User Manager

Gerenciando usurios com
MikroTik User Manager
Anderson Marin Matozinhos
Guilherme Ramires
anderson@icorporation.com.br
ramires@alivesolutions.com.br
MTCNA, MTCWE, MTCRE, MTCTCE, MTCINE, MTCUME

MikroTik Official Consultant
MikroTik Certified Training Partner

Alive Solutions & Voz e Dados

no MUM Brasil 2015
Tpicos a serem abordados

1. O MikroTik User Manager. Funes e
possibilidades.
2. Instalando e configurando o User Manager

3. Hands On
4. Consideraes finais
2
Tik Robot
Alive Solutions MUM BRASIL
2015
Creating your robot with Mikrotik Router OS
Gerenciando usurios com MikroTik User Manager
O MikroTik User Manager

O User Manager um sistema de gesto de usurios baseado em RADIUS com diversas funcionalidades.
Pode ser usado para gerenciar usurios de:
HotSpot
DHCP
PPP (PPTP, L2TP, PPPoE, etc)

Wireless
RouterOS
Funciona em processadores x86, ou RouterBoards com MIPS, PowerPC e TILE.
A RouterBoard deve ter pelo menos 32 MB de RAM e 2 MB de espao livre no HD
compatvel com os principais navegadores de internet: Opera, Mozilla Firefox, Microsoft Internet
Explorer e Safari.
3
Tik Robot
2015
O MikroTik User Manager
Cenrio
Um WISP tem geralmente uma equipe grande e muitas

RouterBoards em funcionamento.
A contratao e demisso de tcnicos acontece
constantemente. Como adicionar, alterar ou retirar acesso

dos tcnicos aos equipamentos imediatamente?
Utilizando o User Manager podemos fazer isso facilmente.

4
Tik Robot
2015
Nosso objetivo
Melhorar a segurana de acesso aos MikroTik da
rede e facilitar a adio e remoo de privilegio de

acesso.
Gerenciar clientes PPPOE, VPN, Wireless e Hotspot

para provedores pequenos.
5
Tik Robot
2015
Como tudo acontece...

1.
Usurio da equipe de TI tenta acessar um Router da rede (RouterOS).
6
Tik Robot
2015

2.
3.
O router que o usurio esta tentando logar consulta o User Manager.

O User Manager confirma a identidade do usurio.
7
Tik Robot
2015

4.
Usurio da equipe de TI autentidado com sucesso no MikroTik.
8
Tik Robot
2015
Instalando o User Manager
9
Tik Robot
2015

A Instalao do User Manager simples.
Acesse o site da Mikrotik: http://www.mikrotik.com/download

Faa download do pacote: All packages
10
Tik Robot
2015
Descompacte o pacote e copie para a RouterBoard o pacote do User Manager e a reinicie.
Dica:
Para o User Manager instalar preciso que seja a mesma verso

do RouterOS instalado em sua RouterBoard.
Caso no seja, atualize seu RouterOS.
11
Tik Robot
2015
Configurando o User Manager
12
Tik Robot
2015

Acima da verso 3.0 o User Manager j vem com o usurio padro criado:
User: admin
Pass: em branco
interessante mudar essa senha imediatamente:
/tool user-manager customer set admin password=12344321

Pela interface web podemos fazer toda configurao do User Manager.
Acesse : http://ip-do-User Manager/userman
Use as credenciais para acesso:
User: admin
Pass: 12344321
13
Tik Robot
2015

Primeiramente precisa criar o perfil e as limitaes que ira disponibilizar para os tcnicos.
So essas limitaes que iro definir os direitos de cada usurio ao logar no MikroTik.
No exemplo usei o grupo: full.
Defini um profile com nome: infra-admins
Adicionei uma limitao de nome: full e no campo: Group name coloquei o nome do group que
est no RouterOS no caso: full
Tik Robot
2015
14

Associando limitao ao profile: infra-admins
Clique no boto Add new limitation e selecione a limitao criada anteriormente: full
Observe que possvel definir dia da semana, e horrio para uso do grupo de acesso.
Tik Robot
2015
15

Esses usurios criados no User Manager sero capaz de acessar todas as RouterBoards da rede
configuradas.
Criando usurios para acessar seus MikroTik RouterOS:
Usando a interface web, v no boto:

Users - Add One
Assign profile: Define o profile do usurio.

Essas permisses podem ser alteradas a
qualquer momento.
Shared user: Quantas conexes simultneas

o usurio poder fazer.
Tik Robot
2015
16
Para que o User Manager responda as requisies das RouterBoards preciso cadastra-las no NAS
(network access server) . Por segurana esse cadastramento deve ser feito com o IP de origem do
MikroTik e uma senha, que deve estar configurada no router e no User Manager.
Pela interface web, acesse o boto:
Routers Add - New
17
Tik Robot
2015

Pelo New Terminal esse trabalho mais fcil. Voc pode fazer um script adicionando todas suas
RouterBoards de uma s vez.
DICA:
Para edio de scripts recomendo o aplicativo gratuito: Notepad ++

tool user-manager
router add ip-address=10.0.0.1 shared-secret=12345 coa-port=1700 customer=admin name=router-01

18
Tik Robot
2015
Configurando o Router
As configurao a seguir devero ser feita nos equipamentos da rede que sero acessados via
usurios do User Manager
Em Radius Server cadastre o servidor que

responder as requisies Radius, (User
Manager).
Configure aqui a senha que definimos em

Routers no NAS do User Manager.
/radius
add address=10.0.0.254 secret=12345 service=login
19
Tik Robot
2015
Configurando o Router
Em System - Users no boto AAA (Authentication, Authorization, and Accounting), configure para
utilizar Radius.
Existem 2 campos nessa janela que gostaria de comentar:
Default Group define qual grupo um usurio deve pertencer, caso o grupo que ele esta
cadastrado no Radius no esteja configurado local no MikroTik.
Exclude Groups usado para excluir um grupo que voc no quer permitir logar nesse MikroTik
com as permisses configuradas. Se configurarmos um grupo com permisses full se o Default
Group estiver definido como read o usurio desse grupo ter permisso apenas para leitura.
/user aaa
set use-radius=yes
20
Tik Robot
2015
Lista de polticas permitidas:
Configurando o router
local - poltica que concede os direitos para efetuar login localmente via console
telnet - poltica que concede direitos a logar-se remotamente via telnet
ssh - poltica que concede direitos a logar-se remotamente atravs do protocolo Secure Shell
ftp - poltica que concede plenos direitos para logar-se remotamente via FTP e transferir arquivos de e para o roteador. Os usurios com esta poltica podem ler, escrever e
apagar arquivos, independentemente da permisso " read/write " , que lida apenas com configurao RouterOS.
reboot - poltica que permite reiniciar o roteador
read - poltica que concede acesso de leitura a configurao do roteador. Todos os comandos do console que no alteram a configurao do roteador so permitidos. No
afeta o FTP
write - poltica que concede acesso a escrever configurao do roteador, exceto para gerenciamento de usurios. Esta poltica no permite ler a configurao, por isso
certifique-se de permitir assim a poltica de leitura
policy - poltica que concede direitos de gerenciamento de usurios. Deve ser usado em conjunto com a poltica de gravao. Permite tambm para ver as variveis globais
criadas por outros usurios (requer tambm a poltica 'test').
test - poltica que concede os direitos para executar ping, traceroute, bandwidth-test, wireless scan, sniffer, snooper e outros comandos de teste.
web - poltica que concede direitos a logar-se remotamente via WebBox
winbox - poltica que concede direitos a logar-se remotamente via WinBox

password - poltica que concede direitos para alterar a senha
sensitive - concede direitos para ver informaes sensveis no roteador, Como senhas salvas no MikroTik como: wireless, etc.
api - concede direitos para acessar roteador via API.
sniff - poltica que concede direitos de usar a ferramenta packet sniffer.

Tik Robot
2015
21
Configurando o router
System / Users
O Mikrotik RouterOS vem com grupos de segurana de usurios pr definidos (full, read, write)
Mas as permisses podem no ser adequadas ao seu negocio.
interessante criar seus prprios grupos com permisses que se adaptem melhor ao seu cenrio.
22
Tik Robot
2015
Servidor VPN ou PPPoE
autenticando no User Manager
Primeiramente criamos um Pool de endereos que a
VPN server ou o PPPoE server usaro para atribuir aos
clientes que autenticarem no MikroTik.

Defini o range 172.16.255.0/24.
DICA:
Para fins de emergncia, sugiro criar em cada equipamento um usurio com uma senha de poder
do gerente de TI ou proprietario. Restrito a acesso local (Winbox MAC ou MAC Telnet), caso o
equipamento esteja desconectado da rede e no consiga autenticar via User Manager.
/user
user add address=1.1.1.1/32 comment="support local" group=full name=support.local password=12344321
Tik Robot
2015
23
Configurando servidor
VPN ou PPPoE
Configure o Profile, definindo um nome um endereo

local e selecione o pool criado anteriormente.
Em Protocols - Use Encryption select required para forar a

criptografia.
24
Tik Robot
2015
Configurando servidor VPN
Em Secrets / PPP Autentication selecione Use Radius, para que o MikroTik utilize os usurios do User Manager.
- Para habilitar o VPN server,
v na aba Interface e clique no

boto PPTP Server.
Selecione Enable e selecione o

Profile criado anteriormente.
- Para habilitar o PPPoE server

va na aba PPPoE server e
clique no boto +.
Selecione a interface e o perfil

criado anteriormente.
25
Tik Robot
2015
VPN ou PPPoE
Finalizando, altere o perfil do servidor Radius que foi criado anteriormente habilitando ppp na
autenticao Radius.
26
Tik Robot
2015
VPN ou PPPoE
Usurio conectado na VPN.
27
Tik Robot
2015
Hands on
28
Tik Robot
2015
Hands on coletivo
Precisamos da ajuda de algumas pessoas do auditrio para testarmos...

1.
Conecte-se a rede wi-fi: UserManager-lab
3.
Use seu Winbox e conecte-se ao IP: 10.1.1.1
2.
4.
5.
6.
Senha wi-fi: floripa2015

Usurio: suporte
Senha: 12345
Observe as permisses concedidas.

Agora conecte-se com:
Usurio: infra-adm
Senha: 12345
Observe as permisses concedidas.

Tik Robot
2015
29
Dvidas
2
Tik Robot
2015
Consideraes finais
Gerncia centralizada do pessoal tcnico.
Fcil de adicionar, bloquear ou remover usurios.
Facilidade para mudar permisses de acesso dos tcnicos.
Montando grupos de segurana personalizados, possvel dar
permisses especificas para tcnicos com mais ou menos poder dentro

da rede. Evitando assim dores de cabea com tcnicos de m intenso.
Gratuito e eficiente. Basta instalar, configura-lo e pronto!!!

Tik Robot
2015
Fonte
wiki.mikrotik.com
32
Tik Robot
2015
Anderson Marin Matozinhos
Guilherme Ramires
anderson@icorporation.com.br
ramires@alivesolutions.com.br


Tik Robot
2015
33

User Manager

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

User Manager

Transféré par

Droits d'auteur :

Formats disponibles

Gerenciando usurios com

MikroTik User Manager

Anderson Marin Matozinhos

MTCNA, MTCWE, MTCRE, MTCTCE, MTCINE, MTCUME

MTCNA, MTCWE, MTCRE, MTCTCE, MTCINE, MTCUME

Alive Solutions & Voz e Dados

Tpicos a serem abordados

2. Instalando e configurando o User Manager

O MikroTik User Manager

PPP (PPTP, L2TP, PPPoE, etc)

Funciona em processadores x86, ou RouterBoards com MIPS, PowerPC e TILE.

A RouterBoard deve ter pelo menos 32 MB de RAM e 2 MB de espao livre no HD

O MikroTik User Manager

Um WISP tem geralmente uma equipe grande e muitas

A contratao e demisso de tcnicos acontece

constantemente. Como adicionar, alterar ou retirar acesso

Utilizando o User Manager podemos fazer isso facilmente.

rede e facilitar a adio e remoo de privilegio de

Gerenciar clientes PPPOE, VPN, Wireless e Hotspot

Como tudo acontece...

Usurio da equipe de TI tenta acessar um Router da rede (RouterOS).

Como tudo acontece...

O router que o usurio esta tentando logar consulta o User Manager.

Como tudo acontece...

Usurio da equipe de TI autentidado com sucesso no MikroTik.

Instalando o User Manager

Instalando o User Manager

Acesse o site da Mikrotik: http://www.mikrotik.com/download

Instalando o User Manager

Descompacte o pacote e copie para a RouterBoard o pacote do User Manager e a reinicie.

Para o User Manager instalar preciso que seja a mesma verso

Configurando o User Manager

Configurando o User Manager

interessante mudar essa senha imediatamente:

/tool user-manager customer set admin password=12344321

Configurando o User Manager

Defini um profile com nome: infra-admins

Configurando o User Manager

Configurando o User Manager

Criando usurios para acessar seus MikroTik RouterOS:

Usando a interface web, v no boto:

Assign profile: Define o profile do usurio.

Shared user: Quantas conexes simultneas

Configurando o User Manager

Configurando o User Manager

Para edio de scripts recomendo o aplicativo gratuito: Notepad ++

router add ip-address=10.0.0.1 shared-secret=12345 coa-port=1700 customer=admin name=router-01

Em Radius Server cadastre o servidor que

Configure aqui a senha que definimos em

add address=10.0.0.254 secret=12345 service=login

Existem 2 campos nessa janela que gostaria de comentar:

Lista de polticas permitidas:

reboot - poltica que permite reiniciar o roteador

certifique-se de permitir assim a poltica de leitura

criadas por outros usurios (requer tambm a poltica 'test').

winbox - poltica que concede direitos a logar-se remotamente via WinBox

sniff - poltica que concede direitos de usar a ferramenta packet sniffer.

Servidor VPN ou PPPoE

autenticando no User Manager

Primeiramente criamos um Pool de endereos que a

VPN server ou o PPPoE server usaro para atribuir aos

clientes que autenticarem no MikroTik.

user add address=1.1.1.1/32 comment="support local" group=full name=support.local password=12344321

Configure o Profile, definindo um nome um endereo