Ha végigcsinálta a VPN 2FA RADIUS-szal útmutatónkat, már minden a rendelkezésére áll ahhoz, hogy valami mást is védelem alá vonjon: magát a routerre való bejelentkezést. A WinBox, a WebFig, az SSH és az API egyaránt tud RADIUS-on keresztül hitelesíteni, és mivel a Notakey auth-proxy átlátszó RADIUS-ként működik, elég a router login szolgáltatását ráirányítani, és minden admin-bejelentkezéshez telefonos jóváhagyás kell, nem csupán jelszó.
A folyamat megegyezik a VPN esetével:
Router login ──RADIUS──▶ Notakey auth-proxy ──RADIUS──▶ your RADIUS server
│
└──▶ push notification ──▶ admin's phone
A router oldalán mindössze három dolog változik; ezeket vesszük sorra.
Előfeltételek
- Működő auth-proxy egy RADIUS-szerver előtt, pontosan úgy beállítva, ahogy a VPN-útmutató 1–3. lépése leírja. Bármilyen mögöttes RADIUS megfelel: FreeRADIUS, Microsoft NPS, a MikroTik saját User Managere vagy a Notakey RADIUS-bővítménye.
- Az admin felhasználóneve szerepeljen a mögöttes RADIUS-szerveren és a Notakey szolgáltatásban is, regisztrált telefonnal: a proxy a push értesítést a felhasználónév alapján címzi.
1. lépés: Döntse el, milyen push üzenetet lássanak az adminok
A proxy a saját konfigurációjából veszi az üzenetet: ugyanabból a
message_title / message_description párból, amelyet a
VPN-bejelentkezésekhez használ. Két lehetősége van:
- Használja változtatás nélkül a VPN-proxyt. Ez a leggyorsabb. Az admin-bejelentkezéseknél a telefonon a VPN-es szöveg jelenik meg (pl. “VPN authentication — allow john login?”). Kisebb környezetben tökéletesen megteszi.
- Futtasson egy második proxypéldányt saját Notakey-alkalmazással és
például “Router admin login as {0}?” jellegű üzenettel. A dockeres proxy
esetében ez csupán egy második konténer, amely egy másik porton figyel
(mondjuk a
18120-on), eltérőNOTAKEY_ACCESS_ID-vel; a készülék beépített proxyja egyetlen példányban fut, így a második példányt konténerként kell mellé telepíteni.
A külön üzenet megéri a ráfordított öt percet: az az admin, aki “Router admin login” üzenetet lát, miközben éppen nem routerbe jelentkezik be, azonnal tudja, hogy valami nincs rendben – és elutasítja.
2. lépés: Vegye fel a proxyt login RADIUS-szerverként
A routeren vegye fel a proxyt RADIUS-szerverként a login szolgáltatáshoz:
/radius
add service=login address=<proxy-address> secret=secret_to_radius_server timeout=30s
Ez a VPN-útmutató /radius sora, csak a service=ppp helyett
service=login szerepel benne, és ugyanaz a figyelmeztetés érvényes: a
MikroTik alapértelmezett RADIUS-időtúllépése 300 ezredmásodperc. Egy push
értesítést jóváhagyó embernek legalább 30 másodperc kell, így a
timeout=30s nem opcionális. Nélküle minden bejelentkezés azelőtt hiúsul
meg, hogy a telefon egyáltalán megrezzenne.
3. lépés: Engedélyezze a RADIUS-t a routerfelhasználóknak
/user aaa
set use-radius=yes default-group=full
Ennyi: a RouterOS mostantól minden olyan bejelentkezésnél a RADIUS-hoz
fordul (a proxyn keresztül), amelynek felhasználóneve nem szerepel a
helyi /user adatbázisban.
Két dologra érdemes itt külön odafigyelni:
A default-group értékét tudatosan válassza meg. A RADIUS-szal
hitelesített felhasználók ennek a csoportnak a jogosultságait kapják
(read, write vagy full), hacsak a RADIUS-szerver nem ad vissza
felhasználónként Mikrotik-Group gyártói attribútumot (vendor ID: 14988).
Ha mindenki, aki RADIUS-on keresztül érkezik, teljes jogú admin, a
default-group=full megfelel; ha nem, állítsa a legszűkebb még működő
jogosultságra, és a kivételeknek a RADIUS-ból ossza ki a Mikrotik-Group
attribútumot.
Tartson meg egy helyi adminfiókot. A RouterOS először a helyi
felhasználói adatbázist nézi, és csak az általa nem ismert
felhasználóneveknél kérdezi a RADIUS-t. Ez a helyi admin a mentőöve, ha a
proxy, a RADIUS-szerver vagy a Notakey szolgáltatás valaha elérhetetlenné
válik; nélküle egy leállás a saját routeréből zárja ki. Adjon neki erős,
egyedi jelszót, és fontolja meg, hogy menedzsmentcímre korlátozza a
/user set <name> address=<mgmt-subnet> paranccsal.
Tesztelés – óvatosan
Még ne zárja be a működő munkamenetét. Nyisson egy második WinBox- vagy SSH-munkamenetet, és jelentkezzen be egy RADIUS-felhasználónévvel:
- A bejelentkezési ablak várakozik, mert ilyenkor a proxy tartja nyitva a folyamatot.
- A push értesítés megérkezik a telefonra. Jóváhagyás → bent van, a csoport jogosultságaival. Elutasítás vagy figyelmen kívül hagyás → a bejelentkezés az időtúllépés után meghiúsul.
- Győződjön meg róla, hogy a helyi admin továbbra is be tud lépni a megszokott módon.
Az eredeti munkamenetet csak azután zárja be, hogy mindkét ellenőrzés sikerült.
Ha a bejelentkezés azonnal meghiúsul, pedig a push megérkezik, ellenőrizze
újra a timeout=30s beállítást a /radius alatt: a 300 ms-os alapérték a
leggyakoribb hiba. Ha egyáltalán nem érkezik push, szinte biztos, hogy a
felhasználónév eltér a RADIUS és a Notakey szolgáltatás között.
Hogyan illeszkedik az összképbe
Egy proxy, egy RADIUS-szerver – és mostantól a VPN és a router adminfelülete is telefonos jóváhagyást követel. Ugyanez a minta bármire kiterjeszthető, ami tud RADIUS-t.
Kapcsolódó útmutatók
- VPN 2FA RADIUS-szal: az auth-proxy teljes beállítása – a proxykonfiguráció, amelyre ez az útmutató épül
- Linux SSH 2FA pam_radius-szal – ugyanaz a proxy az SSH, a sudo és a su védelmében
- MikroTik VPN 2FA: a teljes szkriptalapú beállítás – RADIUS-mentes alternatíva magához a VPN-hez