راه اندازی Userman و احراز هویت Wireless با آن

توضیحات

شاید تا الان کلمه اکانتینگ (accounting ) را بسیار شنیده اید و معنای لغوی آن حسابداری میباشد ، این اصطلاح در شبکه به برنامه های گفته میشود که برای مدیریت حساب کاربران استفاده میشود (ریز مصرف – پرداخت هزینه و…) این گونه برنامه ها به طور کلی شامل ۳فرآیند میشوند:

احراز هویت (authentication )
اجازه دهی (authorization)
حساب داری (accounting )

این سیستم ها را به اختصار AAA سرور می نامند

احراز هویت یا همان authentication به نقل از wikipedia : در شبکه رایانه‌ای اصالت سنجی بدین معناست که یک سرویس دهنده بتواند تشخیص دهد کسی که تقاضایی را روی آن سیستم دارد شخص حقیقی است یا یک شیاد است تا بدین ترتیب به گیرنده پیام اطمینان داده شود که پیام از همان مبدأیی است که ادعا شده است. هر مکانیزمی که بتواند هویت واقعی یک فرد را بدون هیچ ابهامی، تأیید یا رد کند سرویسی جهت اصالت‌سنجی است. این سرویس برخلاف باور عموم یکی از پیچیده‌ترین مباحث امنیت شبکه به شمار می‌رود.^[۳] در سطح حداقل، احراز هویت تضمین می‌کند که پیام از منبع موثقی می‌رسد. علاوه بر این احراز هویت می‌تواند شامل حفاظت در مقابل تغییر، تأخیر، تکرار و ترتیب مجدد پیام باشد. عنصر مهم طرح احراز هویت، استفاده از احراز کننده لست که معمولاً کد احراز هویت پیام (MAC) یا تابع درهم سازی است.

به عنوان اولین فرایند، احراز هویت راه شناسایی یک کاربر، به طور معمول کاربر با وارد کردن نام کاربری و رمز عبور معتبر، اجازه دسترسی به داده برای کاربر فراهم می میشود . این روند تایید برای هر کاربر با داشتن یک مجموعه منحصر به فرد از معیارها برای به دست آوردن دسترسی است. کار سرور AAA مقایسه اعتبارنامه احراز هویت کاربر با اعتبار نامه ذخیره شده در پایگاه داده است . اگر اعتبار نامه مطابقت داشته باشد ، دسترسی کاربر به شبکه داده میشود شود. اگر اعتبار نامه در تضاد باشد ، احراز هویت با شکست مواجه و دسترسی به شبکه را تکذیب می شود.

به دنبال احراز هویت، کاربر باید مجوز برای انجام وظایف خاص به دست آورد. پس از ورود به یک سیستم، به عنوان مثال، کاربر ممکن است سعی کند به صدور دستورات. روند تعیین مجوز این است که آیا کاربران از قدرت به صدور چنین دستورات را دارند؟ ، تعیین نوع یا کیفیت فعالیت ها، منابع، و یا خدمات مجاز برای کاربر. معمولا، مجوز در چارچوب احراز هویت رخ می دهد. هنگامی که کاربران شما کاربر احراز هویت شده اند، آنها ممکنند برای انواع مختلف دسترسی و یا فعالیت مجاز باشند .

تخته نهایی از چارچوب AAA حسابداری است، که اندازه مصرف منابع یک کاربر در طول دسترسی را داشته باشد. این مقدار زمان سیستم و یا مقدار داده یک کاربر در یک جلسه (session ) فرستاده و یا دریافت کرده می باشد. حسابداری برای کنترل مجوز، صدور صورت حساب، تجزیه و تحلیل روند، استفاده از منابع و فعالیت های برنامه ریزی ظرفیت استفاده می شود.

و اما میکروتیک

در میکروتیک پکیجی به اسم User-manager یا به اختصار Userman وجود دارد که این امکان را برای شما فراهم میسازد که بدون نیاز به سرور AAA جداگانه ای کاربران خود را مدیریت کنید. البته با توجه به محدود بودن منابع میکروتیک انتظار زیادی نباید از Userman داشته باشید

برای نصب Userman در میکروتیک ابتدا باید پکیج مناسب روتر خود را دانلود کنید و در داخل روتر قرار دهید و ریبوت کنید نا نصب شود

بعد از این شما باید یک بریج خالی (Null Bridge) بسازد و یک آیپی با ساب نت ۳۲ به آن اختصاص دهید

برای راحتی کار میتوانید به آن یک دامین ثابت اختصاص دهید

سپس شما از طریق این آدرس میتوانید به صفحه userman دسترسی داشته باشید

http://user.manager/userman

http://1.1.1.1/userman

یوزرمن به صورت دیفالت با یوزرنیم admin و بدون پسورد است در صورتی که شما قبلا userman نصب کرده باشید ولی پسورد آنرا یادتان رفته باشد به این صورت میتوانید عمل کنید

/tool user-manager customer print

سپس برای اتصال Userman به Radius client روتر به صورت زیر عمل کنید ( توجه داشته باشید شما هر Radius client ی را میتوانید به Userman وصل کنید و این اصلا مختص میکروتیک و روتر نمیباشد )

نکته برای احراز حویت Wireless از طریق Userman ویا هر AAA سرور دیگری ابتدا باید گزینه default Authentication را غیر فعال کرده و سپس از خالی بودن Access list اطمینان حاصل فرماید زیرا برای احراز هویت ابتدا Access-List در نظر گرفته میشود سپس Radius

ابتدا به تب Security Profile رفته و یک پروفایل جدید به صورت زیر میسازیم

کار ما با سمت روتر وایرلس تمام شد

و اما یوزرمن

ابتدا باید یک Limitation برای اعمال محدودیت بر کاربران بسازیم

سپس یک پروفایل میسازیم

مقادیر فیلد های بالا با توجه به نیاز شما مشخص میشود

سپس برای مک آدرس دستگاه موردنظر حساب کاربری میسازیم

دیدگاه ها:

قربانی گفت:

10 فوریه 2017 در 2:47 ب.ظ

سلام
لطفا آموزش مانیتوریتگ با دود رو هم آموزش بدید
ممنون میشم

پاسخ
یاسر گفت:

19 فوریه 2017 در 10:50 ب.ظ

با سلام .
تشکر از مقاله خوبتون.
یه سوال داشتم ؟
چطوری میشه این تنظیمات رو برای CAP ها تنظیم کرد در صورتی که CAPsMAN اینترفیس وایرلس نداره (تنظیمات پروفایل سکیوریتی) ؟!

پاسخ
1. امیر حسین فروزانی گفت:
  
  20 فوریه 2017 در 11:35 ق.ظ
  
  کافیه به capsman ->access list بروید
  مانند تصویر زیر
  http://mikrotikfa.com/wp-content/uploads/2017/02/2017-02-20_11-31-30.png
  
  پاسخ
علی فنایی گفت:

19 آگوست 2017 در 9:28 ق.ظ

با سلام. بسیار بسیار از مقاله مفید شما استفاده کردم. بخشی از تنظیمات مربوط به مک رو تا الان نمی دونستم.
فقط یک سوال، آیا تنظیمات Userman از بخش Mac-Binding هات اسپات تبعیت می کنه یا نه؟
بعبارت دیگه ما اونجا میتونستیم بدون پسورد اجازه Authenticate کاربران رو با مک بدیم. آیا با استفاده از یوزرمن دیگه ارتباط با هات اسپات قطع میشه؟
یوزرهایی هم که روی هات اسپات ساخته شده دیگه قادر به لاگین نخواهند بود؟
ممنون

پاسخ
1. امیر حسین فروزانی گفت:
  
  19 آگوست 2017 در 10:29 ق.ظ
  
  MAC binding لایه۲ هست و کلا ربطی به userman ندارد .
  یوزر هایی که داخل هات اسپات ساخته شده باشند اولویت دارند بر Userman
  
  پاسخ
مرتضی گفت:

17 دسامبر 2018 در 10:08 ب.ظ

با سلام و تشکر از مطلب مفیدتون
یه سوال::::؟؟
چطور میتونم یه اکسس پوینت که به روتر میکروتیک از طریق کابل متصل هست را با استفاده از userman میکروتیک افراد متصل بهش را احراز هویت کنم؟

پاسخ
1. امیر حسین فروزانی گفت:
  
  17 دسامبر 2018 در 11:51 ب.ظ
  
  اکسس پوینت باید حتما میکروتیک باشد
  
  پاسخ
امید گفت:

6 می 2019 در 10:16 ق.ظ

سلام کارتی را تعریف میکنم ولی این خطا را می دهد چرا و باید چکار کنم
authentication is restricted

پاسخ
محمد گفت:

25 می 2019 در 11:55 ق.ظ

سلام
تو پروفایل ها میخوام بیام دو تا حالت شب و روز ایجاد کنم ، بگم از ۷ تا ۱۶ که ساعت اداری هست با این سرعت وصل شوند
و از ۱۶ تا ۶ صبح با یه سرعت دیگه ، ولی این دو پروفایل فقط یه بار قابل استفاده بودند و برای دفعه های بعدی اخطار می دهند ، یعنی باید بعد از هر بار استفاده پروفایل ریست شود یا دوباره تعریف شود تا بتونند مجدد مورد استفاده قرار بگیرند ، ولی برای پروفایلهای فول تایم من این مشکل رو ندارم

پاسخ
امید نوروزی گفت:

8 اکتبر 2019 در 10:47 ق.ظ

با سلام و ممنون از آموزش تون . تو یوزر منیجر کاربرانی که ساخته میشوند روی یک دستگاه میشه باهاشون لاگین کرد کجا باید تعریف کرد که یک یوزر بتونه هم رو گوشی و هم رو کامپیوتر لاگین کنه همزمان

پاسخ
soheil گفت:

22 آگوست 2020 در 1:39 ب.ظ

با سلام و احترام

یک مشکلی دارم ممنون میشم راهنماییم بفرمایید
تعدادی AP‌ unifi دارم که به صورت کابلی به شبکم متصل هستند و از روتر میکروتیک ip میگیرن و به یوزر های وایرلس نت میدن.
من می خوام یوزر با گوشی یا لپتاب که به وایرلس وصل شد و از یک pool مشخص که داخل روتر ست شده آی پی بگیره و مک آدرسش داخل روتر چک بشه و از یک ISP ‌دیگرم فقط نت داشته باشه و نیاد تو شبکه داخلیم.
درواقع فقط DHCP از روتر بگیره و مک چک بشه و داخل روتر Hotspot هم نمی خوام.
AP هم فقط یک واسطه باشه در واقع.

سپاس از شما

پاسخ
sadaf گفت:

30 ژانویه 2021 در 11:36 ب.ظ

سلام هرکدام از بخش های سازوکار AAA در مسیریاب میکروتیک به وسیله چه بسته نرم افزاری قابل اجراست؟؟؟

پاسخ
محمد گفت:

27 فوریه 2021 در 4:28 ب.ظ

سلام من تو یه شرکت اومدم یه مودم Tplink دارن و یه روتر، نحوه ی اتصال به اینترنت به اینصورته که وای فای اسم شرکت رو پیدا میکنه و بدون رمز وصل میشه ولی ریدایرکت میشه به صفحه لاگین یوزرمن و اونجا با استفاده از اکانت متصل میشی و دسترسی به نت پیدا میکنی، اینجا رمز میکروتیک رو گم کردن میخوان کل سیستم رو ریست کنن اما من نمیدونم چطوری باید مجدد اینا رو کانفیگ کنم، یعنی از ساختار و ارتباط این ۲ دیوایس سر در نمیارم میشه راهنماییم کنید؟

پاسخ
حمید سندگل گفت:

18 ژانویه 2023 در 8:49 ق.ظ

سلام
چطوری می تونم یک اکسس پوینت متصل به روتر میکروتیک رو به Userman اضافه کرد؟؟

پاسخ
1. امیر حسین فروزانی گفت:
  
  18 ژانویه 2023 در 12:34 ب.ظ
  
  با سلام
  فقط اکسس پوینت های که سیستم عامل میکروتیک دارند را میتوانید به userman اضافه کنید.
  
  پاسخ