مهرزاد مقدس

* این آموزش بوسیله هر رادیوس سروری قابل اجراس . فقط یوزر منیجر امکان ارسال رادیوس اتربیوت ریپلی و رادیوس اتربیوت چک لیست رو نداره و بهتره استفاده نشه .
اما به دلیل سادگی و راحتی من با ان تی تک اینو اجرا کردم .

---------------------------------------------------------------------------------------

معمولا ما برای سادگی مدیریت روتر ها در شبکه اقدام به ست کردن یوزر و پسورد مشابه رو تمام آنها می کنیم . این روش در محیط های کوچک و تعداد کارمندان اندک و مطمئن که درگیر روتر ها و آنتن ها و .. هستند ممکن است . اما شما یک شرکت کوچک با 10 روتر میکروتیک و سه کارمند رو در نظر بگیرید . حال فرض کنید به صورت دوره ای بخواهید پسورد دستگاهها رو تعویض کنید ! یا یک wisp با صد مشترک رو در نظر داشته باشید که رادیو ها از پسورد مشترکی استفاده نمایند و احیانا نصاب دستگاهها با مقداری دلخوری از شرکت جدا شده باشد !!! یا هزاران دلیل ریز و درشت امنیتی دیگر که روزانه ما رو درگیر می کنند .

همانطور که شما برای مدیریت کاربران PPP از رادیوس سرور ها استفاده می کنید ، میتوانید از رادیوس سرور برای مدیریت کاربران خود روتر نیز استفاده کنید . برای اینکار شما صرفا به یک رادیوس سرور ساده و سبک که از اتربیوت های اختصاصی میکروتیک پشتیبانی کند نیاز دارید . که تقریبا تمام رادیوس سرور ها ی موجود در بازار این قابلیت رو دارند . اعم از ان تی تک - گنو رادیوس - دالو رادیوس - فری رادیوس - تک رادیوس - سیب و ای بی اس و ...

در این آموزش همانطور که اشاره شد از ان تی تک استفاده می کنیم . یک نسخه از این نرم افزار رو دانلود و نصب کنید . پیشنهاد می کنم روی ویندوز 2003 و اس کیو ال 2005 نصب بشه . اما می تونید با بانک اکسس و ویندوز اکس پی هم اونو راه اندازی کنید .

گام اول : تنظیمات لازم در ان تی تک

ان تی تک به صورت پیش فرض اتربیوت های میکروتیک رو در دیکشنریش نداره . کافیه که لیست کامل اون اتربیوت ها (که در این صفحه موجوده :
http://wiki.mikrotik.com/wiki/Manual...dor_dictionary
) رو با کمک یک نرم افزار ادیتور متن به انتهای دیکشنری ان تی تک ادد کنید . و سرویس نرم افزار رو ری استارت کنید .

پیشنهاد می کنم یک گروه برای کاربران میکروتیک - مثلا با عنوان mikrotik-users بسازید . دقت کنید که این گروه خود عوض گروه starndard باشد .
سپس یک یوزر با نام دلخواه بسازید و اونو جزو گروم mikrotik-users قرار بدید .

گام دوم : تنظیمات لازم در میکروتیک

در میکروتیک ابتدا وارد منوی users از منوی system بشوید و روی دکمه AAA کلیک کنید و تیک use radius رو بزنید .
سپس وارد منوی radius بشید و یک رادیوس سرور ادد کنید .
اینکار با کمک دستور زیر نیز قابل انجام هست :

کد:

/radius add address=1.1.1.1 secret=123 service=login authenticati
on-port=1645 accounting-port=1646

که آدرس به آدرس رادیوس سرور اشاره می کند و سکرت و اتانکیشن پورت و اکانتینگ پورت از منوی option ان تی تک قابل تنظیم هستند . - برای اطلاعات بیشتر در این مورد راهنمای ان تی تک یا بخش اکانتینگ این سایت رو مورد بررسی قرار بدید - و service توضیح میدهد که میکروتیک باید برای چه کاری از این رادیوس سرور استفاده کنید .

و پایان !!!
الان اگر اشتباهی در انجام مراحل نداشته باشید می توانید با یوزر و پسورد ساخته شده به میکروتیک لاگین کنید !

دو نکته :
1- کاربران ساخته شده به این روش بصورت پیش فرض یه گروه read در میکروتیک تعلق دارند که امکان هیچ گونه تغییری ندارند. البته در منوی AAA امکان تغییر گروه پیش فرض وجود دارد اما بهتر است اینگونه عمل کنید :
وارد ان تی تک شوید و گروه تعریف شده رو باز کنید - اینجا mikrotik-users - سپس از منوی Radius replylist در کادر اول mikrotik-group رو انتخاب کنید و در کادر دوم یکی از عبارت های full - read - write رو بنویسید و دکمه add رو در پایان بزنید .
با انجام این کار در زمان تایید اعتبار نوع دسترسی نیز به میکروتیک اعلام می گردد .

2- کاربران ساخته شده به این روش امکان دسترسی به تمام روتر های موجود در شبکه -روتر هایی که از رادیوس برای لاگین استفاده می کنند -را دارند .
برای حل این مشکل کافی است که مجدد گروپ رو در ان تی تک باز کنید و اینبار به تب radius check list وارد شده و در کادر اول دنبال عبارت NAS-Identifier بگردید و سپس در کادر مقابل identity روتر مورد نظر رو وارد کنید . حال یوزر تعریف شده صرفا برای روتر یا روتر هایی که با این شناسه هستند قابل استفاده هست .


* تا زمان نوشتن این مطلب هیچ روشی برای ساخت کاربری که صرفا به دو یا چند روتر با شناسه های مختلف وصل شود - مثلا یوزر ahmad به روتر های R1 - R2 وصل شود - رو نتونستم پیدا کنم . این مورد رو توی رادیوس سرور های ان تی تک و تک رادیوس و یوزر منیجر تست کردم اما متاسفانه امکان پیاده سازی اون نبود . اگر راه حلی پیدا شد اونو اینجا ادد میکنم .