Авторизация через RADIUS для MikroTik

Posted by

Задача: Хочу разобрать лично, как настроить авторизацию через Network Policy Server () на Windows для сетевого оборудования на базе .

Подтолкнуло меня статья на читаемом ресурсе, но я прежде чем доверять чему-то хочу лично сам все повторить, наложить все действия на свою структуру да и задокументировать под себя все действия в виде пошаговой заметки никогда не помешает.

Исходные данные:

  • Домен (Создана группа: Router-Mikrotik)
  • Система (В домене) Windows Server 2012 R2 на которую будут устанавливать роль
  • Оборудование Mikrotik (RB951Ui-2HnD: eth2 смотрит в локальную сеть)

Ранее я для себя разбирался как поднять RADIUS сервис на системе Ubuntu Trusty Server, но в публичный доступ я ее не выкладывал, возможно с этой заметкой все будет то же самое, посмотрим.

Шаг №1: Устанавливаю роль Network Policy Server на систему:

Win + X — Command Prompt (Admin)

C:\Windows\system32>cd /d c:\Windows\System32\WindowsPowerShell\v1.0\

c:\Windows\System32\WindowsPowerShell\v1.0>powershell
-Command Set-ExecutionPolicy RemoteSigned

c:\Windows\System32\WindowsPowerShell\v1.0>powershell

PS c:\Windows\System32\WindowsPowerShell\v1.0> Install-WindowsFeature NPAS -IncludeManagementTools

PS c:\Windows\System32\WindowsPowerShell\v1.0> exit

c:\Windows\System32\WindowsPowerShell\v1.0> exit

Шаг №2: Регистрирую текущий сервер NPS (Network Policy Server) в домене:

Win + X — Command Prompt (Admin)

C:\Windows\system32>netsh ras add registeredserver

Registration completed successfully:

Remote Access Server: SRV-NPS

Domain: polygon.local

Шаг №3: Для того, чтобы сервер знал с какими устройствами налаживать общение нужно добавить их в RADIUS Clients.

Win + X — Control Panel — Administrative Tools — Network Policy Server

NPS (Local) → Radius Client and Servers и через правый клик мышью на RADIUS Clients вызываю меню New, здесь создаю клиента:

вкладка Settings окна New RADIUS Client

  • Enable this RADIUS Client: отмечаю галочкой
  • Friendly name: router
  • Address (IP or DNS): 10.9.9.77
  • Тип ключа: выбираю Generate
  • Shared secret: либо указываю свой собственный ключ (к примеру в рамках этой заметки ключ будет: Aa1234567@!), либо нажимаю кнопку Generate

вкладка Advanced окна New RADIUS Client

  • Vendor name: RADIUS Standard

а после нажимаю кнопку OK окна New RADIUS Client

Шаг №4: Создаю политику подключения

Win + X — Control Panel — Administrative Tools — Network Policy Server

NPS (Local) — Policies — и через правый клик мышью по Connection Request Policies вызываю меню New

  • Policy name: mikrotik
  • Type of network access server: Unspecified

и нажимаю Next, затем AddClient Friendly Name, затем Add и указываю имя клиента:

Specify the friendly name of the RADIUS client. You can use pattern matching syntax: router

а после нажимаю кнопку OK и Next окна New Connection Request Policy.

Шаг №5: Теперь нужно указать тип используемой аутентификации

Settings: Authenticaton: отмечаю Authenticate requests on this server и нажимаю кнопку Next, затем указываю метод:

  • Override network policy authentication settings: отмечаю галочкой
  • Encrypted authentication (CHAP): отмечаю галочкой
  • Unecrypted authentication (PAP,SPAP): отмечаю галочкой

а после нажимаю кнопку Next, No, Next, Finish.

Шаг №6: Выбираем нужный приоритет двигая выше или ниже пункт политики.

Win + X — Control Panel — Administrative Tools — Network Policy Server

NPS (Local) — Policies — и через правый клик мышью по Network Policies вызываю меню New

  • Policy name: mikrotik
  • Type of network access server: Unspecified

и нажимаю Next, затем Add → выбираю Windows Groups и нажимаю Add → Add Groups… где поиск осуществляется в текущем домене, моя группа называется: Router-Mikrotik после нажимаю Ok, OK окна Select Group, OK окна Windows Groups и Next окна мастера New Network Policy. А вот теперь следует определить какое правило будет попадать под выше указанные настройки, но раз я хочу через доменную учетную запись авторизоваться на Mikrotik то выбираю: Access granted и нажимаю кнопку Next. Но это еще не все, Способ аутентификации выбираем аналогичный прошлой политике.

  • Encrypted authentication (CHAP): отмечаю галочкой
  • Unecrypted authentication (PAP,SPAP): отмечаю галочкой

и нажимаю кнопку Next, No

Отличная новость что с настройками сервиса покончено, а может и нет, ведь сейчас шаг где можно указать период бездействия, дата и время доступа и т.д, но я как и автор на основе которого я формирую свое руководство пропускаю этот шаг и нажимаю Next

Шаг №7: Далее необходимо выбрать что будет отправляться на сервер.

  • Standard: Add
  • Access type: All
  • Attribute: Service-Type

и нажимаю Add, потом

Other: выбираю Login и нажимаю OK, Close

Вот что должно получиться:

Указываю на основе чего будет происходит аутентификация на Mikrotik'ах

и нажимаю Next, Finish.

На заметку: Чтобы учетная запись проверялась через NPS в AD у этого пользователя на вкладке Dial-in (Входящие звонки) в разделе Network Access Permission (Права доступа к сети) должен быть отмечен пункт Control access through NPS Network Policy (Управление доступом на основе политики сети NPS).

На заметку: Для возможности авторизоваться через WinBox нужно включить обратимое шифрование в профиле пользователя.

Включаю обратимое шифрование в профиле пользователя

Шаг №8: Добавление сервера авторизации на MikroTik

Winbox — IP&DNS — user&pass

System — Identity и называем Mikrotik, как router

System — Users — вкладка Users, тут нажимаю на AAA и ставлю галочку в параметра USE Radius или все проще если действовать через консоль подключившись к Mikrotik по SSH

aollo@work:~$ ssh -l admin 10.9.9.77

[admin@router] > system identity set name=router

[admin@router] > user aaa set use-radius=yes

и указываем где брать авторизацию, т. е. Поднятый и настроенный выше NPS сервис:

[admin@router] > radius add address=IP_NPS_SERVERA secret=Aa1234567@! service=login

[admin@router] > quit

Шаг №9: Проверяю

С рабочей станции под управлением Ubuntu Trusty Desktop amd64 (Gnome Classic)

aollo@work:~$ winbox

  • Connect To: 10.9.9.77
  • Login: alektest
  • Password: Aa1234567@!

но почему то пишет: ERROR: wrong username or password

А если с рабочей станции под управлением Windows 7 SP1 Pro и авторизовавшись под доменной учетной записью: alektest@polygon.local, то вот что примечательно при обращении на Web-адрес дабы скачать клиент Winbox я авторизовался на Web-странице не вводя ничего кроме IP адреса Mikrotik. Ну конечно ведь на дефолтную учетку admin у меня нет пароля вот и как бы неожиданно. Пробую через утилиту winbox и меня также не пускает, пишет мол неправильный логин или пароль.

А вот с Ubuntu Trusty Desktop через консоль командной строки при подключении с использованием клиента SSH авторизуется успешно:

aollo@work:~$ ssh -l alektest 10.9.9.77

alektest@10.9.9.77’s password: указываю пароль от данной доменной учетной записи которая входит в группу Router-Mikrotik

[alektest@router] > — Я успешно подключился, работает.

Вроде как нужно указать откуда можно будет подключиться к Mikrotik задействую доменную авторизацию:

[admin@router] > /ip address add address=10.9.9.0/24 interface=ether2 network=255.255.255.0

и вот только после этого авторизация через Winbox с использованием доменной учетной записи заработала, но можно и не добавлять если Вам нужно подключаться к Mikrotik из различных сетей.

На заметку: попробовал со всеми сетевыми устройствами Mikrotik в локальной сети — заметка полностью отработала и теперь у меня доменная авторизация в паре с локальной.

Все я самолично прошелся по всем шагам. На этом я прощаюсь, с уважением автор блога Олло Александр aka ekzorchik.