Nastavení AP pro radius a logování
Klikací verze
Tato verze nahradila původní terminálovou verzi návodu, která se ukázala jako nedostatečná.
Nastavení AP pro radius
Nastavení skupin
Tato sekce popisuje nastavení uživatelských skupin, které se nachází v okně Users. To je v některých verzích mikrotiku dostupné přímo v levém menu pod stejnojmennou položkou, v některých verzích je v submenu System.
Bod 1 - vyprázdnění skupin
Nejdříve smažeme všechny skupiny kromě základních (full, write a read)
Bod 2 - engineers
Nyní si vytvoříme skupinu engineers. Tato skupina zastupuje certifikované techniky.
Bod 3 - admin
Obdobně si vytvoříme skupinu admin. Tato skupina zastupuje adminy.
Bod 4 - member
Poté následuje skupina member. Tato skupina zastupuje řádné členy.
Bod 5 - servis
A nakonec přidáme skupinu servis. Tato skupina zastupuje servis.
Bod 6 - alternativa k bodům 2-5
Spustíme New terminál a do něho nakopírujeme následující kód a potvrdíme enterem. Výsledek bude naprosto stejný jako kdybychom postupovali podle bodů 2-5.
user group add name="engineers" policy=local,telnet,ssh,ftp,reboot,read,write,test,winbox,password,web,sniff,!policy user group add name="member" policy=read,winbox,!local,!telnet,!ssh,!ftp,!reboot,!write,!policy,!test,!password,!web,!sniff user group add name="admin" policy=local,telnet,ssh,ftp,reboot,read,write,test,winbox,password,web,sniff,!policy user group add name="servis" policy=local,telnet,ssh,ftp,reboot,read,write,test,winbox,web,sniff,!policy,!password
Nastavení uživatelů
Tato sekce popisuje nastavení uživatelsků, které se nachází v okně Users. To je v některých verzích mikrotiku dostupné přímo v levém menu pod stejnojmennou položkou, v některých verzích je v submenu System.
Bod 7 - uživatel freenetis
Vytvoříme nového uživatele freenetis a nastavíme mu náhodně generované heslo. Pozor! Toto heslo někde zazálohujeme (nejlépe přímo do freenetisu).
Je vhodné nastavit mu i komentář - freenetis daemon user.
Bod 8 - uživatel servis
Uživatel servis slouží pro servis v případě výpadku radiusu. Jeho heslo je stejně jako u uživatele freenetis náhodně generované, avšak pro všechny AP je stejné.
Bod 9 - vyprázdnění uživatelů
Nyní všechny uživatele kromě uživatelů freenetis a servis smažeme.
Bod 10 - nastavení autentizace
Ještě je potřeba nastavit autentizaci přes radius. To uděláme kliknutím na AAA a následným nastavením, jako defaultní skupinu nastavíme member.
Nastavení radiusu
Tato sekce popisuje nastavení radiusu, které se nachází v okně Radius. To je v dostupné přímo v levém menu pod stejnojmennou položkou.
Bod 11 - nastavení příchozích žádostí
Kliknutím na Incoming nastavíme naslouchání AP na portu 1700.
Bod 12 - propojení s radius serverem
Nyní je potřeba nastavit samotné propojení s radius serverem. Máte dvě možnosti, jak toho docílit:
Možnost A - Klikací
V okně Radius klikneme na tlačítko plus (přidat). Službou je login, adresa serveru je 10.143.126.8, secret je secretslfree.
Možnost B - Terminálová
Spustíme New terminal. Pozor! V bodě 9 byli všichni uživatelů (zřejmě i ten váš, vymazány. Proto budete vyzvány k zadání jména a heslo. Budete muset použít uživatele freenetis nebo servis. V něm spusťte následující kód a potvrďte eneterem.
radius add service=login address=10.143.126.8 secret=secretslfree
Nastavení AP pro logování
Tato sekce popisuje nastavení logování, které se nachází v okně Logging. To je dostupné v submenu System.
Bod 13 - nastavení logovací akce
Nejdříve bude potřeba vytvořit logovací akci pro typ remote (vzdálený). Defaultně jedna stejnojmenná již existuje, takže je ji potřeba pouze přenastavit pro naše účely. Port zůstává 514, adresu můžeme nastavit na logger.slfree.czf.
Vidíme, že mikrotik automaticky logger.slavicin.unart.czf přeloží na 10.143.126.15.
Bod 14 - nastavení logovacího pravidla
Už jenom zbývá přidat logovací pravidlo. Chceme logovat account, critical, error, firewall a system, pro přehlednost logů nastavíme prefix AP, akce je naše remote z bodu 13.
Terminálová verze
Tato verze se ukázala jako nedostatečná (hlavně díky ošetření výjimek) a proto byla nahrazena klikací verzí. Zde zůstává pouze pro případné zájemce.
# do promenne freenetis_heslo si ulozime vygenerovane heslo pro freenetis daemon pro toto AP (router) # Pozor! Toto heslo si zaroven zapiseme do freenetisu :global freenetis_heslo "4RFob3uWSk" # do promenne servis_heslo si ulozime vygenerovane heslo pro servis # toto heslo by melo byt na vsech AP (routerech) stejne, v budoucnu by mel freenetis umet toto heslo jednorazove pregenerovat :global servis_heslo "W8ifsk3q90" # do promenne prefix nastavime identifikator AP (routeru) pro logovani :global prefix "slfree_mladoticka_5G" # nastaveni radiusu radius incoming set accept=yes port=1700 radius add service=login address=10.143.126.8 secret=secretslfree # pridani uzivatelu freenetis a servis user add name=freenetis comment="freenetis daemon user" password=$freenetis_heslo group=full user add name=servis comment="servis" password=$servis_heslo group=servis # smazani vsech uzivatelu (krome freenetis a servis) :foreach user in=[user find] do={ :if ([user get $user name]!="freenetis" && [user get $user name]!="servis") do={ user remove $user } } # pridani uzivatelskych skupin user group add name="engineers" policy=local,telnet,ssh,ftp,reboot,read,write,test,winbox,password,web,sniff,!policy user group add name="member" policy=read,winbox,!local,!telnet,!ssh,!ftp,!reboot,!write,!policy,!test,!password,!web,!sniff user group add name="admin" policy=local,telnet,ssh,ftp,reboot,read,write,test,winbox,password,web,sniff,!policy user group add name="servis" policy=local,telnet,ssh,ftp,reboot,read,write,test,winbox,web,sniff,!policy,!password # smazani vsech jinych skupin (krome engineers, member, admin, servis, full, write, read) :foreach group in=[user group find] do={ :if ([user group get $group name]!="engineers" && [user group get $group name]!="member" && [user group get $group name]!="admin" && [user group get $group name]!="servis" && [user group get $group name]!="full" && [user group get $group name]!="write" && [user group get $group name]!="read") do={ user group remove $group } } # nastaveni autentizace skrze radius user aaa set accounting=yes default-group=member use-radius=yes # nastaveni logovani system logging action add name=remote target=remote remote=10.143.126.15:514 system logging add action=remote prefix=$prefix topics=account,critical,error,firewall,system