23T7 FreeRadius RouterOS Admin Access w 17 min. [konfiguracja Mikrotik]

Bezpłatny Radius dla Każdego

Więcej miejsc do posłuchania:

Spotify

0:00 Wprowadzenie

0:19 Konfiguracja Free Radiusa

16:58 Podsumowanie

Transkrypcja

Cześć. Jesteś ciekaw jak wykorzystać system Radius do logowania administratorów do infrastruktury? Np do routerów? Ale do wszystkich innych urządzeń również. Jeżeli tak to dzisiaj szybko opowiem jak to zrobić z wykorzystaniem MikroTika i systemu Free Radius.

Zacznijmy od tego co będę konfigurował czyli dzisiaj zajmę się Free Radiusem, który jest widoczny tutaj po lewej stronie, z końcówką adresacji 1 w sieci 10.140.1 i będę konfigurował dostęp administracyjny na MT3-DC i jest to adres z końcówką 118. Czyli z tego adresu oczekuję, że będzie szedł request czyli zapytanie Radiusowe przy logowaniu się do MT3-DC.

Krok pierwszy czyli konfiguracja po stronie Mikrotika. MT3-DC. Przechodzę do konfiguracji w zakładce Radius, czyli w menu Radius. Klikam dodaj nowy system Radius czy nowy serwer. Będę używał typu usługi login czyli będę się logował z użyciem tego Radiusa. Tu wpisuje adres IP. Zgodnie z tym co wcześniej powiedziałem – 10.141.1.1 Hasło. To samo hasło będę musiał ustawić potem po stronie Radiusa. Portów nie zmieniam, tu nie muszę nic więcej modyfikować. Ustawienia domyślne są bardzo dobre, accouting czyli informacje takie o sesji będą wysyłane na port 1813, prośba o uwierzytelnienie na port 1812. Jest stworzony. Teraz jeszcze potrzebuje przejść do system -> users i tutaj w ustawieniach AAA włączyć używanie Radiusa. Mogę tutaj jeszcze Interim Update zmienić na pięć minut i domyślna gruparead. Niech tak będzie.

Teraz mogę przejść do konfiguracji samego Radiusa czyli użytkownika i informacji o urządzeniu. Jeżeli chodzi o Radiusa to tak, muszę tutaj skonfigurować w ścieżce podanej czyli etc/freeradius/3.0./clients.conf Clients to jest plik w którym przechowuje Radius informacje o urządzeniach. Czyli tutaj będę musiał dodać taki wpis, który definiuje mojego Mikrotika czyli MT3-DC-DMZ i jego adres IP z jakiego będzie przychodziło zapytanie, secret, ten, który przed chwilą wpisałem i typ urządzenia other. To muszę w tym pliku zrealizować. Jestem już zalogowany tutaj do mojego systemu Radius. Permitted denied. Czyli mam uprawnienia nie wystarczające. Muszę zrobić sudo.

Teraz lepiej. Tutaj wcześniej w poprzednich odcinkach a konkretnie w odcinku, który robiłem na temat instalacji serwera Radius, pierwszego klienta czyli system Ubuntu, który był dla mnie systemem z którego testowałem działanie Radiusa. Tutaj dodałem, więc za tym wpisem umieszczam mój drugi wpis czyli drugiego klienta. Kopiuje sobie tutaj całość. Zapisuję. No i teraz drugi element. Tu odrazu może wpiszę sudo. Teraz będę dodawał do pliku users konkretnego już użytkownika.

Poprzedni użytkownik też już tu był dodany. Stworzę kolejnego. Tutaj zmodyfikuję tylko nazwę a konkretniej zmodyfikuję może w tym wyższym, żeby miał użytkownika o jednej nazwie w tym pliku. To co jak widzisz się różni to jedynie Mikrotik Group, czyli dodatkowy atrybut, króry jest tutaj związany z tym jak działa Mikrotik. Czyli tu jest nazwa grupy i tu możemy już zapisać. Dobra, jeszcze jedna rzecz jest po stronie Mikrotika do skonfigurowania apropo grupy. Bo domyślnie mamy w Mikrotiku trzy grupy: full, read, write a ja sobie wymyśliłem w moim przykładzie, że stworzę nową grupę i ta grupa będzie się nazywała group-nap czyli muszę tutaj też taką grupę nową stworzyć. group-nap no I tutaj niech będzie wszystko.

Taki przykład. Ok… Jest group-nap no i teraz jedyne co mi pozostaje zrobić to spróbować się zalogować z użyciem loginu użytkownika nap. To się teraz wyloguję. No i widać, że logowanie nie działa. Żeby teraz sprawdzić co konkretnie nie działa to trzeba zobaczyć na serwerze Radius co w logach widać, żeby można było powiedzieć jaki problem jest. Nie jestem tutaj teraz przekonany ale możemy spróbować zobaczyć. To jest pierwsza rzecz, którą trzeba sprawdzić – czyli z jakiego adresu IP to zapytanie idzie.

Drugą rzecz, którą trzeba sprawdzić to czy hasło się zgadza współdzielone pomiędzy Mikrotikiem a serwerem Radius. Czyli przekopiuje hasło, żeby nie było, że tam jakaś literówka mi się wkradła. Zobaczę jakie są adresy IP… Wiem czego jeszcze nie zrobiłem. Trzeba zrestartować serwis. Po wprowadzeniu zmian. Widać, że jest jakiś problem z restartem Free Radiusa. Na to wygląda, że usługa Free Radiusa mi teraz nie działa. No to trzeba sprawdzić dlaczego. Tutaj sobie przypomniałem, że trzeba robić z konta roote i zobaczymy jak teraz się będzie sytuacja przedstawiała. Tutaj widać, że jest błąd parsowania. Czyli trzeba wrócić do… i to jest dla spisu nap, czyli trzeba wrócić do użytkownika.

Dobra, spróbujmy tego narazie wyłączyć i zobaczmy czy teraz będzie lepiej. Nie. Tu ewidentnie jest do sprawdzenia te dwa pliki, które modyfikowaliśmy i składnia. Tu w logach się nie pojawiało, że coś jest nie tak. Dobra, to wracamy do drugiego pliku. Tu mam przykłady jakie możemy atrybuty dodatkowo podać ale mnie interesuje narazie składnia. a jak wyedytuje tą linię z Mikrotik group… Zobaczmy, albo w ogóle to możemy narazie wykomentować i zobaczyć czy nam się uruchamia w ogóle Radius. Uruchamia się. Czyli już widać, że problem jest z tą składnią.

No to jeszcze raz. Teraz zmienię tylko nazwę. Czyli usunę komentarz linii nap. Zobaczymy czy teraz uruchomi się. Tak. Czyli tu jest ewidentnie problem z tym, że atrybutu nie rozpoznaje dla użytkownika a to oznacza, że trzeba mu dodać ten atrybut do słownika. Zaraz sprawdzę jak to zrobić i pokażę. Sprawdziłem i tutaj wiać, że słownik Mikrotik jest dołączony a to oznacza, że prawdopodobnie zmieniła się zawartość tego pliku i teraz już ten atrybut nie jest używany. Zaraz sprawdzę w takim razie jaki jest atrybut aktualny działający.

No dobra, to zobaczmy jaka jest zawartość tego pliku Mikrotik i czy jest taki atrybut. I jaki atrybut jest nam potrzebny? MikroTik-Group. Czyli jest taki atrybut. Zobaczmy może tu jakiś znak jest dla niego nie do zaakceptowania. No przyznam, ze ciekawe… Może tu jest jakaś literówka. A spróbujmy inny Mikrotik-Host-IP. Inny atrybut i zobaczymy. Mikrotik-Host-IP. Zobaczmy czy teraz się uruchomi. O. Teraz się uruchomił. Czyli tamten atrybut został Mikrotik-Host-IP został zaakceptowany.

Dobra, to wróćmy jeszcze raz i zobaczmy. Z małej litery a drugie z dużej litery. Dobra… No to sprawdźmy czy to jest w takim razie ten powód. Zobaczmy czy teraz uda mi się uruchomić serwis. Nie, nadal nie działa. No dobra, to trzeba nadal szukać przyczyny dlaczego tego atrybutu nie akceptuje. Wiem, co jeszcze sprawdzę. Sprawdzę czy tutaj nie ma jakiejś literówki w tej konfiguracji tego atrybutu Mikrotik-group. Zrobię następująco. Wpiszę po prostu z palca jeszcze raz Mikrotik-group nap. A tą linijkę mogę już wykasować. Zapiszę.

No i spróbuję zrestartować serwis. O i teraz się składnia zgadza czyli wszystko powinno działać. Możemy zobaczyć jeszcze jaki jest status tego uruchomionego serwisu. Mam nadzieje, że uruchomionego. Tak, teraz widać, że status jest Active. Czyli wszystko nam działa po stronie Radiusa. To możemy wrócić do naszego Mikrotika. Wylogować się i spróbujemy się zalogować użytkownikiem nap w istniejącym Radiusie. o i elegancko. Teraz widać, że zadziałało. Możemy zobaczyć sobie Active users, jakich użytkowników mamy zalogowanych. Grupa jest faktycznie taka, jakbym chciał czyli grupa do której przydzieliłem z group-nap.

Grupa administratorów, czy grupa uprawnień dla administratora. Łączę się przez interfejs web i mam nazwę użytkownika i znacznik, że uwierzytelniony przez Radius. Czyli nam elegancko cały dostęp administracyjny w oparciu o Free Radiusa już działa.

Na dzisiaj to tyle, dziękuję Ci za uwagę. Jeżeli masz jakiekolwiek pytanie co do tego tematu to oczywiście pisz w komentarzu. Jeżeli masz jakąś sugestię co do innych tematów z tego zakresu to również napisz do mnie, chętnie się z tym zapoznam. Jeżeli mogę w czymś pomóc to również odpowiem. Pisz śmiało w komentarzu. Za dzisiaj Ci dziękuję i do usłyszenia już za tydzień.


Autor: Darek Koralewski

Od początku swojej kariery, czyli od 2004 roku, zajmuję się sieciami komputerowymi ze szczególnym uwzględnieniem ich bezpieczeństwa oraz sieciami programowalnymi. Mam na swoim koncie całą listę certyfikatów różnych producentów, dwa najważniejsze to te poświadczające najwyższy poziom wiedzy eksperckiej z zakresu rozwiązań Aruba ClearPass ACCX#901 oraz z projektowania sieci opartych o rozwiązania Aruba ACDX#1255. Więcej informacji możesz znaleźć na moich portalach społecznościowych.