Nastavení AP pro radius a logování: Porovnání verzí
Řádek 100: | Řádek 100: | ||
[[Soubor:13 radius b.png|1400px]] | [[Soubor:13 radius b.png|1400px]] | ||
=== Nastavení logování === | |||
[[Soubor:14 logging actions.png|1400px]] | [[Soubor:14 logging actions.png|1400px]] | ||
[[Soubor:15_logging_actions.png|1400px]] | [[Soubor:15_logging_actions.png|1400px]] |
Verze z 2. 6. 2010, 22:59
Klikací verze
Nastavení skupin
Bod 1 - vyprázdnění skupin
Nejdříve smažeme všechny skupiny kromě základních (full, write a read)
Bod 2 - engineers
Nyní si vytvoříme skupinu engineers. Tato skupina zastupuje certifikované techniky.
Bod 3 - admin
Obdobně si vytvoříme skupinu admin. Tato skupina zastupuje adminy.
Bod 4 - member
Poté následuje skupina member. Tato skupina zastupuje řádné členy.
Bod 5 - servis
A nakonec přidáme skupinu servis. Tato skupina zastupuje servis.
Bod 6 - alternativa k bodům 2-5
Spustíme New terminál a do něho nakopírujeme následující kód a potvrdíme enterem. Výsledek bude naprosto stejný jako kdybychom postupovali podle bodů 2-5.
user group add name="engineers" policy=local,telnet,ssh,ftp,reboot,read,write,test,winbox,password,web,sniff,!policy user group add name="member" policy=read,winbox,!local,!telnet,!ssh,!ftp,!reboot,!write,!policy,!test,!password,!web,!sniff user group add name="admin" policy=local,telnet,ssh,ftp,reboot,read,write,test,winbox,password,web,sniff,!policy user group add name="servis" policy=local,telnet,ssh,ftp,reboot,read,write,test,winbox,web,sniff,!policy,!password
Nastavení uživatelů
Bod 7 - uživatel freenetis
Vytvoříme nového uživatele freenetis a nastavíme mu náhodně generované heslo. Pozor! Toto heslo někde zazálohujeme (nejlépe přímo do freenetisu).
Je vhodné nastavit mu i komentář - freenetis daemon user.
Bod 8 - uživatel servis
Uživatel servis slouží pro servis v případě výpadku radiusu. Jeho heslo je stejně jako u uživatele freenetis náhodně generované, avšak pro všechny AP je stejné.
Bod 9 - vyprázdnění uživatelů
Nyní všechny uživatele kromě uživatelů freenetis a servis smažeme.
Bod 10 - nastavení autentizace
Ještě je potřeba nastavit autentizaci přes radius. To uděláme kliknutím na AAA a následným nastavením, jako defaultní skupinu nastavíme member.
Nastavení radiusu
Bod 11 - nastavení příchozích žádostí
Kliknutím na Incoming nastavíme naslouchání AP na portu 1700.
Bod 12 - propojení s radius serverem
Nyní je potřeba nastavit samotné propojení s radius serverem. Máte dvě možnosti, jak toho docílit:
Možnost A - Klikací
V okně Radius klikneme na tlačítko plus (přidat). Službou je login, adresa serveru je 10.143.126.8, secret je secretslfree.
Možnost B - Terminálová
Spustíme New terminal. Pozor! V bodě 9 byli všichni uživatelů (zřejmě i ten váš, vymazány. Proto budete vyzvány k zadání jména a heslo. Budete muset použít uživatele freenetis nebo servis. V něm spusťte následující kód a potvrďte eneterem.
radius add service=login address=10.143.126.8 secret=secretslfree
Nastavení logování
# do promenne freenetis_heslo si ulozime vygenerovane heslo pro freenetis daemon pro toto AP (router) # Pozor! Toto heslo si zaroven zapiseme do freenetisu :global freenetis_heslo "4RFob3uWSk" # do promenne servis_heslo si ulozime vygenerovane heslo pro servis # toto heslo by melo byt na vsech AP (routerech) stejne, v budoucnu by mel freenetis umet toto heslo jednorazove pregenerovat :global servis_heslo "W8ifsk3q90" # do promenne prefix nastavime identifikator AP (routeru) pro logovani :global prefix "slfree_mladoticka_5G" # nastaveni radiusu radius incoming set accept=yes port=1700 radius add service=login address=10.143.126.8 secret=secretslfree # pridani uzivatelu freenetis a servis user add name=freenetis comment="freenetis daemon user" password=$freenetis_heslo group=full user add name=servis comment="servis" password=$servis_heslo group=servis # smazani vsech uzivatelu (krome freenetis a servis) :foreach user in=[user find] do={ :if ([user get $user name]!="freenetis" && [user get $user name]!="servis") do={ user remove $user } } # pridani uzivatelskych skupin user group add name="engineers" policy=local,telnet,ssh,ftp,reboot,read,write,test,winbox,password,web,sniff,!policy user group add name="member" policy=read,winbox,!local,!telnet,!ssh,!ftp,!reboot,!write,!policy,!test,!password,!web,!sniff user group add name="admin" policy=local,telnet,ssh,ftp,reboot,read,write,test,winbox,password,web,sniff,!policy user group add name="servis" policy=local,telnet,ssh,ftp,reboot,read,write,test,winbox,web,sniff,!policy,!password # smazani vsech jinych skupin (krome engineers, member, admin, servis, full, write, read) :foreach group in=[user group find] do={ :if ([user group get $group name]!="engineers" && [user group get $group name]!="member" && [user group get $group name]!="admin" && [user group get $group name]!="servis" && [user group get $group name]!="full" && [user group get $group name]!="write" && [user group get $group name]!="read") do={ user group remove $group } } # nastaveni autentizace skrze radius user aaa set accounting=yes default-group=member use-radius=yes # nastaveni logovani system logging action add name=remote target=remote remote=10.143.126.15:514 system logging add action=remote prefix=$prefix topics=account,critical,error,firewall,system