Nastavení AP pro radius a logování: Porovnání verzí

Z Wiki UnArt Slavičín
Skočit na navigaciSkočit na vyhledávání
 
(Není zobrazeno 52 mezilehlých verzí od stejného uživatele.)
Řádek 1: Řádek 1:
== Klikací verze ==
= Klikací verze =
 
Tato verze nahradila původní terminálovou verzi návodu, která se ukázala jako nedostatečná.
 
== Nastavení AP pro radius ==


=== Nastavení skupin ===
=== Nastavení skupin ===
Tato sekce popisuje nastavení uživatelských skupin, které se nachází v okně Users. To je v některých verzích mikrotiku dostupné přímo v levém menu pod stejnojmennou položkou, v některých verzích je v submenu System.
==== Bod 1 - vyprázdnění skupin ====


Nejdříve smažeme všechny skupiny kromě základních (full, write a read)
Nejdříve smažeme všechny skupiny kromě základních (full, write a read)


[[Soubor:01 groups.png|1400px]]
[[Soubor:01 groups.png|1400px]]
==== Bod 2 - engineers ====


Nyní si vytvoříme skupinu engineers. Tato skupina zastupuje certifikované techniky.
Nyní si vytvoříme skupinu engineers. Tato skupina zastupuje certifikované techniky.


[[Soubor:02 groups engineers.png|1400px]]
[[Soubor:02 groups engineers.png|1400px]]
==== Bod 3 - admin ====


Obdobně si vytvoříme skupinu admin. Tato skupina zastupuje adminy.
Obdobně si vytvoříme skupinu admin. Tato skupina zastupuje adminy.


[[Soubor:03 groups admin.png|1400px]]
[[Soubor:03 groups admin.png|1400px]]
==== Bod 4 - member ====


Poté následuje skupina member. Tato skupina zastupuje řádné členy.
Poté následuje skupina member. Tato skupina zastupuje řádné členy.


[[Soubor:04 groups member.png|1400px]]
[[Soubor:04 groups member.png|1400px]]
==== Bod 5 - servis ====
A nakonec přidáme skupinu servis. Tato skupina zastupuje servis.
[[Soubor:05 groups servis.png|1400px]]
[[Soubor:05 groups servis.png|1400px]]
==== Bod 6 - alternativa k bodům 2-5 ====
Spustíme New terminál a do něho nakopírujeme následující kód a potvrdíme enterem. Výsledek bude naprosto stejný jako kdybychom postupovali podle bodů 2-5.
user group add name="engineers" policy=local,telnet,ssh,ftp,reboot,read,write,test,winbox,password,web,sniff,!policy
user group add name="member" policy=read,winbox,!local,!telnet,!ssh,!ftp,!reboot,!write,!policy,!test,!password,!web,!sniff
user group add name="admin" policy=local,telnet,ssh,ftp,reboot,read,write,test,winbox,password,web,sniff,!policy
user group add name="servis" policy=local,telnet,ssh,ftp,reboot,read,write,test,winbox,web,sniff,!policy,!password
[[Soubor:06 alternative 02-05.png|1400px]]
[[Soubor:06 alternative 02-05.png|1400px]]
=== Nastavení uživatelů ===
Tato sekce popisuje nastavení uživatelsků, které se nachází v okně Users. To je v některých verzích mikrotiku dostupné přímo v levém menu pod stejnojmennou položkou, v některých verzích je v submenu System.
==== Bod 7 - uživatel freenetis ====
Vytvoříme nového uživatele '''freenetis''' a nastavíme mu náhodně generované heslo. '''Pozor! Toto heslo někde zazálohujeme (nejlépe přímo do freenetisu).'''
[[Soubor:07_users_freenetis_password.png|1400px]]
[[Soubor:07_users_freenetis_password.png|1400px]]
Je vhodné nastavit mu i komentář - ''freenetis daemon user''.
[[Soubor:08_users_freenetis_comment.png|1400px]]
[[Soubor:08_users_freenetis_comment.png|1400px]]
==== Bod 8 - uživatel servis ====
Uživatel '''servis''' slouží pro servis v případě výpadku radiusu. Jeho heslo je stejně jako u uživatele freenetis náhodně generované, avšak pro všechny AP je stejné.
[[Soubor:09 users servis.png|1400px]]
[[Soubor:09 users servis.png|1400px]]
==== Bod 9 - vyprázdnění uživatelů ====
Nyní všechny uživatele kromě uživatelů '''freenetis''' a '''servis''' smažeme.
[[Soubor:10 users remove.png|1400px]]
[[Soubor:10 users remove.png|1400px]]
==== Bod 10 - nastavení autentizace ====
Ještě je potřeba nastavit autentizaci přes radius. To uděláme kliknutím na AAA a následným nastavením, jako defaultní skupinu nastavíme member.
[[Soubor:11 users aaa.png|1400px]]
[[Soubor:11 users aaa.png|1400px]]
=== Nastavení radiusu ===
Tato sekce popisuje nastavení radiusu, které se nachází v okně Radius. To je v dostupné přímo v levém menu pod stejnojmennou položkou.
==== Bod 11 - nastavení příchozích žádostí ====
Kliknutím na Incoming nastavíme naslouchání AP na portu 1700.
[[Soubor:12_radius_incoming.png|1400px]]
[[Soubor:12_radius_incoming.png|1400px]]
==== Bod 12 - propojení s radius serverem ====
Nyní je potřeba nastavit samotné propojení s radius serverem. Máte dvě možnosti, jak toho docílit:
===== Možnost A - Klikací =====
V okně Radius klikneme na tlačítko plus (přidat). Službou je login, adresa serveru je 10.143.126.8, secret je secretslfree.
[[Soubor:13 radius a.png|1400px]]
[[Soubor:13 radius a.png|1400px]]
===== Možnost B - Terminálová =====
Spustíme New terminal. '''Pozor! V bodě 9 byli všichni uživatelů (zřejmě i ten váš, vymazány. Proto budete vyzvány k zadání jména a heslo. Budete muset použít uživatele freenetis nebo servis.'''
V něm spusťte následující kód a potvrďte eneterem.
radius add service=login address=10.143.126.8 secret=secretslfree
[[Soubor:13 radius b.png|1400px]]
[[Soubor:13 radius b.png|1400px]]
== Nastavení AP pro logování ==
Tato sekce popisuje nastavení logování, které se nachází v okně Logging. To je dostupné v submenu System.
==== Bod 13 - nastavení logovací akce ====
Nejdříve bude potřeba vytvořit logovací akci pro typ remote (vzdálený). Defaultně jedna stejnojmenná již existuje, takže je ji potřeba pouze přenastavit pro naše účely.
Port zůstává 514, adresu můžeme nastavit na logger.slfree.czf.
[[Soubor:14 logging actions.png|1400px]]
[[Soubor:14 logging actions.png|1400px]]
Vidíme, že mikrotik automaticky logger.slavicin.unart.czf přeloží na 10.143.126.15.
[[Soubor:15_logging_actions.png|1400px]]
[[Soubor:15_logging_actions.png|1400px]]
==== Bod 14 - nastavení logovacího pravidla ====
Už jenom zbývá přidat logovací pravidlo. Chceme logovat account, critical, error, firewall a system, pro přehlednost logů nastavíme prefix AP, akce je naše remote z bodu 13.
[[Soubor:16_logging_rules.png|1400px]]
[[Soubor:16_logging_rules.png|1400px]]
= Terminálová verze =
Tato verze se ukázala jako nedostatečná (hlavně díky ošetření výjimek) a proto byla nahrazena klikací verzí. Zde zůstává pouze pro případné zájemce.


  # do promenne freenetis_heslo si ulozime vygenerovane heslo pro freenetis daemon pro toto AP (router)
  # do promenne freenetis_heslo si ulozime vygenerovane heslo pro freenetis daemon pro toto AP (router)

Aktuální verze z 21. 11. 2012, 08:10

Klikací verze

Tato verze nahradila původní terminálovou verzi návodu, která se ukázala jako nedostatečná.

Nastavení AP pro radius

Nastavení skupin

Tato sekce popisuje nastavení uživatelských skupin, které se nachází v okně Users. To je v některých verzích mikrotiku dostupné přímo v levém menu pod stejnojmennou položkou, v některých verzích je v submenu System.

Bod 1 - vyprázdnění skupin

Nejdříve smažeme všechny skupiny kromě základních (full, write a read)

Bod 2 - engineers

Nyní si vytvoříme skupinu engineers. Tato skupina zastupuje certifikované techniky.

Bod 3 - admin

Obdobně si vytvoříme skupinu admin. Tato skupina zastupuje adminy.

Bod 4 - member

Poté následuje skupina member. Tato skupina zastupuje řádné členy.

Bod 5 - servis

A nakonec přidáme skupinu servis. Tato skupina zastupuje servis.

Bod 6 - alternativa k bodům 2-5

Spustíme New terminál a do něho nakopírujeme následující kód a potvrdíme enterem. Výsledek bude naprosto stejný jako kdybychom postupovali podle bodů 2-5.

user group add name="engineers" policy=local,telnet,ssh,ftp,reboot,read,write,test,winbox,password,web,sniff,!policy
user group add name="member" policy=read,winbox,!local,!telnet,!ssh,!ftp,!reboot,!write,!policy,!test,!password,!web,!sniff
user group add name="admin" policy=local,telnet,ssh,ftp,reboot,read,write,test,winbox,password,web,sniff,!policy
user group add name="servis" policy=local,telnet,ssh,ftp,reboot,read,write,test,winbox,web,sniff,!policy,!password

Nastavení uživatelů

Tato sekce popisuje nastavení uživatelsků, které se nachází v okně Users. To je v některých verzích mikrotiku dostupné přímo v levém menu pod stejnojmennou položkou, v některých verzích je v submenu System.

Bod 7 - uživatel freenetis

Vytvoříme nového uživatele freenetis a nastavíme mu náhodně generované heslo. Pozor! Toto heslo někde zazálohujeme (nejlépe přímo do freenetisu).

Je vhodné nastavit mu i komentář - freenetis daemon user.

Bod 8 - uživatel servis

Uživatel servis slouží pro servis v případě výpadku radiusu. Jeho heslo je stejně jako u uživatele freenetis náhodně generované, avšak pro všechny AP je stejné.

Bod 9 - vyprázdnění uživatelů

Nyní všechny uživatele kromě uživatelů freenetis a servis smažeme.

Bod 10 - nastavení autentizace

Ještě je potřeba nastavit autentizaci přes radius. To uděláme kliknutím na AAA a následným nastavením, jako defaultní skupinu nastavíme member.

Nastavení radiusu

Tato sekce popisuje nastavení radiusu, které se nachází v okně Radius. To je v dostupné přímo v levém menu pod stejnojmennou položkou.

Bod 11 - nastavení příchozích žádostí

Kliknutím na Incoming nastavíme naslouchání AP na portu 1700.

Bod 12 - propojení s radius serverem

Nyní je potřeba nastavit samotné propojení s radius serverem. Máte dvě možnosti, jak toho docílit:

Možnost A - Klikací

V okně Radius klikneme na tlačítko plus (přidat). Službou je login, adresa serveru je 10.143.126.8, secret je secretslfree.

Možnost B - Terminálová

Spustíme New terminal. Pozor! V bodě 9 byli všichni uživatelů (zřejmě i ten váš, vymazány. Proto budete vyzvány k zadání jména a heslo. Budete muset použít uživatele freenetis nebo servis. V něm spusťte následující kód a potvrďte eneterem.

radius add service=login address=10.143.126.8 secret=secretslfree

Nastavení AP pro logování

Tato sekce popisuje nastavení logování, které se nachází v okně Logging. To je dostupné v submenu System.

Bod 13 - nastavení logovací akce

Nejdříve bude potřeba vytvořit logovací akci pro typ remote (vzdálený). Defaultně jedna stejnojmenná již existuje, takže je ji potřeba pouze přenastavit pro naše účely. Port zůstává 514, adresu můžeme nastavit na logger.slfree.czf.

Vidíme, že mikrotik automaticky logger.slavicin.unart.czf přeloží na 10.143.126.15.

Bod 14 - nastavení logovacího pravidla

Už jenom zbývá přidat logovací pravidlo. Chceme logovat account, critical, error, firewall a system, pro přehlednost logů nastavíme prefix AP, akce je naše remote z bodu 13.

Terminálová verze

Tato verze se ukázala jako nedostatečná (hlavně díky ošetření výjimek) a proto byla nahrazena klikací verzí. Zde zůstává pouze pro případné zájemce.

# do promenne freenetis_heslo si ulozime vygenerovane heslo pro freenetis daemon pro toto AP (router)
# Pozor! Toto heslo si zaroven zapiseme do freenetisu
:global freenetis_heslo "4RFob3uWSk"

# do promenne servis_heslo si ulozime vygenerovane heslo pro servis
# toto heslo by melo byt na vsech AP (routerech) stejne, v budoucnu by mel freenetis umet toto heslo jednorazove pregenerovat
:global servis_heslo "W8ifsk3q90"

# do promenne prefix nastavime identifikator AP (routeru) pro logovani
:global prefix "slfree_mladoticka_5G"

# nastaveni radiusu 
radius incoming set accept=yes port=1700
radius add service=login address=10.143.126.8 secret=secretslfree

# pridani uzivatelu freenetis a servis
user add name=freenetis comment="freenetis daemon user" password=$freenetis_heslo group=full
user add name=servis comment="servis" password=$servis_heslo group=servis

# smazani vsech uzivatelu (krome freenetis a servis)
:foreach user in=[user find] do={
:if ([user get $user name]!="freenetis" && [user get $user name]!="servis") do={
user remove $user
}
}

# pridani uzivatelskych skupin
user group add name="engineers" policy=local,telnet,ssh,ftp,reboot,read,write,test,winbox,password,web,sniff,!policy
user group add name="member" policy=read,winbox,!local,!telnet,!ssh,!ftp,!reboot,!write,!policy,!test,!password,!web,!sniff
user group add name="admin" policy=local,telnet,ssh,ftp,reboot,read,write,test,winbox,password,web,sniff,!policy
user group add name="servis" policy=local,telnet,ssh,ftp,reboot,read,write,test,winbox,web,sniff,!policy,!password

# smazani vsech jinych skupin (krome engineers, member, admin, servis, full, write, read) 
:foreach group in=[user group find] do={
:if ([user group get $group name]!="engineers" && [user group get $group name]!="member" && [user group get $group name]!="admin" && [user group get $group name]!="servis" && [user  group get $group name]!="full" && [user group get $group name]!="write" && [user group get $group name]!="read") do={
user group remove $group
}
}

# nastaveni autentizace skrze radius
user aaa set accounting=yes default-group=member use-radius=yes

# nastaveni logovani
system logging action add name=remote target=remote remote=10.143.126.15:514
system logging add action=remote prefix=$prefix topics=account,critical,error,firewall,system