+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Вход в Winbox через радиус

Вход в Winbox через радиус, RouterOS

AdamVocks

Guest

14.04.2009 16:03:00

В последние несколько дней я настроил наши Mikrotik'и для аутентификации SSH входов через radius и в конечном итоге с помощью Active Directory. Теперь я пытаюсь запустить winbox, и наткнулся на проблему с CHAP. Похоже, что winbox использует CHAP и отправляет это на мой radius сервер. Судя по моим исследованиям, я не могу аутентифицировать вызов/пароль CHAP с помощью Active Directory. Может кто-то подтвердить? Если это так, я в тупике или есть другой способ, чтобы авторизовать входы в winbox через Active Directory? Спасибо! Адам

rnsvi Guest	#2 0 01.04.2010 19:05:00 Я испытываю эту же проблему. Есть ли какой-то обходной путь? Мне что, придется хранить пароли в открытом виде на сервере, чтобы я мог использовать CHAP и PAP? Спасибо -Кит-

AdamVocks Guest	#3 0 01.04.2010 19:08:00 Я пока не нашел способ обойти это. Мы просто храним отдельные учетные данные winbox в открытом виде в нашем radius.

fewi Guest	#4 0 01.04.2010 19:21:00 Есть ли планы сделать PAP опцией с RADIUS для Winbox? Есть очень веские причины, почему IAS не поддерживает CHAP.

roadracer96 Guest	#5 0 02.04.2010 22:16:00 Что он сказал. В 2008 году это называлось служба сетевой политики. На самом деле, она работает очень хорошо.

AdamVocks Guest	#6 0 02.04.2010 22:20:00 Теперь все ясно. Я думал об ISA Server и думал, что ты делаешь с ним что-то особенное. Теперь это имеет гораздо больше смысла! Спасибо! Адам

EMOziko Guest	#7 0 02.04.2011 21:36:00 У меня тоже такая проблема. Эх.

roadracer96

Guest

01.04.2010 21:27:00

Я аутентифицирую около 100 маршрутизаторов в AD через FreeRADIUS. Я настроил FreeRADIUS на проксирование запроса к моим серверам AD. Причина, по которой я это делаю, заключается в том, что у меня есть веб-приложение, настроенное для добавления NAS в базу данных FreeRADIUS MYSQL и перезагрузки конфигурации каждые 5 минут. Таким образом, это работает для ssh и winbox. Сервер AD — 2008 enterprise. ИЗМЕНЕНИЕ: Если память не подводит, мне пришлось хранить пароли с обратимым шифрованием. Мне это особо не мешало. У меня нет доступа к серверам AD, кроме как у меня...

fewi

Guest

01.04.2010 21:28:00

Вы связываете FreeRADIUS напрямую с AD через LDAP или проксируете это через IAS? К сожалению, я обязан использовать IAS, я не могу напрямую связать наши основные RADIUS-устройства (на базе FreeRADIUS) через LDAP. Хотя, если это совершенно невозможно, я мог бы настаивать на изменении политики, как только у нас будет достаточно устройств RouterOS в эксплуатации.

roadracer96 Guest	#10 0 01.04.2010 21:35:00 Я перехожу с FreeRADIUS на IAS. Единственная причина, по которой я это делаю, в том, что так удобно хранить NAS в MySQL и вносить динамические изменения через веб-приложение.

AdamVocks

Guest

#11

01.04.2010 21:42:00

Мы тоже аутентифицируем наши устройства в AD с помощью FreeRadius, но это работает только с SSH. Наш FreeRadius настроен с использованием ntlm_auth. Не могли бы вы поделиться частью своей конфигурации FreeRadius? Прошло почти год с тех пор, как я в последний раз смотрел на это, но у меня было впечатление, что от AD нужно получать пароль в открытом виде, так как winbox использовал CHAP. Адам Обновление: Только что увидел вашу правку о хранении паролей с обратимым шифрованием. Может, в этом и есть суть.

fewi

Guest

#12

01.04.2010 21:51:00

Редактирование: Если не изменяет память, мне действительно пришлось хранить пароли с обратимым шифрованием. Мне это не сильно волновало. Никто, кроме меня, не имеет доступа к серверам AD... Да, это имеет смысл и определенно сработало бы. К сожалению, у меня нет такой возможности. Политика безопасности компании определенно этого не позволяет.

AdamVocks Guest	#13 0 02.04.2010 18:05:00 roadracer96, не подскажешь, не мог бы ты поделиться частью своего файла radiusd.conf? У меня возникают проблемы с его корректной работой. Спасибо! Адам

roadracer96

Guest

#14

02.04.2010 21:55:00

Я не должен был слишком долго редактировать это. Это было довольно просто. Следующее идет в proxy.conf. realm ad.domain { type = radius authhost = adserver1.ad.domain:1812 accthost = adserver1.ad.domain:1813 secret = secret } realm ad.domain { type = radius authhost = adserver2.ad.domain:1812 accthost = adserver2.ad.domain:1813 secret = secret }

AdamVocks Guest	#15 0 02.04.2010 22:01:00 Я вижу, это выглядит просто, но у меня нет сервера IAS, к которому можно было бы подключиться. Есть кто-то, кто может настроить Winbox для аутентификации через RADIUS-сервер к AD? Адам

fewi Guest	#16 0 02.04.2010 22:06:00 IAS доступен бесплатно как часть редакций Windows Server. Просто установите его на вашем контроллере домена (или на выделенной машине, но в этом случае вам понадобится лицензия).

nickb

Guest

#17

06.05.2012 17:34:00

Я тоже пытался это настроить. Когда я пытаюсь войти через Winbox, в журнале событий появляется такая запись:
Тип события: Предупреждение
Источник события: IAS
Категория события: Нет
ID события: 2
Дата: 6/5/2012
Время: 11:49:26
Пользователь: N/A
Компьютер: ADSERVER
Описание:
Пользователю nickb было отказано в доступе.
Полное имя пользователя = DOMAIN\nickb
IP-адрес NAS = 10.x.x.1
Идентификатор NAS = Independence Firewall
Идентификатор вызывающей станции = <отсутствует>
Идентификатор вызываемой станции = 69.x.x.66
Дружественное имя клиента = Mikrotik
IP-адрес клиента = 10.x.x.1
Тип порта NAS = <отсутствует>
Порт NAS = <отсутствует>
Имя политики прокси = Использовать аутентификацию Windows для всех пользователей
Провайдер аутентификации = Windows
Сервер аутентификации = <неопределено>
Имя политики = <неопределено>
Тип аутентификации = MD5-CHAP
Тип EAP = <неопределено>
Код причины = 19
Причина = Пользователь не был аутентифицирован с использованием протокола Challenge Handshake Authentication Protocol (CHAP). Для этой учетной записи пользователя не существует обратимо зашифрованного пароля. Чтобы убедиться, что обратимо зашифрованные пароли включены, проверьте или политику паролей домена, или настройки пароля в учетной записи пользователя.

Для получения дополнительной информации см. справочный центр по адресу http://go.microsoft.com/fwlink/events.asp.
Данные:
0000: 0a 20 07 80 . . Я успешно вхожу через Telnet, SSH и FTP. Вход в Webbox не удается, нет записи в журнале событий и никаких записей на вкладке "статус" радиус-сервера на роутере — подозреваю, что он не обращается к RADIUS. Логины API через Android Winbox тоже не проходят, но я не уверен, проблема в приложении или в подсистеме API. Успешный вход через Telnet/SSH/FTP подтверждает, что конфигурация действительна; проблема, видимо, в том, что вход через Winbox поддерживает ТОЛЬКО CHAP. Странно, что Telnet/SSH/FTP поддерживают только PAP (я тестировал с MSCHAPv2 и MSCHAPv2, но в журналах с этими сервисами только PAP появлялся). Я написал в поддержку MT, чтобы узнать об этом; но есть темы по этому вопросу, которым несколько лет, и тот факт, что изменений до версии 5.14 не было, говорит мне о том, что их ответ будет либо вообще без ответа, либо о том, что они не готовы это изменять. Насколько мне известно из моего исследования, единственный способ обойти это — включить хранение паролей в активной директории с опцией обратимого шифрования; что я считаю неприемлемым решением с точки зрения безопасности. Конечно, PAP тоже не очень желательно; но шифрование с использованием сильного общего секрета RADIUS (по всей видимости) лучше, чем хранение пароля в открытом виде…

kefear Guest	#18 0 17.11.2014 10:26:00 Привет, есть ли какие-то обновления по этому вопросу? Winbox все еще не работает с freeradius, требует открытый пароль. Спасибо за любые подсказки.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры