Будет приведен пример базовой настройки FreeRADIUS для авотризации (окно логина) пользователей в MikroTik ROS. Учетнные данные будут храниться в конфигурационном файле - без использования MySQL.
Настройка на примере:
Debian Buster: 10.3
FreeRADIUS: 3.0.17
Схема:
Адрес FreeRADIUS: 192.168.0.251
Адрес MikroTik: 192.168.7.8
Кратко о взаимодействии MikroTik с FreeRADIUS:
Client Winbox -> MikroTik <-> FreeRADIUS
- Клиент в Winbox пытается подключиться к MikroTik;
- MikroTik передает данные аутентификации Radius серверу;
- Radius проверяет у себя переданные логин/пароль;
- Ответ MikroTik'у, пользователь аутентифиуирован или нет?
Настройка ROS: [wiki]
# Настраиваем Radius:
- service=: Для каких сервисов может использоваться сервер;
- address=: Задает ip-адрес радиус сервера;
- secret=: Задает NAS (Network Access Server) указанный в clients.conf;
- src-address=: Адрес источника IPv4/IPv6 пакетов отправленных на сервер радиус;
/radius add service=login address=192.168.0.251 protocol=udp secret=freeradius src-address=0.0.0.0
# Разрешаем юзерам использовать для аутентификации Radius:
/user aaa set use-radius=yes
Устанавливаем необходимые пакеты:
Вместе с пакетом freeradius должен установиться freeradius-utils.
# apt update && apt upgrade
# apt install freeradius net-tools htop
Сервис FreeRADIUS:
- Добавляем сервис в автозагрузку:
# systemctl enable freeradius.service
- Рестартуем сервис: создадуться файлы настроек clients.conf и users
# systemctl restart freeradius.service
- Проверяем статус:
# systemctl status freeradius.service
Задаем Network Access Server's:
# nano /etc/freeradius/3.0/clients.conf
client mikrotik-router {
ipaddr = 192.168.7.8
secret = freeradius
nas_type = other
}
Настраиваем пользователей и группы: rlm_pap
Cleartext-Password - это тип передаваемого атрибута, наш пароль хранится в открытом виде;
# nano /etc/freeradius/3.0/users
"user0" Cleartext-Password := "user0"
MikroTik-Group := "full"
"user1" Cleartext-Password := "user1"
MikroTik-Group := "write"
"user2" Cleartext-Password := "user2"
MikroTik-Group := "read"
Перезапустим сервис freeradius:
# systemctl restart freeradius.service
Запуск FreeRADIUS в Debug режиме:
Для этого необходимо остановить работающий сервис.
# radiusd -X
MikroTik Specific RADIUS Attribute: [link]
Расположение файла для дополнительных атрибутов вендора.
# nano /etc/freeradius/3.0/dictionary
На земетку:
Для MikroTik ROS есть пакет для установки "user-manager", (находится в extra-packages), который по сути является радиус-сервером и может выполнять все основные функции.
| Страница с мануалами: [FAQ] | SystemZone: FreeRADIUS Manuals |
