Nastavení AP pro radius a logování: Porovnání verzí

Z Wiki UnArt Slavičín
Skočit na navigaciSkočit na vyhledávání
Řádek 116: Řádek 116:
==== Bod 14 - nastavení logovacího pravidla ====
==== Bod 14 - nastavení logovacího pravidla ====


Už jenom zbývá přidat logovací pravidlo. Chceme logovat account, critical, error, firewall a system, pro přehlednost logů nastavíme prefix AP.
Už jenom zbývá přidat logovací pravidlo. Chceme logovat account, critical, error, firewall a system, pro přehlednost logů nastavíme prefix AP, akce je naše remote z bodu 13.


[[Soubor:16_logging_rules.png|1400px]]
[[Soubor:16_logging_rules.png|1400px]]

Verze z 2. 6. 2010, 23:09

Klikací verze

Nastavení skupin

Bod 1 - vyprázdnění skupin

Nejdříve smažeme všechny skupiny kromě základních (full, write a read)

Bod 2 - engineers

Nyní si vytvoříme skupinu engineers. Tato skupina zastupuje certifikované techniky.

Bod 3 - admin

Obdobně si vytvoříme skupinu admin. Tato skupina zastupuje adminy.

Bod 4 - member

Poté následuje skupina member. Tato skupina zastupuje řádné členy.

Bod 5 - servis

A nakonec přidáme skupinu servis. Tato skupina zastupuje servis.

Bod 6 - alternativa k bodům 2-5

Spustíme New terminál a do něho nakopírujeme následující kód a potvrdíme enterem. Výsledek bude naprosto stejný jako kdybychom postupovali podle bodů 2-5.

user group add name="engineers" policy=local,telnet,ssh,ftp,reboot,read,write,test,winbox,password,web,sniff,!policy
user group add name="member" policy=read,winbox,!local,!telnet,!ssh,!ftp,!reboot,!write,!policy,!test,!password,!web,!sniff
user group add name="admin" policy=local,telnet,ssh,ftp,reboot,read,write,test,winbox,password,web,sniff,!policy
user group add name="servis" policy=local,telnet,ssh,ftp,reboot,read,write,test,winbox,web,sniff,!policy,!password

Nastavení uživatelů

Bod 7 - uživatel freenetis

Vytvoříme nového uživatele freenetis a nastavíme mu náhodně generované heslo. Pozor! Toto heslo někde zazálohujeme (nejlépe přímo do freenetisu).

Je vhodné nastavit mu i komentář - freenetis daemon user.

Bod 8 - uživatel servis

Uživatel servis slouží pro servis v případě výpadku radiusu. Jeho heslo je stejně jako u uživatele freenetis náhodně generované, avšak pro všechny AP je stejné.

Bod 9 - vyprázdnění uživatelů

Nyní všechny uživatele kromě uživatelů freenetis a servis smažeme.

Bod 10 - nastavení autentizace

Ještě je potřeba nastavit autentizaci přes radius. To uděláme kliknutím na AAA a následným nastavením, jako defaultní skupinu nastavíme member.

Nastavení radiusu

Bod 11 - nastavení příchozích žádostí

Kliknutím na Incoming nastavíme naslouchání AP na portu 1700.

Bod 12 - propojení s radius serverem

Nyní je potřeba nastavit samotné propojení s radius serverem. Máte dvě možnosti, jak toho docílit:

Možnost A - Klikací

V okně Radius klikneme na tlačítko plus (přidat). Službou je login, adresa serveru je 10.143.126.8, secret je secretslfree.

Možnost B - Terminálová

Spustíme New terminal. Pozor! V bodě 9 byli všichni uživatelů (zřejmě i ten váš, vymazány. Proto budete vyzvány k zadání jména a heslo. Budete muset použít uživatele freenetis nebo servis. V něm spusťte následující kód a potvrďte eneterem.

radius add service=login address=10.143.126.8 secret=secretslfree

Nastavení logování

Bod 13 - nastavení logovací akce

Nejdříve bude potřeba vytvořit logovací akci pro typ remote (vzdálený). Defaultně jedna stejnojmenná již existuje, takže je ji potřeba pouze přenastavit pro naše účely. Port zůstává 514, adresu můžeme nastavit na logger.slfree.czf.

Vidíme, že mikrotik automaticky logger.slfree.czf přeloží na 10.143.126.15.

Bod 14 - nastavení logovacího pravidla

Už jenom zbývá přidat logovací pravidlo. Chceme logovat account, critical, error, firewall a system, pro přehlednost logů nastavíme prefix AP, akce je naše remote z bodu 13.

# do promenne freenetis_heslo si ulozime vygenerovane heslo pro freenetis daemon pro toto AP (router)
# Pozor! Toto heslo si zaroven zapiseme do freenetisu
:global freenetis_heslo "4RFob3uWSk"

# do promenne servis_heslo si ulozime vygenerovane heslo pro servis
# toto heslo by melo byt na vsech AP (routerech) stejne, v budoucnu by mel freenetis umet toto heslo jednorazove pregenerovat
:global servis_heslo "W8ifsk3q90"

# do promenne prefix nastavime identifikator AP (routeru) pro logovani
:global prefix "slfree_mladoticka_5G"

# nastaveni radiusu 
radius incoming set accept=yes port=1700
radius add service=login address=10.143.126.8 secret=secretslfree

# pridani uzivatelu freenetis a servis
user add name=freenetis comment="freenetis daemon user" password=$freenetis_heslo group=full
user add name=servis comment="servis" password=$servis_heslo group=servis

# smazani vsech uzivatelu (krome freenetis a servis)
:foreach user in=[user find] do={
:if ([user get $user name]!="freenetis" && [user get $user name]!="servis") do={
user remove $user
}
}

# pridani uzivatelskych skupin
user group add name="engineers" policy=local,telnet,ssh,ftp,reboot,read,write,test,winbox,password,web,sniff,!policy
user group add name="member" policy=read,winbox,!local,!telnet,!ssh,!ftp,!reboot,!write,!policy,!test,!password,!web,!sniff
user group add name="admin" policy=local,telnet,ssh,ftp,reboot,read,write,test,winbox,password,web,sniff,!policy
user group add name="servis" policy=local,telnet,ssh,ftp,reboot,read,write,test,winbox,web,sniff,!policy,!password

# smazani vsech jinych skupin (krome engineers, member, admin, servis, full, write, read) 
:foreach group in=[user group find] do={
:if ([user group get $group name]!="engineers" && [user group get $group name]!="member" && [user group get $group name]!="admin" && [user group get $group name]!="servis" && [user  group get $group name]!="full" && [user group get $group name]!="write" && [user group get $group name]!="read") do={
user group remove $group
}
}

# nastaveni autentizace skrze radius
user aaa set accounting=yes default-group=member use-radius=yes

# nastaveni logovani
system logging action add name=remote target=remote remote=10.143.126.15:514
system logging add action=remote prefix=$prefix topics=account,critical,error,firewall,system