Nastavení AP pro radius a logování: Porovnání verzí

Z Wiki UnArt Slavičín
Skočit na navigaciSkočit na vyhledávání
Řádek 64: Řádek 64:
==== Bod 9 - vyprázdnění uživatelů ====
==== Bod 9 - vyprázdnění uživatelů ====


Nyní všechny uživatele kromě uživatelů freenetis a servis smažeme.
Nyní všechny uživatele kromě uživatelů '''freenetis''' a '''servis''' smažeme.


[[Soubor:10 users remove.png|1400px]]
[[Soubor:10 users remove.png|1400px]]
==== Bod 10 - nastavení autentizace ====
Ještě je potřeba nastavit autentizaci přes radius. To uděláme kliknutím na AAA a následným nastavením, jako defaultní skupinu nastavíme member.
[[Soubor:11 users aaa.png|1400px]]
[[Soubor:11 users aaa.png|1400px]]
[[Soubor:12_radius_incoming.png|1400px]]
[[Soubor:12_radius_incoming.png|1400px]]

Verze z 2. 6. 2010, 22:42

Klikací verze

Nastavení skupin

Bod 1 - vyprázdnění skupin

Nejdříve smažeme všechny skupiny kromě základních (full, write a read)

Bod 2 - engineers

Nyní si vytvoříme skupinu engineers. Tato skupina zastupuje certifikované techniky.

Bod 3 - admin

Obdobně si vytvoříme skupinu admin. Tato skupina zastupuje adminy.

Bod 4 - member

Poté následuje skupina member. Tato skupina zastupuje řádné členy.

Bod 5 - servis

A nakonec přidáme skupinu servis. Tato skupina zastupuje servis.

Bod 6 - alternativa k bodům 2-5

Spustíme New terminál a do něho nakopírujeme následující kód a potvrdíme enterem. Výsledek bude naprosto stejný jako kdybychom postupovali podle bodů 2-5.

user group add name="engineers" policy=local,telnet,ssh,ftp,reboot,read,write,test,winbox,password,web,sniff,!policy
user group add name="member" policy=read,winbox,!local,!telnet,!ssh,!ftp,!reboot,!write,!policy,!test,!password,!web,!sniff
user group add name="admin" policy=local,telnet,ssh,ftp,reboot,read,write,test,winbox,password,web,sniff,!policy
user group add name="servis" policy=local,telnet,ssh,ftp,reboot,read,write,test,winbox,web,sniff,!policy,!password

Nastavení uživatelů

Bod 7 - uživatel freenetis

Vytvoříme nového uživatele freenetis a nastavíme mu náhodně generované heslo. Pozor! Toto heslo někde zazálohujeme (nejlépe přímo do freenetisu).

Je vhodné nastavit mu i komentář - freenetis daemon user.

Bod 8 - uživatel servis

Uživatel servis slouží pro servis v případě výpadku radiusu. Jeho heslo je stejně jako u uživatele freenetis náhodně generované, avšak pro všechny AP je stejné.

Bod 9 - vyprázdnění uživatelů

Nyní všechny uživatele kromě uživatelů freenetis a servis smažeme.

Bod 10 - nastavení autentizace

Ještě je potřeba nastavit autentizaci přes radius. To uděláme kliknutím na AAA a následným nastavením, jako defaultní skupinu nastavíme member.

# do promenne freenetis_heslo si ulozime vygenerovane heslo pro freenetis daemon pro toto AP (router)
# Pozor! Toto heslo si zaroven zapiseme do freenetisu
:global freenetis_heslo "4RFob3uWSk"

# do promenne servis_heslo si ulozime vygenerovane heslo pro servis
# toto heslo by melo byt na vsech AP (routerech) stejne, v budoucnu by mel freenetis umet toto heslo jednorazove pregenerovat
:global servis_heslo "W8ifsk3q90"

# do promenne prefix nastavime identifikator AP (routeru) pro logovani
:global prefix "slfree_mladoticka_5G"

# nastaveni radiusu 
radius incoming set accept=yes port=1700
radius add service=login address=10.143.126.8 secret=secretslfree

# pridani uzivatelu freenetis a servis
user add name=freenetis comment="freenetis daemon user" password=$freenetis_heslo group=full
user add name=servis comment="servis" password=$servis_heslo group=servis

# smazani vsech uzivatelu (krome freenetis a servis)
:foreach user in=[user find] do={
:if ([user get $user name]!="freenetis" && [user get $user name]!="servis") do={
user remove $user
}
}

# pridani uzivatelskych skupin
user group add name="engineers" policy=local,telnet,ssh,ftp,reboot,read,write,test,winbox,password,web,sniff,!policy
user group add name="member" policy=read,winbox,!local,!telnet,!ssh,!ftp,!reboot,!write,!policy,!test,!password,!web,!sniff
user group add name="admin" policy=local,telnet,ssh,ftp,reboot,read,write,test,winbox,password,web,sniff,!policy
user group add name="servis" policy=local,telnet,ssh,ftp,reboot,read,write,test,winbox,web,sniff,!policy,!password

# smazani vsech jinych skupin (krome engineers, member, admin, servis, full, write, read) 
:foreach group in=[user group find] do={
:if ([user group get $group name]!="engineers" && [user group get $group name]!="member" && [user group get $group name]!="admin" && [user group get $group name]!="servis" && [user  group get $group name]!="full" && [user group get $group name]!="write" && [user group get $group name]!="read") do={
user group remove $group
}
}

# nastaveni autentizace skrze radius
user aaa set accounting=yes default-group=member use-radius=yes

# nastaveni logovani
system logging action add name=remote target=remote remote=10.143.126.15:514
system logging add action=remote prefix=$prefix topics=account,critical,error,firewall,system