با راه اندازی و تنظیم radius server در میکروتیک میتوانید احراز هویت کاربران را به طور حرفهای انجام دهید. رادیوس یک سرویس مشابه دیتابیس برای اکانتینگ است. سرور رادیوس (radius server) یک اپلیکیشن و سرویس مشابه دیتابیس برای احراز هویت کاربران، صدور مجوز و اکانتیک است. این سرور اغلب اطلاعاتی نظیر نام کاربری، پسورد، مدت زمان استفاده یک کاربر از یک سرویس بخصوص و بسیاری اطلاعات دیگر را ذخیره نموده و به نوعی وظیفه کنترل وضعیت استفاده کاربران از سرور را عهده دار است.
در میکروتیک سرویسهایی مانند PPTP ، L2TP ، SSTP ، PPPOE و ... وجود دارد که یک مدیر شبکه قادر خواهد بود به واسطه آن به میکروتیک متصل شده و از سرویسهای آن بهره ببرد. حال شما میتوانید میکروتیک را به یک Radius سرور متصل کرده تا در هنگام احراز هویت کاربر در هنگام برقراری ارتباط با یک سرویس ، میکروتیک اطلاعات کاربران را از Radius سرور چک کرده و درصورت تأیید ، اجازه برقراری ارتباط به کاربر را دهد.
در این مقاله قصد داریم نحوه راه اندازی و تنظیم radius server در میکروتیک را به شما آموزش دهیم. پس اگر میخواهید از سرویس اکانتینگ خود بر روی MikroTik استفاده کنید با ما تا پایان این مقاله همراه باشید.
Radius چیست؟
رادیوس (radius) مخفف عبارت Remote Authentication Dial in User Service و یک پروتکل شبکه است که وظیفه احراز هویت مرکزی، صدور مجوز و اکانتینگ برای کاربران شبکه را بر عهده دارد. سرور RADIUS در لایه اپلیکیشن و از طریق پروتکلهای UDP یا TCP اجرا میشود.
میکروتیک به عنوان سازنده لتونیایی تجهیزات شبکه (Latvian networking equipment manufacturer) در امر احراز هویت کاربران پروتکلهای متفاوتی را به کار میگیرد. یکی از این پروتکلها پروتکل RADIUS است و سیستم عامل روتر میکروتیک (RouterOS) از خدمات اکانتینگ رادیوس پشتیبانی میکند.
در حقیقت میکروتیک از radius server به منظور احراز هویت کاربران خود که از طریق وایفای یا سرور پیش ساخته PPTP روتر به آن متصل میشوند، استفاده میکند.
تعداد اپلیکیشهای radius سرور بسیار زیاد است؛ اما از این بین اپلکیشن User Manager به طور اختصاصی توسط میکروتیک به منظور احراز هویت و صدور مجوز توسعه یافته است. پیش از آن که به سراغ آموزش راه اندازی و تنظیم radius server در MikroTik برویم ابتدا مروری بر این اپلیکیشن و مراحل نصب آن خواهیم داشت.
User Manager میکروتیک چیست؟
User Manager یک پکیج سرور RADIUS اختیاری و کاملاً مجزا برای سیستم عامل RouterOS میکروتیک است. User Manager در احراز هویت کاربران MikroTik، صدور مجوز و اکانتیک کاربرد دارد.
کمپانیهای ارائه دهنده خدمات شبکه و اینترنت میتوانند از User Manager سرور رادیوس برای احراز هویت لاگین کاربران خود، احراز هویت کاربران در سرور PPP و هات استاپ و همینطور مدیریت صورت حسابهای خود استفاده نمایند.
برای راه اندزای و تنظیم radius server بر روی روتر میکروتیک ابتدا نیاز است که یک کاربر جدید در User Manager با مشخصات معین تعریف گردد. پس از ایجاد کاربر جدید با انجام مراحلی میتوان تنظیمات سرور رادیوس را بر روی MikroTik اعمال کرد.
در ادامه این مقاله آموزشی مراحل نصب این پکیج نرم افزاری بر روی سیستم عامل MikroTik را توضیح خواهیم داد. سپس به آموزش راه اندازی radius server در میکروتیک میپردازیم.
آموزش نصب User Manager در میکروتیک
برای نصب User Manager در میکروتیک باید مراحل زیر را طی کنید:
· از طریق نرم افزار Winbox به روتر میکروتیک لاگین کنید.
· از منوی Winbox به قسمت System > Resources بروید.
· به بخش دانلود MikroTik بروید و با انتخاب نسخه سیستم عامل میکروتیک خود فایل زیپ پکیجی که با نسخه میکروتیک شما همخوانی دارد را دانلود کنید. (نام فایل: all_packages-architecture_name-routeros_version.zip)
· اکنون فایل زیپ را باز کنید و فایل نصب User Manager را پیدا کنید. (user-manager-routeros_version-architecture_name.npk)
· روی منوی Files در Winbox کلیک کنید و فایل user-manager را با استفاده از drag and drop به پنجره File List منتقل کنید.
· در نهایت، سیستم عامل روتر میکروتیک خود را ریبوت کنید.
پس از بوت شدن سیستم، پکیج نرم افزاری User Manager بر روی سیستم شما نصب میشود و میتوانید آن را در پنجره Package List مشاهده کنید.
اکنون با تایپ کردن آدرس https://radius_server_ip/userman در صفحه مرورگر خود پنجره لاگینی مشابه تصویر زیر برای شما باز میشود که میتوانید از طریق آن وارد اکانت User Manager سرور رادیوس خود شوید.
به طور پیشفرض User Manager یک اکانت با نام کاربری ادمین و بدون پسورد ایجاد میکند. بنابراین برای ورود به اکانت خود تنها کافی است که در قسمت Login کلمه admin را تایپ کنید و قسمت پسورد را خالی بگذارید. پس از کلیک بر روی گزینه Log in پنل مدیریتی شما در این نرم افزار باز میشود که میتوانید مطابق با میل خود کانفیگهای لازم برای برای تنظیم radius server در میکروتیک را انجام دهید.
آموزش راه اندازی radius server در میکروتیک
در ابتدا بایستی radius را بر روی سرور خود نصب کنید و کانفیگهای لازم جهت اعطای دسترسی به کاربران بخش فنی محیط را انجام دهید. در منوی Roles سرور بر روی گزینه Add Roles کلیک کنید.
با کلیک بر روی این گزینه یک صفحه نصب برای شما باز میشود. در مرحله اول آن بر روی گزینه Next بزنید. با این کار فرآیند نصب آغاز میشود.
در مرحله بعد Network Policy و Access services را انتخاب کنید و Next را بزنید.
پس از انتخاب موارد بالا وارد صفحه توضیحات مربوط به Network Policy و Access Services میشوید. در این مرحله لازم نیست کار خاصی انجام دهید. تنها بر روی گزینه Next کلیک کنید.
در مرحله بعد تیک گزینه Network Policy Server را بزنید و به مرحله بعد بروید.
پنجره لودینگ را در زیر مشاهده میکنید. با کلیک بر روی گزینه Install فرآیند نصب شما آغاز میشود.
پس از آنکه مراحل نصب با موفقیت به اتمام رسید پنجره را ببندید.
از منوی استارت برنامه Network Policy Server را انتخاب کنید.
در پنجره Network Policy Server بر روی Radius Client راست کلیک کنید و گزینه New RADIUS Client را انتخاب کنید.
در پنجره جدید نام و آدرس IP دیوایس مورد نظر خود را وارد کنید.
در این صفحه بر روی Network Policies راست کلیک کرده و گزینه New را بزنید.
نامگذای Policy را انجام دهید و دکمه Next را بزنید.
در پنجره بعدی دکمه Add را بزنید و سپس گزینه Windows Group را انتخاب کنید. سپس کاربری که میخواهید دسترسی به دیوایسهای گروه را به او بدهید اضافه کنید.
در مرحله بعد گزینه اعطای دسترسی (Access permission) را تیک بزنید و Next را بزنید.
در مرحله متدهای احراز هویت، قسمت نوع EAP را خالی بگذارید و گزینه Next را بزنید.
در دو مرحله بعدی تنظیمات را تغییری ندهید و تنها گزینه Next را بزنید.
تنظیمات بعدی را در روتر میکروتیک انجام میدهیم. برای این کار به MikroTik System > Users بروید و دکمه AAA را بزنید.
تیک گزینه User radius را بزنید و آپشن Default Group را بر روی full قرار دهید.
افزودن سرور جدید RADIUS با استفاده از Winbox - آموزش تنظیم radius server در میکروتیک
مراحل این کار به شرح زیر است:
1- ابتدا از طریق Winbox به میکروتیک متصل شوید.
2- در منوی اصلی گزینهای وجود دارد به نام Radius که با کلیک بر روی آن تنظیمات Radius باز خواهد شد.
3- در این صفحه هر Radius سروری که تنظیم شده باشد نمایش داده خواهد شد. حال برای اضافه کردن یک Radius جدید ، بر روی علامت افزودن کلیک کرده تا تنظیم آن باز گردد.
4- در این بخش تنظیماتی وجود خواهد داشت که به ترتیب زیر شما باید آنها را وارد نمایید.
Service : این قسمت سرویسهای مختلف را به شما نمایش خواهد داد که با انتخاب هر یک از آنها ، میکروتیک آن اطلاعات آن سرویس را از Radius سرور چک خواهد کرد.
Domain : این بخش به صورت انتخابی است و شما میتوانید نام دامنه فعال در شبکه خود را وارد نمایید.
Address : آدرس IP سرویس Radius خود را در این فیلد وارد نمایید.
Secret : پسورد ارتباط با Radius را که در Radius سرور خود تعریف کردهاید را در این بخش وارد نمایید.
Authentication Port : پورت برقراری ارتباط میکروتیک با Radius سرور جهت Authentication را در این قسمت وارد کنید.
Accounting Port : پورت ارتباطی مربوط به اکانتینگ Radius سرور را در این بخش وارد نمایید.
نکته : این دو پورت به صورت پیشفرض بر روی 1812 و 1813 تنظیم شدهاند و باید نسبت به Radius سرور تنظیم گردند.
Timeout : مدت زمانی که میکروتیک منتظر پاسخ از سمت Radius سرور خواهد ماند.
Accounting Backup : در صورت انتخاب این گزینه نسخه پشتیبانی از اکانتینگ کاربران در میکروتیک کش خواهد شد.
Realm : در صورتی که سرور Radius دارای Realm باشد در این قسمت وارد میگردد.
Src Address : آدرس مقصد پس از ارتباط Radius با سرور میکروتیک در این قسمت وارد میگردد.
پس از وارد کردن اطاعات بالا بر روی OK کلیک کنید.
اکنون شما میتوانید با استفاده از اطلاعات حساب خود به دیوایسهایتان دسترسی پیدا کنید. دقت داشته باشید که اطلاعات لاگین به عنوان یک گزینه بک آپ برای زمانی که radius خاموش است به کار میروند. برخلاف سیسکو در MikroTik این گزینه وجود ندارد. اما در عوض میتوانید از راههای دیگری استفاده کنید.
از آنجایی که در سیستم عامل روتر میکروتیک امکان غیر فعال کردن کاربر ادمین وجود ندارد، اگر تنها همین یک کاربر دسترسی کامل داشته باشد، باید یک کاربر دیگر ایجاد کنید و دسترسیهای لازم را به این کاربر دوم بدهید.
در مرحله بعد یک اسکریپت ایجاد میکنیم و آن را تنظیم میکنیم که برای مثال هر ۱۰ ثانیه یک بار ران شود. این اسکریپت موجب پینگ کردن radius server میشود. در صورت موفقیت این مرحله دسترسی کاربر دوم فعال میشود.
ابتدا با ایجاد کاربر جدید شروع میکنیم.
اکنون اسکریپت را ایجاد میکنیم.
در نهایت زمان بندی را طوری تنظیم میکنیم که اسکریپت هر ۱۰ ثانیه یکبار ران شود.
5- در این جا تنظیمات سرور Radius به پایان رسیده است . حال برای اینکه به میکروتیک دستور دهید تا برای ارتباط کاربران ، اطلاعات و احراز هویت را از Radius چک کند باید از منوی PPP به سربرگ Secret بروید.
6- سپس بر روی PPP Authentication&Accounting کلیک کرده و تیک گزینه Use Radius را بزنید.
بدین ترتیب میکروتیک برای احراز هویت و اکانتینگ سرویسهای انتخاب شده از radius سرور استفاده مینماید.
در اینجا آموزش راه اندازی و تنظیم radius server در میکروتیک به پایان میرسد. امیدواریم که این مطلب برایتان مفید بوده باشد.
سوالات متداول
چگونه میتوان احراز هویت کاربران میکروتیک را از طریق اکتیو دایرکتوری ویندوز انجام داد؟
برای این کار باید از radius سرور ویندوز یا سایر نرم افزارهای حد واسط Active Directory استفاده کنید.
radius server چه کاربردی دارد؟
سرور radius یک نرم افزار و پروتکل سرور است که امکان دسترسی از راه دور به سرورها و ارتباط با سرور مرکزی را جهت احراز هویت و صدور مجوز به کاربران میسر میسازد.
سرور هات اسپات MikroTik چیست؟
کلاینتها میتوانند پیش از اتصال به شبکههای عمومی با استفاده از دروازه هات اسپات میکروتیک به احراز هویت بپردازند. تنها در صورت اتصال به شبکه IPv4 میتوان کارکرد مطمئن هات اسپات را انتظار داشت.
اکتیو دایرکتوری میکروتیک رادیوس چیست؟
اکتیو دایرکتوری میکروتیک رادیوس برنامهای برای احراز هویت کاربران روتر میکروتیک با استفاده از اکتیو دایرکتوری است. این برنامه طوری طراحی شده است که میتوان از آن در تلفیق با سیستم عامل MikroTik بهره جست. شما میتوانید با اکتیو دایرکتوری کاربران را به حافظه روتر اضافه کرده و احراز هویت آنها را انجام دهید. این برنامه رایگان و متن باز بوده و تحت چارچوب GPL عرضه شده است.
