Nastavení AP pro radius a logování: Porovnání verzí
| Řádek 103: | Řádek 103: | ||
=== Nastavení logování === | === Nastavení logování === | ||
==== Bod 13 - nastavení | ==== Bod 13 - nastavení logovací akce ==== | ||
Nejdříve bude potřeba vytvořit logovací akci pro typ remote (vzdálená). Defaultně jedna stejnojmenná již existuje, takže ji je potřeba pouze přenastavit pro naše účely. | |||
Port zůstává 514, adresu můžeme nastavit na logger.slfree.czf. | |||
[[Soubor:14 logging actions.png|1400px]] | [[Soubor:14 logging actions.png|1400px]] | ||
Verze z 2. 6. 2010, 23:05
Klikací verze
Nastavení skupin
Bod 1 - vyprázdnění skupin
Nejdříve smažeme všechny skupiny kromě základních (full, write a read)
Bod 2 - engineers
Nyní si vytvoříme skupinu engineers. Tato skupina zastupuje certifikované techniky.
Bod 3 - admin
Obdobně si vytvoříme skupinu admin. Tato skupina zastupuje adminy.
Bod 4 - member
Poté následuje skupina member. Tato skupina zastupuje řádné členy.
Bod 5 - servis
A nakonec přidáme skupinu servis. Tato skupina zastupuje servis.
Bod 6 - alternativa k bodům 2-5
Spustíme New terminál a do něho nakopírujeme následující kód a potvrdíme enterem. Výsledek bude naprosto stejný jako kdybychom postupovali podle bodů 2-5.
user group add name="engineers" policy=local,telnet,ssh,ftp,reboot,read,write,test,winbox,password,web,sniff,!policy user group add name="member" policy=read,winbox,!local,!telnet,!ssh,!ftp,!reboot,!write,!policy,!test,!password,!web,!sniff user group add name="admin" policy=local,telnet,ssh,ftp,reboot,read,write,test,winbox,password,web,sniff,!policy user group add name="servis" policy=local,telnet,ssh,ftp,reboot,read,write,test,winbox,web,sniff,!policy,!password
Nastavení uživatelů
Bod 7 - uživatel freenetis
Vytvoříme nového uživatele freenetis a nastavíme mu náhodně generované heslo. Pozor! Toto heslo někde zazálohujeme (nejlépe přímo do freenetisu).
Je vhodné nastavit mu i komentář - freenetis daemon user.
Bod 8 - uživatel servis
Uživatel servis slouží pro servis v případě výpadku radiusu. Jeho heslo je stejně jako u uživatele freenetis náhodně generované, avšak pro všechny AP je stejné.
Bod 9 - vyprázdnění uživatelů
Nyní všechny uživatele kromě uživatelů freenetis a servis smažeme.
Bod 10 - nastavení autentizace
Ještě je potřeba nastavit autentizaci přes radius. To uděláme kliknutím na AAA a následným nastavením, jako defaultní skupinu nastavíme member.
Nastavení radiusu
Bod 11 - nastavení příchozích žádostí
Kliknutím na Incoming nastavíme naslouchání AP na portu 1700.
Bod 12 - propojení s radius serverem
Nyní je potřeba nastavit samotné propojení s radius serverem. Máte dvě možnosti, jak toho docílit:
Možnost A - Klikací
V okně Radius klikneme na tlačítko plus (přidat). Službou je login, adresa serveru je 10.143.126.8, secret je secretslfree.
Možnost B - Terminálová
Spustíme New terminal. Pozor! V bodě 9 byli všichni uživatelů (zřejmě i ten váš, vymazány. Proto budete vyzvány k zadání jména a heslo. Budete muset použít uživatele freenetis nebo servis. V něm spusťte následující kód a potvrďte eneterem.
radius add service=login address=10.143.126.8 secret=secretslfree
Nastavení logování
Bod 13 - nastavení logovací akce
Nejdříve bude potřeba vytvořit logovací akci pro typ remote (vzdálená). Defaultně jedna stejnojmenná již existuje, takže ji je potřeba pouze přenastavit pro naše účely. Port zůstává 514, adresu můžeme nastavit na logger.slfree.czf.
# do promenne freenetis_heslo si ulozime vygenerovane heslo pro freenetis daemon pro toto AP (router)
# Pozor! Toto heslo si zaroven zapiseme do freenetisu
:global freenetis_heslo "4RFob3uWSk"
# do promenne servis_heslo si ulozime vygenerovane heslo pro servis
# toto heslo by melo byt na vsech AP (routerech) stejne, v budoucnu by mel freenetis umet toto heslo jednorazove pregenerovat
:global servis_heslo "W8ifsk3q90"
# do promenne prefix nastavime identifikator AP (routeru) pro logovani
:global prefix "slfree_mladoticka_5G"
# nastaveni radiusu
radius incoming set accept=yes port=1700
radius add service=login address=10.143.126.8 secret=secretslfree
# pridani uzivatelu freenetis a servis
user add name=freenetis comment="freenetis daemon user" password=$freenetis_heslo group=full
user add name=servis comment="servis" password=$servis_heslo group=servis
# smazani vsech uzivatelu (krome freenetis a servis)
:foreach user in=[user find] do={
:if ([user get $user name]!="freenetis" && [user get $user name]!="servis") do={
user remove $user
}
}
# pridani uzivatelskych skupin
user group add name="engineers" policy=local,telnet,ssh,ftp,reboot,read,write,test,winbox,password,web,sniff,!policy
user group add name="member" policy=read,winbox,!local,!telnet,!ssh,!ftp,!reboot,!write,!policy,!test,!password,!web,!sniff
user group add name="admin" policy=local,telnet,ssh,ftp,reboot,read,write,test,winbox,password,web,sniff,!policy
user group add name="servis" policy=local,telnet,ssh,ftp,reboot,read,write,test,winbox,web,sniff,!policy,!password
# smazani vsech jinych skupin (krome engineers, member, admin, servis, full, write, read)
:foreach group in=[user group find] do={
:if ([user group get $group name]!="engineers" && [user group get $group name]!="member" && [user group get $group name]!="admin" && [user group get $group name]!="servis" && [user group get $group name]!="full" && [user group get $group name]!="write" && [user group get $group name]!="read") do={
user group remove $group
}
}
# nastaveni autentizace skrze radius
user aaa set accounting=yes default-group=member use-radius=yes
# nastaveni logovani
system logging action add name=remote target=remote remote=10.143.126.15:514
system logging add action=remote prefix=$prefix topics=account,critical,error,firewall,system
