Kui läbisite meie juhendi VPN-i 2FA RADIUS-e abil, on teil juba olemas kõik vajalik, et kaitsta veel midagi: sisselogimisi ruuterisse endasse. WinBox, WebFig, SSH ja API oskavad kõik autentida üle RADIUS-e. Ja kuna Notakey auth-proxy on läbipaistev RADIUS, piisab ruuteri login-teenuse suunamisest proksi poole, et iga halduri sisselogimine nõuaks lisaks paroolile ka kinnitust telefonis.
Töövoog on VPN-i juhtumiga identne:
Router login ──RADIUS──▶ Notakey auth-proxy ──RADIUS──▶ your RADIUS server
│
└──▶ push notification ──▶ admin's phone
Ruuteri poolel muutub vaid kolm asja; need käime allpool läbi.
Eeldused
- Töötav auth-proxy RADIUS-serveri ees, seadistatud täpselt nii, nagu kirjeldatud VPN-i juhendi sammudes 1–3. Taustal sobib mis tahes RADIUS: FreeRADIUS, Microsofti NPS, MikroTiku enda User Manager või Notakey RADIUS-plugin.
- Halduri kasutajanimi peab olema olemas nii taustal olevas RADIUS-serveris kui ka Notakey teenuses koos registreeritud telefoniga; proksi adresseerib tõuketeate kasutajanime järgi.
Samm 1: otsustage, millist tõuketeadet haldurid näevad
Proksi saadab teate omaenda seadistusest: needsamad message_title /
message_description, mida kasutatakse VPN-i sisselogimistel. Teil on kaks
võimalust:
- Kasutage VPN-i proksit muutmata kujul. Kiireim tee. Halduri sisselogimised näitavad telefonis VPN-i sõnastust (nt „VPN-i autentimine – kas lubada kasutaja john sisselogimine?“). Väikese lahenduse puhul täiesti töökõlblik.
- Käivitage teine proksieksemplar omaette Notakey rakenduse ja teatega,
nt „Ruuteri halduri sisselogimine kasutajana {0}?“. Dokkeriseeritud
proksi puhul on see lihtsalt teine konteiner, mis kuulab teisel pordil (nt
18120) ja kasutab teistNOTAKEY_ACCESS_IDväärtust; seadme sisseehitatud proksi on üksik eksemplar, seega töötab teine selle kõrval konteinerina.
Eraldi teade on need viis minutit väärt: haldur, kes näeb teadet „Ruuteri halduri sisselogimine“ hetkel, mil ta ise ruuterisse ei logi, saab kohe aru, et midagi on valesti – ja keelab päringu.
Samm 2: lisage proksi login-teenuse RADIUS-serveriks
Lisage ruuteris proksi login-teenuse RADIUS-serveriks:
/radius
add service=login address=<proxy-address> secret=secret_to_radius_server timeout=30s
See on VPN-i juhendi /radius rida, kus service=ppp on asendatud
väärtusega service=login ning kehtib sama hoiatus: MikroTiku RADIUS-e
vaikimisi ajalimiit on 300 millisekundit. Tõuketeadet kinnitav inimene
vajab vähemalt 30 sekundit, seega pole timeout=30s valikuline. Ilma selleta
ebaõnnestub iga sisselogimine enne, kui telefon jõuab piiksudagi.
Samm 3: lubage ruuteri kasutajatele RADIUS
/user aaa
set use-radius=yes default-group=full
Ongi kõik: RouterOS pärib nüüd RADIUS-elt (läbi proksi) iga sisselogimise
kohta, mille kasutajanime kohalikus /user andmebaasis ei ole.
Kaks asja tuleb siin õigesti teha:
Valige default-group teadlikult. RADIUS-e kaudu autenditud kasutajad
saavad selle grupi õigused (read, write või full), kui just teie
RADIUS-server ei tagasta igale kasutajale eraldi Mikrotik-Group
tootjaatribuuti (tootja ID 14988). Kui kõik RADIUS-e kaudu tulijad on
täieõiguslikud haldurid, sobib default-group=full; kui mitte, määrake
väikseim toimiv õiguste tase ja andke erandid RADIUS-e kaudu atribuudiga
Mikrotik-Group.
Jätke alles kohalik halduskonto. RouterOS kontrollib kõigepealt kohalikku
kasutajate andmebaasi ja pärib RADIUS-elt ainult tundmatuid kasutajanimesid.
See kohalik haldur on teie varuvariant juhuks, kui proksi, RADIUS-server või
Notakey teenus pole kättesaadav; ilma selleta lukustab tõrge teid teie enda
ruuterist välja. Andke sellele tugev ja unikaalne parool ning kaaluge selle
piiramist haldusaadressiga käsu /user set <name> address=<mgmt-subnet>
abil.
Katsetage, ettevaatlikult
Ärge sulgege veel oma töötavat seanssi. Avage teine WinBoxi või SSH seanss ja logige sisse RADIUS-e kasutajanimega:
- Sisselogimisaken jääb ootele: see on proksi, mis hoiab vahetust avatuna.
- Tõuketeade jõuab telefoni. Kinnitage → olete sees, grupi õigustega. Keelake või ignoreerige → sisselogimine ebaõnnestub pärast ajalimiidi täitumist.
- Veenduge, et kohalik haldur pääseb endiselt sisse tavapärasel viisil.
Sulgege algne seanss alles pärast seda, kui mõlemad kontrollid on läbitud.
Kui sisselogimised ebaõnnestuvad hetkega, kuigi tõuketeade kohale jõuab,
kontrollige uuesti timeout=30s väärtust /radius seadistuses; 300 ms
vaikeväärtus on kõige levinum viga. Kui tõuketeadet ei tule üldse, erineb
kasutajanimi peaaegu kindlasti RADIUS-e ja Notakey teenuse vahel.
Kuidas see tervikusse sobitub
Ühe proksi ja ühe RADIUS-serveriga nõuavad kinnitust telefonis nüüd nii VPN kui ka ruuteri haldusliides. Sama mustrit saab laiendada kõigele muule, mis räägib RADIUS-t.
Seotud juhendid
- VPN-i 2FA RADIUS-e abil – täielik auth-proxy seadistus: proksi seadistus, millele see juhend toetub
- Linuxi SSH 2FA pam_radius-mooduliga: sama proksi kaitseb SSH-d, sudo-t ja su-d
- MikroTiku VPN-i 2FA – täielik skriptipõhine seadistus: RADIUS-vaba alternatiiv VPN-i enda jaoks