тестовый пакет

/ routing / bgp / peer: ключ tcp-md5
/ routing / rip / interface: ключ аутентификации
/ routing / ospf / interface: ключ аутентификации
/ routing / ospf / virtual-link: ключ аутентификации 

Группы по умолчанию

Есть три системные группы, которые нельзя удалить:

[admin @ rb13]> / печать группы пользователей
 0 name = "read" policy = local, telnet, ssh, перезагрузка, чтение, тестирование, winbox, пароль, web, снифф, чувствительный, api, romon, tikapp,! Ftp,! Write,! Policy,! Skin скин = по умолчанию 

 1 name = "write" policy = local, telnet, ssh, перезагрузка, чтение, запись, тестирование, winbox, пароль, web, снифф, чувствительный, api, romon, tikapp,! Ftp,! Policy,! Skin скин = по умолчанию

 2 name = "полная" политика = локальная, telnet, ssh, ftp, перезагрузка, чтение, запись, политика, тест, winbox, пароль, веб, снифф, чувствительный, api, romon, dude, скин tikapp = по умолчанию

[admin @ rb13]

>

Обратите внимание, что даже группа « чтение » включает в себя конфиденциальные , перезагрузки и другие важные политики, что означает, что эта группа не должна предоставляться ненадежным пользователям. Для действительно ограниченных групп создайте настраиваемую группу, определяя конкретные политики. Все группы имеют доступ к файловым операциям.

Восклицательный знак «!» незадолго до того, как название элемента политики означает НЕ

пример

Чтобы добавить группу перезагрузки, которой разрешено перезагрузить маршрутизатор локально или с помощью telnet, а также прочитать конфигурацию маршрутизатора, введите следующую команду:

[admin @ rb13] группа пользователей> добавить имя = политика перезагрузки = telnet, перезагрузка, чтение, локально

[admin @ rb13]

группа пользователей> печать 0 name = «read» policy = local, telnet, ssh, перезагрузка, чтение, тестирование, winbox, пароль, web, снифф, чувствительный, api, romon, tikapp,! Ftp,! Write,! Policy,! Skin скин = по умолчанию 1 name = «write» policy = local, telnet, ssh, перезагрузка, чтение, запись, тестирование, winbox, пароль, web, снифф, чувствительный, api, romon, tikapp,! Ftp,! Policy,! Skin скин = по умолчанию 2 name = «полная» политика = локальная, telnet, ssh, ftp, перезагрузка, чтение, запись, политика, тест, winbox, пароль, веб, снифф, чувствительный, api, romon, dude, скин tikapp = по умолчанию 3 name = «reboot» policy = local, telnet, reboot, read,! Ssh,! Ftp,! Write,! Policy,! Test,! Winbox,! Password,! Web,! Sniff,! Чувствительный,! Api ,! romon,! чувак,! tikapp skin = по умолчанию

[admin @ rb13]

группа пользователей>

Пользователи маршрутизатора

Подменю: /user

База данных пользователей маршрутизатора хранит такую ​​информацию, как имя пользователя, пароль, адреса разрешенного доступа и группы о персонале управления маршрутизатором.

свойства

ИмуществоОписание
адрес ( IP / маска | префикс IPv6 ; по умолчанию:)Хост или сетевой адрес, с которого пользователь может войти в систему
группа ( строка ; по умолчанию:)Название группы, к которой принадлежит пользователь
имя ( строка ; по умолчанию:)Имя пользователя. Хотя он должен начинаться с буквенно-цифрового символа, он может содержать «*», «_», «.» и символы «@».
пароль ( строка ;умолчанию:)Пользовательский пароль. Если не указан, он остается пустым (нажмите [Enter] при входе в систему). Он соответствует стандартным характеристикам паролей Unix и может содержать буквы, цифры, символы «*» и «_».
последний вход в систему ( время и дата ; по умолчанию: «» )Поле только для чтения. Последний раз и дата, когда пользователь вошел в систему.

Заметки

Существует один предопределенный пользователь с полными правами доступа:

[admin @ MikroTik] пользователь> распечатать
Флаги: X - отключены
  АДРЕС ГРУППЫ NAME
  0 ;;; системный пользователь по умолчанию
      Администратор заполнен 0.0.0.0/0 дек / 08/2010 16:19:24

[admin @ MikroTik]

пользователь>

Всегда должен быть хотя бы один пользователь с полными правами доступа. Если пользователь с полными правами доступа является единственным, его нельзя удалить.

Мониторинг активных пользователей

Подменю: /user active

/user active print Команда показывает активных в данный момент пользователей вместе с соответствующей статистической информацией.

свойства

Все свойства доступны только для чтения.

ИмуществоОписание
адрес ( адрес IP / IPv6 )IP-адрес хоста / IPv6, с которого пользователь обращается к маршрутизатору. 0.0.0.0 означает, что пользователь вошел локально
группа ( строка )Группа, к которой принадлежит пользователь.
имя ( строка )Имя пользователя.
радиус ( правда | ложь )Идентифицирован ли пользователь сервером RADIUS.
через ( локальный | telnet | ssh | winbox | api | web | tikapp | ftp)Метод доступа пользователя
когда ( время )Время и дата входа пользователя.

пример

Чтобы распечатать активных пользователей, введите следующую команду:

[admin @ dzeltenais_burkaans] / пользователь активен> распечатать подробности 
Флаги: R - радиус 
 0 когда = декабрь / 08/2010 16:19:24 name = "admin" address = 10.5.8.52 via = winbox group = full 

 2 when = dec / 09/2010 09:23:04 name = "admin" address = 10.5.101.38 via = telnet group = full 

 3 когда = декабрь / 09/2010 09:34:27 name = "admin" address = fe80 :: 21a: 4dff: fe5d: 8e56 via = api group = full 

Удаленный ААА

Подменю: /user aaa

Удаленный пользователь маршрутизатора AAA обеспечивает аутентификацию и учет пользователей маршрутизатора через сервер RADIUS. К базе данных пользователей RADIUS обращаются, только если требуемое имя пользователя не найдено в локальной базе данных пользователей

свойства

ИмуществоОписание
бухгалтерский учет ( да | нет ; по умолчанию: да )
exclude-groups ( список имен групп ; по умолчанию:)Exclude-groups состоит из групп, которые нельзя использоватьдля пользователей, прошедших проверку по радиусу. Если радиус-сервер предоставляет группу, указанную в этом списке, вместо нее будет использоваться группа по умолчанию.
Это необходимо для защиты от повышения привилегий, когда один пользователь (без разрешения политики) может изменить список серверов радиуса, настроить свой собственный сервер радиуса ивойти в систему как администратор.
группа по умолчанию ( строка ; по умолчанию: чтение )Группа пользователей, используемая по умолчанию для пользователей, прошедших аутентификацию через RADIUS-сервер.
промежуточное обновление ( время ; по умолчанию: 0 с )Промежуточный интервал обновления
радиус использования ( да | нет ; по умолчанию: нет )Включить аутентификацию пользователя через RADIUS

Примечание. Если вы используете RADIUS, для работы Winbox необходимо включить поддержку CHAP на сервере RADIUS.

SSH ключи

Подменю: /user ssh-keys


Это меню позволяет импортировать открытые ключи, используемые для аутентификации ssh.

Предупреждение: пользователю не разрешено входить через ssh по паролю, если добавлены ssh-ключи для пользователя


Свойства:

ИмуществоОписание
пользователь ( строка ; по умолчанию:)имя пользователя, которому назначен ключ ssh.


Свойства только для чтения:

ИмуществоОписание
ключ-владелец ( строка )


При импорте ключа ssh по /user ssh-keys importкоманде вам будет предложено указать два параметра:

  • public-key-file — имя файла в корневом каталоге маршрутизатора, содержащего ключ.
  • user — имя пользователя, которому будет назначен ключ

Закрытые ключи

Подменю: /user ssh-keys private

Это меню используется для импорта и отображения импортированных приватных ключей. Закрытые ключи используются для аутентификации попыток удаленного входа с использованием сертификатов.

Свойства только для чтения:

ИмуществоОписание
пользователь ( строка )
ключ-владелец ( строка )

При импорте ключей SSH из этого подменю с помощью /user ssh-keys privateкоманды импорта вам будет предложено указать три параметра:

  • private-key-file — имя файла в корневом каталоге маршрутизатора, содержащего закрытый ключ.
  • public-key-file — имя файла в корневом каталоге маршрутизаторов, содержащего открытый ключ.
  • user — имя пользователя, которому будет назначен ключ

Author: admin