správa hesel

Návody a problémy s konfigurací.
asdfgh
Příspěvky: 105
Registrován: 6 years ago

správa hesel

Příspěvekod asdfgh » 1 year ago

Zdravím všechni,

řešíte někdo centrální správu hesel na mikrotiku? jedná se mi o to, že když odejde technik tak potřebuji jeho hesla zneplatnit a novému přidělit oprávnění.. Existuje na to nějaký sw??

Děkuji
0 x

Uživatelský avatar
zdenek.svarc
Administrator
Příspěvky: 1536
Registrován: 12 years ago
antispam: Ano
Kontaktovat uživatele:

Příspěvekod zdenek.svarc » 1 year ago

Jasně, RADIUS server a služba Login. V kombinaci s remote syslogem pecka. Vím kdy se kdo na router přihlásil i co tam dělal.
2 x

hol
Příspěvky: 637
Registrován: 9 years ago
antispam: Ano

Příspěvekod hol » 1 year ago

zdenek.svarc píše:Jasně, RADIUS server a služba Login. V kombinaci s remote syslogem pecka. Vím kdy se kdo na router přihlásil i co tam dělal.


jak se to zachová při výpadku přístupu na radius? To se tam pak už nikdo nelogne nebo si to mk nějak pamatuje lokálně?
0 x

Uživatelský avatar
zdenek.svarc
Administrator
Příspěvky: 1536
Registrován: 12 years ago
antispam: Ano
Kontaktovat uživatele:

Příspěvekod zdenek.svarc » 1 year ago

Řeší se to tak, že použije admin heslo, prostě klasické lokální heslo, které ale nezná nikdo jiný než pověřená osoba, která ho na požádání vydá a pak opět změní.
0 x

radik
Příspěvky: 177
Registrován: 2 years ago

Příspěvekod radik » 1 year ago

Pokud RADIUS nezije, tak nefunguje prihlaseni (pokud neni nejaky admin user lokalne udelany). Resi se to tak, ze se muzou udelat 2 servery (nekdo ma i 4 servery, ale to uz neni pouze kvuli vypadku, ale rozlozeni zateze - to uz jsou ale obrovsky site) s tim, ze kdyz jeden vypadne tak se klient zepta druhyho serveru.
0 x

Uživatelský avatar
zdenek.svarc
Administrator
Příspěvky: 1536
Registrován: 12 years ago
antispam: Ano
Kontaktovat uživatele:

Příspěvekod zdenek.svarc » 1 year ago

Vždycky musí být jeden lokální "admin" uživatel vytvořený, ale pokud není mimořádná situace, tak se nepoužívá.
0 x

hocimin1
Příspěvky: 1007
Registrován: 11 years ago
Bydliště: Náchod

Příspěvekod hocimin1 » 1 year ago

mno jo ale pokud budu mit jednoho/vic lokalnich uzivatelu pro pripad nouze. Tak pravdepodobne na vsech MK budu mit stejneho/stejne uzivatele a stejne heslo. No sice budu poverena osoba, ale kdyz mu ho reknu muze se pripojit i na jine mk. Takze to bue chtit co MK to originalni heslo pro pripad nouze.

nebo je to jinak ?
0 x

sacnok
Příspěvky: 190
Registrován: 3 years ago

Příspěvekod sacnok » 1 year ago

Co MK to heslo bych určitě nedělal. Představ si, že budeš mít síť, kde máš třeba 500 klientských zařízení a k tomu třeba dalších 100 páteřních prvků, to budeš chtít spravovat tolik hesel?

Takže bych zavedl jedno heslo pro páteřní prvky (PtP spoje, AP atd.) a druhé heslo pro klientské jednotky + k tomu Radius. Předpokládám, že když Radius klekne, tak bude priorita ho spravit v co nejkratší době, takže buď v té době nikdo nikam nepoleze, nebo když bude nejhůř, tak se do zařízení buď připojíš ty (pak heslo měnit nemusíš) nebo ho někomu dáš (jenom to jedno, to co bude potřebovat) a pak ho skriptem ve všech zařízeních změníš.

Podle mě jak tak malá pravděpodobnost, že ten Radius klekne, a než ho opravíš, tak že bude potřeba někomu heslo říkat, že bych to neřešil.
0 x

kure05
Příspěvky: 675
Registrován: 6 years ago

Příspěvekod kure05 » 1 year ago

My máme co MK to jiný uživatelský jméno a heslo a jednou za čas se přegeneruje celá síť. Přístupy jsou dvojí. Jedny pro techniky co jsou omezený a druhý pro adminy s plným přístupem.
0 x

Uživatelský avatar
zdenek.svarc
Administrator
Příspěvky: 1536
Registrován: 12 years ago
antispam: Ano
Kontaktovat uživatele:

Příspěvekod zdenek.svarc » 1 year ago

hocimin1 píše:mno jo ale pokud budu mit jednoho/vic lokalnich uzivatelu pro pripad nouze. Tak pravdepodobne na vsech MK budu mit stejneho/stejne uzivatele a stejne heslo. No sice budu poverena osoba, ale kdyz mu ho reknu muze se pripojit i na jine mk. Takze to bue chtit co MK to originalni heslo pro pripad nouze.

nebo je to jinak ?

Ano, co router, to unikátní admin heslo v offline tabulce nouzových přístupů, ke které má přístup pouze jedna/dvě pověřené osoby.
0 x

radik
Příspěvky: 177
Registrován: 2 years ago

Příspěvekod radik » 1 year ago

Vzdy musi byt jen jeden zalozni pristup na mikrotik. Neni realny udrozvat nekolik nouzovych uzivatelu na zarizeni.

Navic nejde jen o vypadek serveru, ale o celkovy rozpad komunikace zarizeni-RADIUS. Rozpadnou se to muze i klidne kvuli tomu, ze po ceste vytuhl nejaky switch/router/radio a hleda se pricina. Technik se pak na drihe strane neprihlasi pres RADIUS protoze neni dostupny.

Kazdy si musi zvazit jestli to ma pro neho smysl nebo ne. Pokud je to mensi sit, tak si jedine napsat script co generuje rucne uzivatele do zarizeni (ale neni to moc prakticky).
0 x

hol
Příspěvky: 637
Registrován: 9 years ago
antispam: Ano

Příspěvekod hol » 1 year ago

kure05 píše:My máme co MK to jiný uživatelský jméno a heslo a jednou za čas se přegeneruje celá síť. Přístupy jsou dvojí. Jedny pro techniky co jsou omezený a druhý pro adminy s plným přístupem.


jak a čím to generujete?
0 x

asdfgh
Příspěvky: 105
Registrován: 6 years ago

Příspěvekod asdfgh » 1 year ago

ten RADIUS se mi taky libí, ale řešili jsme taky tu situaci, co když zdechne kominikace na RADIUS (odejde nějaký rádio, prostě hw) a technik je tím pádem odříznutý. Těch zařízení jsou stovky, takže nějaký centrální management hesel je žádoucí. Spíš bych to viděl na nějaký script který by rozeslal hesla a bylo by to v MK off-line.
0 x

hol
Příspěvky: 637
Registrován: 9 years ago
antispam: Ano

Příspěvekod hol » 7 months ago

Oprašuji starší fórum, protože mi to leží furt v hlavě. Furt řešíme hesla do wifin, k tomu pppoe. Problém je, že část zákazníků chce do zařízení přístup a tak hesla musí znát a vidět. Doteď jsme jeli prakticky jedno heslo pro pppoe a do routerů jsme něco generovali. Po telefonu jsme heslo řekli pro potřeby servisu a pak ho zase třeba změnili. Ale ani jedno nevyhovuje.

Nemáte někdo vymyšlen pěkný systém, jak hesla vytvářet?

- aby nebylo na první pohled jasný, jaký heslo mají ti další?
- aby se dalo heslo vždy vymyslet stejně a nebylo jen náhodné?

prostě nebýt odkázán na evidenci a zároveň mít rozumnou bezpečnost.

díky z rady
0 x

the.max
Příspěvky: 810
Registrován: 10 years ago
Bydliště: Sudetten land
Kontaktovat uživatele:

Příspěvekod the.max » 7 months ago

1 x
Vysoce odborných omylů se dopouští jen specialisté.

Jednou jsem se dotkl ukazováčkem UBNT a slezl mi z něho nehet. Od té doby na UBNT nesahám.


Zpět na „Konfigurace“

Kdo je online

Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 8 hostů