správa hesel

asdfgh

Zdravím všechni,

řešíte někdo centrální správu hesel na mikrotiku? jedná se mi o to, že když odejde technik tak potřebuji jeho hesla zneplatnit a novému přidělit oprávnění.. Existuje na to nějaký sw??

Děkuji

zdeneksvarc

Jasně, RADIUS server a služba Login. V kombinaci s remote syslogem pecka. Vím kdy se kdo na router přihlásil i co tam dělal.

hol

Jasně, RADIUS server a služba Login. V kombinaci s remote syslogem pecka. Vím kdy se kdo na router přihlásil i co tam dělal.

jak se to zachová při výpadku přístupu na radius? To se tam pak už nikdo nelogne nebo si to mk nějak pamatuje lokálně?

zdeneksvarc

Řeší se to tak, že použije admin heslo, prostě klasické lokální heslo, které ale nezná nikdo jiný než pověřená osoba, která ho na požádání vydá a pak opět změní.

radik

Pokud RADIUS nezije, tak nefunguje prihlaseni (pokud neni nejaky admin user lokalne udelany). Resi se to tak, ze se muzou udelat 2 servery (nekdo ma i 4 servery, ale to uz neni pouze kvuli vypadku, ale rozlozeni zateze - to uz jsou ale obrovsky site) s tim, ze kdyz jeden vypadne tak se klient zepta druhyho serveru.

zdeneksvarc

Vždycky musí být jeden lokální "admin" uživatel vytvořený, ale pokud není mimořádná situace, tak se nepoužívá.

hocimin1

mno jo ale pokud budu mit jednoho/vic lokalnich uzivatelu pro pripad nouze. Tak pravdepodobne na vsech MK budu mit stejneho/stejne uzivatele a stejne heslo. No sice budu poverena osoba, ale kdyz mu ho reknu muze se pripojit i na jine mk. Takze to bue chtit co MK to originalni heslo pro pripad nouze.

nebo je to jinak ?

sacnok

Co MK to heslo bych určitě nedělal. Představ si, že budeš mít síť, kde máš třeba 500 klientských zařízení a k tomu třeba dalších 100 páteřních prvků, to budeš chtít spravovat tolik hesel?

Takže bych zavedl jedno heslo pro páteřní prvky (PtP spoje, AP atd.) a druhé heslo pro klientské jednotky + k tomu Radius. Předpokládám, že když Radius klekne, tak bude priorita ho spravit v co nejkratší době, takže buď v té době nikdo nikam nepoleze, nebo když bude nejhůř, tak se do zařízení buď připojíš ty (pak heslo měnit nemusíš) nebo ho někomu dáš (jenom to jedno, to co bude potřebovat) a pak ho skriptem ve všech zařízeních změníš.

Podle mě jak tak malá pravděpodobnost, že ten Radius klekne, a než ho opravíš, tak že bude potřeba někomu heslo říkat, že bych to neřešil.

kure05

My máme co MK to jiný uživatelský jméno a heslo a jednou za čas se přegeneruje celá síť. Přístupy jsou dvojí. Jedny pro techniky co jsou omezený a druhý pro adminy s plným přístupem.

zdeneksvarc

mno jo ale pokud budu mit jednoho/vic lokalnich uzivatelu pro pripad nouze. Tak pravdepodobne na vsech MK budu mit stejneho/stejne uzivatele a stejne heslo. No sice budu poverena osoba, ale kdyz mu ho reknu muze se pripojit i na jine mk. Takze to bue chtit co MK to originalni heslo pro pripad nouze.

nebo je to jinak ?

Ano, co router, to unikátní admin heslo v offline tabulce nouzových přístupů, ke které má přístup pouze jedna/dvě pověřené osoby.

radik

Vzdy musi byt jen jeden zalozni pristup na mikrotik. Neni realny udrozvat nekolik nouzovych uzivatelu na zarizeni.

Navic nejde jen o vypadek serveru, ale o celkovy rozpad komunikace zarizeni-RADIUS. Rozpadnou se to muze i klidne kvuli tomu, ze po ceste vytuhl nejaky switch/router/radio a hleda se pricina. Technik se pak na drihe strane neprihlasi pres RADIUS protoze neni dostupny.

Kazdy si musi zvazit jestli to ma pro neho smysl nebo ne. Pokud je to mensi sit, tak si jedine napsat script co generuje rucne uzivatele do zarizeni (ale neni to moc prakticky).

hol

My máme co MK to jiný uživatelský jméno a heslo a jednou za čas se přegeneruje celá síť. Přístupy jsou dvojí. Jedny pro techniky co jsou omezený a druhý pro adminy s plným přístupem.

jak a čím to generujete?

asdfgh

ten RADIUS se mi taky libí, ale řešili jsme taky tu situaci, co když zdechne kominikace na RADIUS (odejde nějaký rádio, prostě hw) a technik je tím pádem odříznutý. Těch zařízení jsou stovky, takže nějaký centrální management hesel je žádoucí. Spíš bych to viděl na nějaký script který by rozeslal hesla a bylo by to v MK off-line.

hol

Oprašuji starší fórum, protože mi to leží furt v hlavě. Furt řešíme hesla do wifin, k tomu pppoe. Problém je, že část zákazníků chce do zařízení přístup a tak hesla musí znát a vidět. Doteď jsme jeli prakticky jedno heslo pro pppoe a do routerů jsme něco generovali. Po telefonu jsme heslo řekli pro potřeby servisu a pak ho zase třeba změnili. Ale ani jedno nevyhovuje.

Nemáte někdo vymyšlen pěkný systém, jak hesla vytvářet?

- aby nebylo na první pohled jasný, jaký heslo mají ti další?

- aby se dalo heslo vždy vymyslet stejně a nebylo jen náhodné?

prostě nebýt odkázán na evidenci a zároveň mít rozumnou bezpečnost.

díky z rady

the_max

Vyber si implemenaci, jaká ti vyhovuje: https://cs.wikipedia.org/wiki/Gener%C3%A1tor_n%C3%A1hodn%C3%BDch_hesel

hocimin1

heslo do routeru=cislo smlouvy . S nejvetsi pravdepodbnosti ho znas jenom ty a ten dotycny, navic ho ma napsane na smlouve ) . Eventuelne i klientske cislo, zalezi co pouzivate

thanui_linux

Přístup do jednotky pro klioše? Uplatňujeme princip: 1) nedostane a pak řešíme linku až k němu domácí wifi 2) vydupe si ho - řešíme linku jen po náš vysílač.

Za dobu co to uplatňujeme dostal heslo jediný klient a ten byl stejně následně odejit.

crazyape

Taky opraším trošku starší vlákno:-)

Řeším taky aktuálně hesla do klientských jednotek a tak nějak jsem připravený přeheslovat celou sít na nějaké "MASTER" heslo + rozjet radius server a do všech jednotek klienta který si natáhne přistupy pro techniky. Má někdo vyzkoušený nějaký idealně "user friendly" radius server který dobře komunikuje s MK ? Zatím sem se díval na freeradius ale přijde mi to zbytečně složité na administraci jen pár stovek hesel. Používáte někdo něco prosím? Ideálně aby to mělo webgui :-)

Díky

noxus28

daloradius

https://sourceforge.net/projects/daloradius/

nie priamo na prihlásenia ale na hotspot a 802.1X

crazyape

daloradius

https://sourceforge.net/projects/daloradius/

nie priamo na prihlásenia ale na hotspot a 802.1X

A umí to i ty přistupy prosím?

Další stránka »