MikroTik RouterOS User Manager - RADIUS

Difficulty: ★★★☆☆
Version: RouterOS v6.24

什麼是RADIUS?
RADIUS為遠端認證撥接使用者服務(Remote Authentication Dial In User Service)的縮寫,是目前最常使用的AAA (Authentication, Authorization & Accounting)協定,提供了網路連接存取的集中驗證(Central Authentication)以及記錄帳戶資訊(Accounting)的功能,採用主從架構協定共且分別利用UDP傳輸層協定連接埠1812與1813來集中驗證與記錄帳戶資訊。舉凡Hotspot、PPPoE、VPN、DHCP、Wireless、RouterOS User等使用者皆可透過它來實現集中驗證。

一、User Manager (RADIUS Server)
有關User Manager的詳細說明,可以參考MikroTik User Manager

1. 要能使用User Manager,需要先安裝User-Manager這個package,檔案可自MikroTik官網下載
/system package enable user-manager

重新啟動後可以在磁碟上看到user-manager這個資料夾,並且RouterOS已經自動產生「admin」這個customer且沒有預設密碼,如同以下CLI所述
/tool user-manager customer
add login=admin permissions=owner

注意:這個「admin」不同於RouterOS登入使用的「admin」,這是一個User Manager用的Subscriber

2. 我們可以為這個預設的User Manager Subscriber更改密碼
/tool user-manager customer
set admin password=12345678

或新增不同的Subscriber/Customer
/tool user-manager customer
add login=MikroTik_UM password=pass1234 permissions=owner

由於User Manager並沒有出現在Winbox中,所以接下來操作我們有兩種方式,一是透過CLI、二是透過User Manager的設定網頁 http://Router_IP_address/userman
MikroTik RouterOS User Manager - RADIUS
3. 新增使用者設定檔
/tool user-manager profile
add name=UM_Prof owner=MikroTik_UM

MikroTik RouterOS User Manager - RADIUS
4. 新增使用者
/tool user-manager user
add customer=MikroTik_UM name=Test-User password=pass1234

注意:這裡光是使用CLI新增使用者還不夠,不知為何,CLI裡無法指定使用者所分配的設定檔,這有可能會導致無法順利使用該名使用者登入,而Log檔會表示
--------------------
Status: Authorization failure
Description: no valid profile found for user <Test-User>

--------------------
所以需要改由http://Router_IP_address/userman來設定或新增使用者,並同時指定使用者設定檔
MikroTik RouterOS User Manager - RADIUS
5. 新增欲使用此RADIUS Server的RADIUS Client
/tool user-manager router
add customer=MikroTik_UM name=RB850Gx2 ip-address=192.168.88.254 shared-secret=password1234

MikroTik RouterOS User Manager - RADIUS

RADIUS Server到這邊就設定完成了,在我們進到RADIUS Client端設定前,有幾樣東西跟大家分享:
(a)在User Manager中,router指的就是RADIUS Client,也就是另一個運行RouterOS的設備
(b)在User Manager中,user指的就是帳號與密碼
(c)在User Manager中,Customer(或Subscriber)的角色是提供RADIUS服務,在一個Customer之下,可以設定多組帳號及多個RADIUS Client。搭配不同的Customer,可以為不同區域的RouterOS提供不同的RADIUS服務

二、RADIUS (RADIUS Client)
在Client端,啟動RADIUS Client,其中address是RADIUS Server的位置,secret要與Server端設定的shared-secret一致,而service則可根據需要來輸入
/radius
add address=192.168.89.254 secret=password1234 service=ppp,login,hotspot,wireless,dhcp

然後根據需要來啟動AAA (Authentication, Authorization & Accounting)
.Hotspot
/ip hotspot profile set HS_Prof use-radius=yes

.PPPoE / VPN Server
/ppp aaa set use-radius=yes

.DHCP Server
/ip dhcp-server set DHCP_Serv use-radius=yes

.Wireless
/interface wireless security-profiles set default radius-mac-authentication=yes

.RouterOS User
/user aaa set use-radius=yes

當然,RADIUS Server也不一定要使用RouterOS User Manager,也可以採用譬如Synology的套件"RADIUS Server",並可同時搭配Synology的套件"Directory Server"來透過LDAP統一管理,這部份可參考使用Synology 套件,快速建置學校目錄服務、網路硬碟及radius認證

延伸閱讀
[開箱] MikroTik CCR1016-12G
MikroTik RouterOS VPN (PPTP/L2TP/OpenVPN/SSTP/SSH Tunnel)
MikroTik RouterOS Stateless Tunnel (EoIP/IPIP/GRE)
MikroTik RouterOS QoS (Queue/HTB/PCQ)
MikroTik RouterOS IGMP Proxy w/ CHT MOD
MikroTik RouterOS Hairpin NAT - Pros & Cons
MikroTik RouterOS Hotspot
MikroTik RouterOS Load Balancing - Pros & Cons
2014-12-29 15:04 發佈
文章關鍵字 radius
評分
複製連結
Mobile01提醒您
您目前瀏覽的是行動版網頁
是否切換到電腦版網頁呢?
' + '