Jei perėjote mūsų vadovą VPN 2FA su RADIUS, jau turite viską, ko reikia apsaugoti dar vienam dalykui: prisijungimams prie paties maršrutizatoriaus. WinBox, WebFig, SSH ir API gali autentifikuoti per RADIUS, o kadangi Notakey auth-proxy yra skaidrus RADIUS tarpininkas, nukreipus maršrutizatoriaus login paslaugą į jį, kiekvienam administratoriaus prisijungimui reikės ne tik slaptažodžio, bet ir patvirtinimo telefone.
Srautas identiškas VPN atvejui:
Router login ──RADIUS──▶ Notakey auth-proxy ──RADIUS──▶ your RADIUS server
│
└──▶ push notification ──▶ admin's phone
Maršrutizatoriaus pusėje keičiasi tik trys dalykai, aprašyti žemiau.
Reikalavimai
- Veikiantis auth-proxy prieš RADIUS serverį, sukonfigūruotas lygiai taip, kaip VPN vadovo 1–3 žingsniuose. Tinka bet koks galinis RADIUS: FreeRADIUS, Microsoft NPS, paties MikroTik User Manager arba Notakey RADIUS papildinys.
- Administratoriaus naudotojo vardas turi būti galiniame RADIUS serveryje ir Notakey servise, su užregistruotu telefonu; proxy push pranešimą adresuoja pagal naudotojo vardą.
1 žingsnis: nuspręskite, kokį push pranešimą matys administratoriai
Proxy pranešimo tekstą ima iš savo konfigūracijos: tų pačių
message_title / message_description, naudojamų VPN prisijungimams.
Turite dvi galimybes:
- Naudokite esamą VPN proxy be pakeitimų. Greičiausia. Administratoriaus prisijungimai telefone rodys VPN formuluotę (pvz., „VPN autentifikavimas — leisti john prisijungti?“). Nedidelei aplinkai to visiškai pakanka.
- Paleiskite antrą proxy egzempliorių su atskira Notakey aplikacija ir
pranešimu, pvz., „Maršrutizatoriaus administratoriaus prisijungimas kaip
{0}?“. Naudojant dokerizuotą proxy tai tiesiog antras konteineris, kuris
klausosi kito prievado (tarkime,
18120) ir turi kitąNOTAKEY_ACCESS_ID; įrenginyje integruotas proxy veikia vienu egzemplioriumi, todėl antrasis paleidžiamas kaip konteineris šalia jo.
Atskiras pranešimas vertas tų penkių minučių: administratorius, matantis „Maršrutizatoriaus administratoriaus prisijungimas“, kai nesijungia prie maršrutizatoriaus, iš karto supranta, kad kažkas negerai – ir užklausą atmeta.
2 žingsnis: pridėkite proxy kaip login RADIUS serverį
Maršrutizatoriuje pridėkite proxy kaip RADIUS serverį login paslaugai:
/radius
add service=login address=<proxy-address> secret=secret_to_radius_server timeout=30s
Tai VPN vadovo /radius eilutė, kurioje service=ppp pakeista į
service=login, ir galioja tas pats įspėjimas: numatytasis MikroTik
RADIUS skirtasis laikas yra 300 milisekundžių. Žmogui, tvirtinančiam push
pranešimą, reikia bent 30 sekundžių, tad timeout=30s nėra pasirenkamas
dalykas. Be jo kiekvienas prisijungimas žlugs dar prieš telefonui
suvibruojant.
3 žingsnis: įjunkite RADIUS maršrutizatoriaus naudotojams
/user aaa
set use-radius=yes default-group=full
Tiek ir tereikia. Nuo šiol RouterOS kreipiasi į RADIUS (per proxy) dėl
kiekvieno prisijungimo, kurio naudotojo vardo nėra vietinėje /user
duomenų bazėje.
Du dalykai, kuriuos čia svarbu padaryti teisingai:
default-group rinkitės sąmoningai. Per RADIUS autentifikuoti
naudotojai gauna šios grupės teises (read, write arba full) nebent
jūsų RADIUS serveris kiekvienam naudotojui grąžina gamintojo atributą
Mikrotik-Group (gamintojo ID 14988). Jei visi, kurie jungiasi per RADIUS,
yra visateisiai administratoriai, default-group=full tinka; jei ne,
nustatykite mažiausias pakankamas teises, o išimtims Mikrotik-Group
priskirkite iš RADIUS.
Išsaugokite vietinę administratoriaus paskyrą. RouterOS pirmiausia
tikrina vietinę naudotojų duomenų bazę ir tik nežinomų naudotojų vardų
klausia RADIUS. Ši vietinė paskyra yra jūsų atsarginis kelias, jei proxy,
RADIUS serveris ar Notakey servisas kada nors taptų nepasiekiami; be jos
sutrikimas užrakins jus už jūsų paties maršrutizatoriaus. Suteikite jai
stiprų unikalų slaptažodį ir apsvarstykite galimybę apriboti ją valdymo
adresu komanda /user set <name> address=<mgmt-subnet>.
Išbandykite atsargiai
Kol kas neuždarykite veikiančios sesijos. Atverkite antrą WinBox ar SSH sesiją ir prisijunkite su RADIUS naudotojo vardu:
- Prisijungimo langas laukia; tai proxy laiko mainus atvirus.
- Į telefoną atkeliauja push pranešimas. Patvirtinus → esate viduje su grupės teisėmis. Atmetus arba ignoruojant → pasibaigus skirtajam laikui prisijungimas nepavyksta.
- Įsitikinkite, kad vietinis administratorius vis dar prisijungia įprastu būdu.
Pradinę sesiją uždarykite tik tada, kai pavyksta abi patikros.
Jei prisijungimai žlunga akimirksniu, nors push pranešimas atkeliauja, dar
kartą patikrinkite timeout=30s skiltyje /radius; numatytosios 300 ms
yra dažniausia klaida. Jei push pranešimas apskritai neatkeliauja, beveik
neabejotinai naudotojo vardas skiriasi tarp RADIUS ir Notakey serviso.
Bendras vaizdas
Vienas proxy, vienas RADIUS serveris, ir dabar patvirtinimo telefone reikalauja tiek VPN, tiek ir maršrutizatoriaus valdymo plokštuma. Tas pats modelis pritaikomas viskam, kas kalba RADIUS.
Susiję vadovai
- VPN 2FA su RADIUS – išsami auth-proxy sąranka, proxy konfigūracija, kuria remiasi šis vadovas
- Linux SSH 2FA su pam_radius: tas pats proxy, saugantis SSH, sudo ir su
- MikroTik VPN 2FA – išsami sąranka skriptais, alternatyva pačiam VPN be jokio RADIUS