Единая авторизация на различных ресурсах в LAN через MikroTik — возможно ли?

Question

[Игорь]

Есть офисная LAN-сеть. Её ядро - mikrotik. На каждом порту mikrotik раздаёт по DHCP сеть с маской "/24" каждому сотруднику (т.е. каждому сотруднику - своя сеть с маской "/24" ).
В сети есть много локальных ресурсов, к которым сотрудникам нужен доступ: jira, SMB, Synology, QNAP, confluence и т.д.
С ростом штата сотрудников становится тяжело заводить отдельные учётки на всех этих ресурсах и производить дальнейший менеджмент.
Встал вопрос: можно ли, используя встроенные механизмы RouterOS (HotSpot, user-manager, RADIUS) создать единый центр авторизации сотрудников?

Answer 1

[Дмитрий Шицков]

jira, SMB, Synology, QNAP, confluence и т.д.

Большинство сервисов умеют авторизацию по LDAP. Реже - RADIUS.
У Микротика RADIUS сильно функционально порезан.

Рекомендация: Поднять отдельный LDAP-сервер (от себя порекомендую OpenDJ) для централизованной авторизации пользователей. При необходимости, прикрутить к нему RADIUS. Mikrotik здесь не помощник - он роутер.

Comments

[Игорь]

Спасибо. Посмотрю в этом направлении

Answer 2

[Keffer]

Ну любит у нас народ экономить на всем где не попадя, и впихивать невпихуемое, из железки совершенно для этого не предназначенной хотят построить целый комбаин, чтобы умел все в одном, даже кофе заваривал и девочек вызывал по расписанию))))

Answer 3

[CityCat4]

создать единый центр авторизации сотрудников?

Все придумано до Вас. Единый центр авторизации называется LDAP :) Винды, я так понял нет? Ставите самбу, разворачиваете AD. Продукты Atlassian прекрасно интегрятся с AD, полки тоже запросто - у них внутри та же самба.

(т.е. каждому сотруднику - своя сеть с маской "/24" ).

Боже, зачем???

можно ли, используя встроенные механизмы RouterOS

Вряд ли. Но даже если можно - зачем? Микротик не может быть ядром сети - он роутер. Он всего-навсего роутер.

Comments

[Игорь]

Маска /24 - для простоты. Да, в курсе, что избыточно, можно было /23 или меньше. Но так проще админить, пока народу не много. Помнить, что 192.168.12.0/24 - это Вася, а 192.168.13.0/24 - Петя - проще, чем вспоминать: 192.168.12.135 - это Вася,Петя или Дима?

Микротик не может быть ядром сети - он роутер

Я рассуждал так: все ресурсы ЛВС и интернет доступны клиентам, пока работает сам микротик. Он - точка отказа всей ЛВС. Именно на нём и было желание разворачивать центр авторизации. В случае отказа микротика (пропало питание, например... хотя с недавних пор мы его в ИБП включили) - и так ЛВС работать не будет.
Если делать отдельно центр авторизации - это вторая точка отказа сети, в дополнение к микротику. К тому же, увидел информацию, что микротик имеет "user manager" и "HotSpot" для всяких авторизаций. Вот и подумал: может, удастся малой кровью настроить центр авторизации прям на нём? Пока сотрудников не больше 10 человек

[CityCat4]

Маска /24 - для простоты. Да, в курсе, что избыточно, можно было /23 или меньше.

Если это конечно не стеб, то Вам крайне необходимо Олиферов почитать. Потому что я вижу системное непонимание того, что есть маска и зачем она нужна.
192.168.12.0/24 - это подсеть в 255 адресов (192.168.12.0 - 192.168.12.255)
192.168.12.0/23 - это подсеть в 512 адресов (192.168.12.0 - 192.168.13.255)

Помнить, что 192.168.12.0/24 - это Вася, а 192.168.13.0/24 - Петя - проще,

Для этого еще в 70-е года прошлого века придумали DNS :)

удастся малой кровью настроить центр авторизации прям на нём

Вы хотите построить на роутере контроллер домена? :)

Ошибка у Вас стратегическая, на уровне планирования. Роутер должен выполнять свои задачи - роутить, фильтровать пакеты, обеспечивать NAT и VPN, если это надо. Сервер AAA (Authentication, Authorization and Accounting - аутентификация, авторизация и учет), DNS и прочие вещи (а дальше непременно возникнет вопрос - как сделать, чтобы юзера во вконтактике не сидели) - делается на контроллере домена, даже если там не будет винды :)

[Игорь]

Потому что я вижу системное непонимание того, что есть маска и зачем она нужна.

Немного напутал - и вот уже диагноз без суда и следствия. Не экзамен сдаю, не придирайтесь.

Вы хотите построить на роутере контроллер домена? :)

Я хочу решить задачу. И ищу вариант "малой крови" (если такой существует вообще). Слышал про HotSpot, User Manager, RADIUS на микротике. Но, не настраивал их и не в курсе их возможностей. Не хотелось тратить несаколько лет своей жизни, ковырясь с этим всем и выясняя даст то всё мне нужный результат или нет - вот и спросил.

DNS и прочие вещи (а дальше непременно возникнет вопрос - как сделать, чтобы юзера во вконтактике не сидели) - делается на контроллере домена

У меня пока нет в этом необходимости: весь отдел в одной комнате сидит. И так ясно что человек успел за месяц. И не важно сидел он в соц сетях с компа, своего мобильника (по не контролируемому LTE) или не сидел. Хотите своим сотрудникам гайки закручивать - пожалуйста. Ваше право. А мне оно сейчас (и уже лет 8 как) не нужно

[CityCat4]

Игорь,

Не экзамен сдаю, не придирайтесь.

Да мне-то... Ваша сеть - Ваши и проблемы :)

Я хочу решить задачу.

В данном контексте задача не имеет решения. Ибо микротик суть UNIX (хоть и с гуевой мордой - но внутри тот же iptables и тот же strongswan (хотя может быть енота допилили). А в мире UNIX не принято плодить сущности - роутер там роутит, а AAA-сервис подымается там, где это должно быть - радиус, самба...

А мне оно сейчас (и уже лет 8 как) не нужно

Ну да, конечно. И антивируса не стоит. И почта на mail.ru бесконтрольно. Что ж, остается позавидовать честности и мотивированости Ваших сотрудников - раз за 8 лет ничего не слили и не занесли... :)

[Игорь]

CityCat4,

Ну да, конечно. И антивируса не стоит. И почта на mail.ru бесконтрольно. Что ж, остается позавидовать честности и мотивированости Ваших сотрудников - раз за 8 лет ничего не слили и не занесли... :)

Я Вас не учу делать Вашу работу - будьте так любезны и меня не поучать. Если есть что по теме вопроса сказать или добавить - с удовольствием почитаю Ваше мнение. А Ваше мнение насчёт всего, что не связано с темой вопроса мне не интересно, как это ни печально

[CityCat4]

Игорь, Ну тогда щислива сделать из микрота контроллер домена :) Если получится, конечно :) Как я когда-то, в середине девяностых пытался из BBS сделать среду пакетной обработки заданий...

Как подгорело-то, а... Видать уже тырили и уже заносили... Что вовсе неудивительно...

[Игорь]

щислива сделать из микрота контроллер домена

У меня нет таких намерений. Вспомнил, что в ЛВС есть Synology. Он поддерживает LDAP и RADIUS. Подумываю с этим поэкспериментировать. Впрочем, Вам же лучше знать что я хочу. Наверное, читать мысли умеете.

Видать уже тырили и уже заносили... Что вовсе неудивительно...

Вы - самый худший экстрасенс на этой неделе. Не огорчайтесь, если не буду больше отвечать на Ваши неуместные комментарии - теряю интерес по мере их банальности.

[CityCat4]

Игорь, Пардон, это Вы - самый худший экстрасенс - потому что я вообще никакой не этот...как его... ну в общем, не угадываю нифига :) Неинтересно. У Вас же будут тырить, не у меня :) (Хотя у нас тоже тырят, но руководству пофиг - так и живем :( )