Запрос на функцию: Разрешить локальному пользователю вход только в случае недоступности RADIUS

@elecx, сделай это с помощью netwatch: если IP RADIUS недоступен, включай пользователя «test», когда IP снова становится доступен — отключай пользователя «test». Очевидно, если RADIUS заблокирован, но IP всё ещё отвечает на пинг, пользователь «test» не включается.

Я пытался отключить пользователя admin с помощью скрипта netwatch, но не смог, так как admin — единственный локальный пользователь у меня. Сообщение об ошибке: «сбой: этот пользователь — последний с полными правами доступа». Есть ли у вас идеи, как включить эту функцию, если доступен только локальный пользователь admin?

Я понимаю проблемы с отключением админ-пользователя, особенно если это единственная локальная учетная запись. Я ищу способ сделать локальных пользователей доступными только в том случае, если RADIUS недоступен (нет отклика на пинг или сервис не отвечает). Похоже, это базовая функция, которая есть на других платформах. Альтернативный вариант — сначала использовать RADIUS для аутентификации, а если RADIUS отвечает отказом или просто игнорирует запрос, тогда использовать локальную базу пользователей как последний вариант. Думаю, сейчас лучшее решение — создать другого админа и временно отключить стандартного пользователя admin, чтобы предотвратить вход под этим именем.

Я не совсем понимаю, что вы имеете в виду. Если я отключу службу ssh/winbox, то вообще не смогу войти, правильно?

Ответ с IP-адресом и интерфейсом будет одинаковым при использовании radius или локального пользователя, так что в этом нет смысла. Однако я могу изменить поле «Allowed Address» у администратора на какой-нибудь фиктивный адрес типа «0.0.0.0/32», когда radius доступен, и убрать его, когда недоступен, используя netwatch.