classic.ISPforum.cz

Zdravím všechni,

řešíte někdo centrální správu hesel na mikrotiku? jedná se mi o to, že když odejde technik tak potřebuji jeho hesla zneplatnit a novému přidělit oprávnění.. Existuje na to nějaký sw??

Děkuji

Jasně, RADIUS server a služba Login. V kombinaci s remote syslogem pecka. Vím kdy se kdo na router přihlásil i co tam dělal.

zdenek.svarc píše:Jasně, RADIUS server a služba Login. V kombinaci s remote syslogem pecka. Vím kdy se kdo na router přihlásil i co tam dělal.

jak se to zachová při výpadku přístupu na radius? To se tam pak už nikdo nelogne nebo si to mk nějak pamatuje lokálně?

Řeší se to tak, že použije admin heslo, prostě klasické lokální heslo, které ale nezná nikdo jiný než pověřená osoba, která ho na požádání vydá a pak opět změní.

Pokud RADIUS nezije, tak nefunguje prihlaseni (pokud neni nejaky admin user lokalne udelany). Resi se to tak, ze se muzou udelat 2 servery (nekdo ma i 4 servery, ale to uz neni pouze kvuli vypadku, ale rozlozeni zateze - to uz jsou ale obrovsky site) s tim, ze kdyz jeden vypadne tak se klient zepta druhyho serveru.

Vždycky musí být jeden lokální "admin" uživatel vytvořený, ale pokud není mimořádná situace, tak se nepoužívá.

mno jo ale pokud budu mit jednoho/vic lokalnich uzivatelu pro pripad nouze. Tak pravdepodobne na vsech MK budu mit stejneho/stejne uzivatele a stejne heslo. No sice budu poverena osoba, ale kdyz mu ho reknu muze se pripojit i na jine mk. Takze to bue chtit co MK to originalni heslo pro pripad nouze.

nebo je to jinak ?

Co MK to heslo bych určitě nedělal. Představ si, že budeš mít síť, kde máš třeba 500 klientských zařízení a k tomu třeba dalších 100 páteřních prvků, to budeš chtít spravovat tolik hesel?

Takže bych zavedl jedno heslo pro páteřní prvky (PtP spoje, AP atd.) a druhé heslo pro klientské jednotky + k tomu Radius. Předpokládám, že když Radius klekne, tak bude priorita ho spravit v co nejkratší době, takže buď v té době nikdo nikam nepoleze, nebo když bude nejhůř, tak se do zařízení buď připojíš ty (pak heslo měnit nemusíš) nebo ho někomu dáš (jenom to jedno, to co bude potřebovat) a pak ho skriptem ve všech zařízeních změníš.

Podle mě jak tak malá pravděpodobnost, že ten Radius klekne, a než ho opravíš, tak že bude potřeba někomu heslo říkat, že bych to neřešil.

My máme co MK to jiný uživatelský jméno a heslo a jednou za čas se přegeneruje celá síť. Přístupy jsou dvojí. Jedny pro techniky co jsou omezený a druhý pro adminy s plným přístupem.

hocimin1 píše:mno jo ale pokud budu mit jednoho/vic lokalnich uzivatelu pro pripad nouze. Tak pravdepodobne na vsech MK budu mit stejneho/stejne uzivatele a stejne heslo. No sice budu poverena osoba, ale kdyz mu ho reknu muze se pripojit i na jine mk. Takze to bue chtit co MK to originalni heslo pro pripad nouze.

nebo je to jinak ?

Ano, co router, to unikátní admin heslo v offline tabulce nouzových přístupů, ke které má přístup pouze jedna/dvě pověřené osoby.

Vzdy musi byt jen jeden zalozni pristup na mikrotik. Neni realny udrozvat nekolik nouzovych uzivatelu na zarizeni.

Navic nejde jen o vypadek serveru, ale o celkovy rozpad komunikace zarizeni-RADIUS. Rozpadnou se to muze i klidne kvuli tomu, ze po ceste vytuhl nejaky switch/router/radio a hleda se pricina. Technik se pak na drihe strane neprihlasi pres RADIUS protoze neni dostupny.

Kazdy si musi zvazit jestli to ma pro neho smysl nebo ne. Pokud je to mensi sit, tak si jedine napsat script co generuje rucne uzivatele do zarizeni (ale neni to moc prakticky).

kure05 píše:My máme co MK to jiný uživatelský jméno a heslo a jednou za čas se přegeneruje celá síť. Přístupy jsou dvojí. Jedny pro techniky co jsou omezený a druhý pro adminy s plným přístupem.

jak a čím to generujete?

ten RADIUS se mi taky libí, ale řešili jsme taky tu situaci, co když zdechne kominikace na RADIUS (odejde nějaký rádio, prostě hw) a technik je tím pádem odříznutý. Těch zařízení jsou stovky, takže nějaký centrální management hesel je žádoucí. Spíš bych to viděl na nějaký script který by rozeslal hesla a bylo by to v MK off-line.

Oprašuji starší fórum, protože mi to leží furt v hlavě. Furt řešíme hesla do wifin, k tomu pppoe. Problém je, že část zákazníků chce do zařízení přístup a tak hesla musí znát a vidět. Doteď jsme jeli prakticky jedno heslo pro pppoe a do routerů jsme něco generovali. Po telefonu jsme heslo řekli pro potřeby servisu a pak ho zase třeba změnili. Ale ani jedno nevyhovuje.

Nemáte někdo vymyšlen pěkný systém, jak hesla vytvářet?

- aby nebylo na první pohled jasný, jaký heslo mají ti další?
- aby se dalo heslo vždy vymyslet stejně a nebylo jen náhodné?

prostě nebýt odkázán na evidenci a zároveň mít rozumnou bezpečnost.

díky z rady

Vyber si implemenaci, jaká ti vyhovuje: https://cs.wikipedia.org/wiki/Gener%C3%A1tor_n%C3%A1hodn%C3%BDch_hesel