Mikrotik login

 

Pokud máte v licenci povolen rozšiřující modul RADIUS (máte ho zakoupen) a máte ho správně nainstalován na serveru, můžete využívat funkcionalitu Mikrotik login - Ověřování techniků do routerů MikroTik přes RADIUS. To, jestli máte v licenci RADIUS povolený, si můžete snadno ověřit v Klienti Úvod, kde je uvedeno, zda je modul aktivní, či ne.

 

V praxi to znamená, že pro techniky není nutné na každém routeru vytvářet speciální účet pro přístup s příslušnými oprávněními. Také v případě, že například technik ukončí pracovní poměr, není nutné na všech routerech opět tento přístup rušit. Nyní se provede automatická konfigurace přístupu na RADIUS server, čímž se zpřístupní login pro techniky (přes WinBox, SSH atd. dle oprávnění). Odpadá tedy ruční konfigurace všech routerů a celý proces se výrazně urychlí.

 

Pro aktivaci managementu přístupu techniků do routerů je nutné nastavit v Nastavení Syst. nastavení Mikrotik klíč service_mikrotik_login na hodnotu 1. Tímto se aktivuje na všech routerech v systému přihlášení techniků přes RADIUS.

 

Pokud vytvoříte přístup na routery, tak příslušný administrátor má defaultně přístup na všechny routery.

 

V případě, že si nepřejeme, aby měl kdokoliv přístup na určitý router (například hlavní gateway nebo CORE router), tak je možné v Hardware Routery Všechny v nastavení tohoto routeru vypnout checkbox přihlášení techniků do routeru Mikrotik přes RADIUS. Pokud není tento checkbox zaškrtnut, tak na tento router není možné se přihlásit přes žádný účet definovaný v Nastavení Administrátoři Mikrotik login.

 

Pokud je vše nastaveno správně a na serveru je spuštěn RADIUS, tak systém automaticky na všech routerech aktivuje komunikaci s RADIUS serverem, nastaví příslušné skupiny pro přístup, protože oprávnění jednotlivých skupin musí být zapsána přímo v routerech a umožní přihlášení technikům dle oprávnění.

 

alert icon POZOR alert icon

 

Při použití ověřování techniků přes RADIUS je NUTNÉ zkontrolovat nastavení klíče server_ip v Nastavení Syst. nastavení Obecné. Zde musí být uvedena IP adresa serveru ISPadmin, která je dostupná ze všech routerů. Tato IP se nastaví do všech routerů jako IP adresa RADIUS serveru, takže pokud by byla nastavena chybně, tak přihlášení do routerů přes RADIUS nebude možné, protože přihlašovací proces se bude dotazovat neexistujícího RADIUS serveru.

 

Celý systém přihlašování techniků do routerů MikroTik je možný pouze v případě aktivovaného modulu RADIUS v systému ISPadmin. V opačném případě přihlášení NEBUDE funkční!

 

Funkčnost si můžete snadno ověřit přihlášením některého technika na jeden z routerů nebo prostřednictvím WinBoxu v menu Radius a v menu System / Users / Groups.

 

 

Na této stránce si můžete detailně definovat oprávnění jednotlivých skupin, které budete využívat pro management přístupu techniků k routerům. Do těchto skupin poté přiřadíte samotné uživatelé (techniky). Je možné si vytvořit neomezený počet skupin s rozdílnými oprávněními.

 

Novou skupinu můžete přidat kliknutím na . Na stránce, která se objeví, si zadáte název skupiny a zvolíte oprávnění, která chcete dané skupině udělit. Tato oprávnění můžete následně měnit i v přehledu existujících skupin. U každé skupiny tam máte seznam oprávnění a jejich nastavení (icon check ok / icon check ko). Kliknutím na příslušnou ikonku toto nastavení změníte na opačné. 

 

Na výběr máte následující oprávnění:

 

local Umožní přihlášení přes lokální konzoli
telnet Umožní přihlášení přes telnet
ssh Umožní přihlášení přes SSH
ftp Umožní přihlášení přes FTP. Uživatel s tímto oprávněním může soubory číst, zapisovat i mazat.
reboot Umožní provést reboot routeru
read Oprávnění pouze pro čtení. Není možné provádět jakékoliv změny konfigurace.
write Oprávnění pro modifikaci konfigurace mimo nastavení oprávnění pro user management (vytváření dalších uživatelských účtů pro přístup na router). Toto oprávnění neumožní čtení, takže je potřeba povolit i oprávnění read.
policy Umožní nastavení dalších administrátorských účtů pro přístup k routeru
test Umožní provádět ping, traceroute, bandwidth-test, wireless scan, sniffer a snooper
web Umožní přihlášení přes web interface
winbox Umožní přihlášení přes WinBox
password Umožní změnu hesla u jednotlivých uživatelských účtů
sensitive Umožní zobrazení "citlivých" informací, jako jsou hesla, wireless klíče atd.
api Umožní přístup přes API
sniff Umožní spouštět sniffer utility

 

Kliknutím na icon edit můžete editovat již existující skupinu.

Kliknutím na icon check ko grey můžete skupinu smazat.

 

 

Přidat nového uživatele (technika) můžete kliknutím na . Na stránce, která se objeví, zadáte přihlašovací jméno a heslo pro daného technika. Jelikož každý uživatel musí patřit do nějaké skupiny (prostřednictvím které jsou definována jeho oprávnění), tak ho do určité skupiny přiřadíte. Dále k němu můžete vložit libovolnou poznámku. Přidávání nového uživatele dokončíte kliknutím na Uložit.

 

Přehled již vložených uživatelů obsahuje následující informace: uživatel, skupina a poznámka.

 

Kliknutím na ikonu icon edit můžete editovat již existujícího uživatele.

Kliknutím na ikonu icon check ko grey můžete uživatele smazat.

 

Podkategorie

KONTAKT

NET service solution, s.r.o.
Žerotínova 3056/81a
787 01 Šumperk
Česká republika