راه اندازی Userman و احراز هویت Wireless با آن

توضیحات

شاید تا الان کلمه اکانتینگ (accounting ) را بسیار شنیده اید و معنای لغوی آن حسابداری میباشد ، این اصطلاح در شبکه به برنامه های گفته میشود که برای مدیریت حساب کاربران استفاده میشود (ریز مصرف – پرداخت هزینه و…) این گونه برنامه ها به طور کلی شامل ۳فرآیند میشوند:

  1.   احراز هویت (authentication )
  2.   اجازه دهی (authorization)
  3.   حساب داری (accounting )

این سیستم ها را به اختصار AAA سرور می نامند

 

احراز هویت یا همان authentication به نقل از wikipedia : در شبکه رایانه‌ای اصالت سنجی بدین معناست که یک سرویس دهنده بتواند تشخیص دهد کسی که تقاضایی را روی آن سیستم دارد شخص حقیقی است یا یک شیاد است تا بدین ترتیب به گیرنده پیام اطمینان داده شود که پیام از همان مبدأیی است که ادعا شده است. هر مکانیزمی که بتواند هویت واقعی یک فرد را بدون هیچ ابهامی، تأیید یا رد کند سرویسی جهت اصالت‌سنجی است. این سرویس برخلاف باور عموم یکی از پیچیده‌ترین مباحث امنیت شبکه به شمار می‌رود.[۳] در سطح حداقل، احراز هویت تضمین می‌کند که پیام از منبع موثقی می‌رسد. علاوه بر این احراز هویت می‌تواند شامل حفاظت در مقابل تغییر، تأخیر، تکرار و ترتیب مجدد پیام باشد. عنصر مهم طرح احراز هویت، استفاده از احراز کننده لست که معمولاً کد احراز هویت پیام (MAC) یا تابع درهم سازی است.


        به عنوان اولین فرایند، احراز هویت  راه شناسایی یک کاربر، به طور معمول کاربر با  وارد کردن نام کاربری و رمز عبور معتبر، اجازه دسترسی به داده برای کاربر فراهم می میشود . این روند تایید برای هر کاربر با داشتن یک مجموعه منحصر به فرد از معیارها برای به دست آوردن دسترسی است. کار سرور AAA  مقایسه  اعتبارنامه احراز هویت کاربر با اعتبار نامه ذخیره شده در پایگاه داده است  . اگر اعتبار نامه مطابقت داشته باشد ، دسترسی کاربر  به شبکه داده میشود شود. اگر اعتبار نامه در تضاد باشد ، احراز هویت با شکست مواجه و دسترسی به شبکه را تکذیب می شود.

        به دنبال احراز هویت، کاربر باید مجوز برای انجام وظایف خاص به دست آورد. پس از ورود به یک سیستم، به عنوان مثال، کاربر ممکن است سعی کند به صدور دستورات. روند تعیین مجوز این است که آیا کاربران از قدرت به صدور چنین دستورات را دارند؟ ، تعیین نوع یا کیفیت فعالیت ها، منابع، و یا خدمات مجاز برای کاربر. معمولا، مجوز در چارچوب احراز هویت رخ می دهد. هنگامی که کاربران شما کاربر احراز هویت شده اند، آنها ممکنند برای انواع مختلف دسترسی و یا فعالیت مجاز باشند .

        تخته نهایی از چارچوب AAA حسابداری است، که اندازه مصرف  منابع یک کاربر  در طول دسترسی را داشته باشد. این مقدار زمان سیستم و یا مقدار داده یک کاربر در یک جلسه (session ) فرستاده  و  یا دریافت کرده می باشد. حسابداری برای کنترل مجوز، صدور صورت حساب، تجزیه و تحلیل روند، استفاده از منابع و فعالیت های برنامه ریزی ظرفیت استفاده می شود.


 و اما میکروتیک

در میکروتیک پکیجی به اسم User-manager یا به اختصار Userman  وجود دارد که این امکان را برای شما فراهم میسازد که بدون نیاز به سرور AAA جداگانه ای کاربران خود را مدیریت کنید. البته با توجه به محدود بودن منابع میکروتیک انتظار زیادی نباید از Userman داشته باشید

برای نصب Userman در میکروتیک ابتدا باید پکیج مناسب روتر خود را دانلود کنید و در داخل روتر قرار دهید و ریبوت کنید نا نصب شود

بعد از این شما باید یک بریج خالی (Null Bridge) بسازد و یک آیپی با ساب نت ۳۲ به آن اختصاص دهید

برای راحتی کار میتوانید به آن یک دامین ثابت اختصاص دهید

سپس شما از طریق این آدرس میتوانید به صفحه userman دسترسی داشته باشید

http://user.manager/userman

http://1.1.1.1/userman

یوزرمن به صورت دیفالت با یوزرنیم admin و بدون  پسورد است در صورتی که شما قبلا userman نصب کرده باشید ولی پسورد آنرا یادتان رفته باشد  به این صورت میتوانید عمل کنید

/tool user-manager customer print

سپس برای اتصال Userman به Radius client روتر به صورت زیر عمل کنید ( توجه داشته باشید شما هر Radius client ی را میتوانید به Userman وصل کنید و این اصلا مختص میکروتیک و روتر نمیباشد )

نکته برای احراز حویت Wireless از طریق Userman ویا هر AAA سرور دیگری ابتدا باید گزینه default Authentication را غیر فعال کرده و سپس از خالی بودن Access list اطمینان حاصل فرماید زیرا برای احراز هویت ابتدا Access-List در نظر گرفته میشود سپس Radius

ابتدا به تب Security Profile رفته و یک پروفایل جدید به صورت زیر میسازیم

کار ما با سمت روتر وایرلس تمام شد

و اما یوزرمن

ابتدا باید یک Limitation برای اعمال محدودیت بر کاربران بسازیم

سپس یک پروفایل میسازیم

مقادیر فیلد های بالا با توجه به نیاز شما مشخص میشود

سپس برای مک آدرس دستگاه موردنظر حساب کاربری میسازیم

دیدگاه ها:

  1. قربانی گفت:

    سلام
    لطفا آموزش مانیتوریتگ با دود رو هم آموزش بدید
    ممنون میشم

  2. یاسر گفت:

    با سلام .
    تشکر از مقاله خوبتون.
    یه سوال داشتم ؟
    چطوری میشه این تنظیمات رو برای CAP ها تنظیم کرد در صورتی که CAPsMAN اینترفیس وایرلس نداره (تنظیمات پروفایل سکیوریتی) ؟!

  3. علی فنایی گفت:

    با سلام. بسیار بسیار از مقاله مفید شما استفاده کردم. بخشی از تنظیمات مربوط به مک رو تا الان نمی دونستم.
    فقط یک سوال، آیا تنظیمات Userman از بخش Mac-Binding هات اسپات تبعیت می کنه یا نه؟
    بعبارت دیگه ما اونجا میتونستیم بدون پسورد اجازه Authenticate کاربران رو با مک بدیم. آیا با استفاده از یوزرمن دیگه ارتباط با هات اسپات قطع میشه؟
    یوزرهایی هم که روی هات اسپات ساخته شده دیگه قادر به لاگین نخواهند بود؟
    ممنون

    1. MAC binding لایه۲ هست و کلا ربطی به userman ندارد .
      یوزر هایی که داخل هات اسپات ساخته شده باشند اولویت دارند بر Userman

  4. مرتضی گفت:

    با سلام و تشکر از مطلب مفیدتون
    یه سوال::::؟؟
    چطور میتونم یه اکسس پوینت که به روتر میکروتیک از طریق کابل متصل هست را با استفاده از userman میکروتیک افراد متصل بهش را احراز هویت کنم؟

    1. اکسس پوینت باید حتما میکروتیک باشد

  5. امید گفت:

    سلام کارتی را تعریف میکنم ولی این خطا را می دهد چرا و باید چکار کنم
    authentication is restricted

  6. محمد گفت:

    سلام
    تو پروفایل ها میخوام بیام دو تا حالت شب و روز ایجاد کنم ، بگم از ۷ تا ۱۶ که ساعت اداری هست با این سرعت وصل شوند
    و از ۱۶ تا ۶ صبح با یه سرعت دیگه ، ولی این دو پروفایل فقط یه بار قابل استفاده بودند و برای دفعه های بعدی اخطار می دهند ، یعنی باید بعد از هر بار استفاده پروفایل ریست شود یا دوباره تعریف شود تا بتونند مجدد مورد استفاده قرار بگیرند ، ولی برای پروفایلهای فول تایم من این مشکل رو ندارم

  7. امید نوروزی گفت:

    با سلام و ممنون از آموزش تون . تو یوزر منیجر کاربرانی که ساخته میشوند روی یک دستگاه میشه باهاشون لاگین کرد کجا باید تعریف کرد که یک یوزر بتونه هم رو گوشی و هم رو کامپیوتر لاگین کنه همزمان

پاسخی بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

این سایت از اکیسمت برای کاهش هرزنامه استفاده می کند. بیاموزید که چگونه اطلاعات دیدگاه های شما پردازش می‌شوند.