概述
MikroTik RouterOS 路由器用户管理从任何 管理工具 连接路由器的用户。 使用本地数据库或指定的 RADIUS 服务器对用户进行身份验证。 每个用户都被分配到一个用户组,用户组表示该用户的权限。 组策略是单个策略项的组合。
如果使用 RADIUS 执行用户身份验证,应预先配置 RADIUS 客户端。
用户组
路由器用户组提供了一种方便的方式来为不同的用户类别分配不同的权限。
属性
| 属性 | 说明 |
|---|---|
| name (string; Default: ) | 用户组名称 |
| policy (local | telnet | ssh | ftp | reboot | read | write | policy | test | winbox | password | web | sniff | sensitive | api | romon | dude | tikapp; Default: none) | 允许的策略列表: 登录策略: - local - 授予通过控制台本地登录权限的策略 - telnet - 授予通过 telnet 远程登录权限的策略 - ssh - 授予登录权限的策略 通过安全外壳协议远程登录 - web - 授予通过 WebFig 远程登录权限的策略。 - winbox - 授予通过 WinBox 和带宽测试身份验证远程登录权限的策略 - password - 策略 授予更改密码的权限 - api - 授予通过 API 访问路由器的权限。 - tikapp - 授予通过 Tik-App 远程登录权限的策略。 - dude - 授予登录权限 进入dude服务器。 - ftp - 授予通过 FTP 远程登录、读/写/擦除文件以及从/向路由器传输文件的全部权限的策略。 应与读/写策略一起使用。 - romon - 授予连接到 RoMon 服务器的权限的策略。 配置策略: - reboot - 允许重启路由器的策略 - read - 授予对路由器配置的读取访问权限的策略。 允许所有不改变路由器配置的控制台命令。 不影响 FTP - write - 策略,该策略授予对路由器配置的写入权限,用户管理除外。 此策略不允许读取配置,因此请确保同时启用读取策略 -policy-授予用户管理权限的策略。 应与写策略一起使用。 还允许查看其他用户创建的全局变量(还需要“测试”策略)。 - test - 授予运行 ping、traceroute、带宽测试、无线扫描、窥探和其他测试命令的权限的策略 - sensitive - 授予更改“隐藏敏感”选项的权利,如果此策略被禁用,则不显示敏感信息。 - sniff - 授予使用数据包嗅探器工具的权限的策略。 |
| skin (name; Default: default) | WebFig 使用的皮肤 |
默认组
无法删除的系统组有以下三种:
[admin@MikroTik] > /user group print
0 name="read" policy=local,telnet,ssh,reboot,read,test,winbox,password,web,sniff,sensitive,api,romon,tikapp,!ftp,!write,!policy,!dude skin=default
1 name="write" policy=local,telnet,ssh,reboot,read,write,test,winbox,password,web,sniff,sensitive,api,romon,tikapp,!ftp,!policy,!dude skin=default
2 name="full" policy=local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,password,web,sniff,sensitive,api,romon,tikapp,!dude skin=default
请注意,即使是 read 组也包含 sensitive 、reboot 和其他重要策略,意味着不能把此组提供给不受信任的用户。 对于真正有限的组,创建一个自定义组,定义特定的策略。 所有组都可以访问文件操作。 感叹号 '!' 在策略项名称之前意味着 NOT。
路由器用户
路由器用户数据库存储路由器管理人员的用户名、密码、允许访问的地址、所属组等信息。
属性
| 属性 | 说明 |
|---|---|
| address (IP/mask | IPv6 prefix; Default: ) | 允许用户登录的主机或网络地址 |
| group (string; Default: ) | 用户所属组的名称 |
| last-logged-in (time and date; Default: "") | 只读字段。 用户上次登录的时间和日期。 |
| name (string; Default: ) | 用户名。 必须以字母数字字符开头,但它可以包含“*”、“_”、“.” 和“@”符号。 |
| password (string; Default: ) | 用户密码。 如果未指定,则留空(登录时按 [Enter])。 它符合标准的Unix密码特性,可以包含字母、数字、“*”和“_”符号。 |
注释
一个有完全访问权限的预定义用户:
[admin@MikroTik] user> print
Flags: X - disabled
# NAME GROUP ADDRESS LAST-LOGGED-IN
0 ;;; system default user
admin full 0.0.0.0/0 dec/08/2010 16:19:24
至少应该有一个用户有完全访问权限。 如果有完全访问权限的用户是唯一一个,则无法将其删除。
监控活跃用户
[admin@MikroTik] user> print
Flags: X - disabled
# NAME GROUP ADDRESS LAST-LOGGED-IN
0 ;;; system default user
admin full 0.0.0.0/0 dec/08/2010 16:19:24
该命令显示当前活跃的用户以及各自的统计信息。
属性
所有属性都是只读的。
| 属性 | 说明 |
|---|---|
| address (IP/IPv6 address) | 用户访问路由器的主机 IP/IPv6 地址。 0.0.0.0表示用户在本地登录 |
| group (string) | 用户所属的组。 |
| name (string) | 用户名 |
| radius (true | false) | 用户是否通过RADIUS服务器认证。 |
| via (local | telnet | ssh | winbox | api | web | tikapp | ftp | dude) | 用户访问方式 |
| when (time) | 用户登录的时间和日期。 |
远程 AAA
路由器用户远程 AAA 通过 RADIUS 服务器启用路由器用户身份验证和计费。 只有在本地用户数据库中找不到所需的用户名时,才会查询 RADIUS 用户数据库。
属性
| 属性 | 说明 |
|---|---|
| accounting (yes | no; Default: yes) | |
| exclude-groups (list of group names; Default: ) | Exclude-groups 包含不允许通过 radius 验证的用户的组。 如果 radius 服务器提供了一个在此列表中指定的组,将使用 default-group 代替。 这是为了防止一个用户(没有策略许可)以管理员身份登录可以更改 radius 服务器列表,设置自己的 radius 时的权限提升。 |
| default-group (string; Default: read) | 默认情况下用于通过 RADIUS 服务器验证的用户的用户组。 |
| interim-update (time; Default: 0s) | 临时更新时间间隔 |
| use-radius (yes | no; Default: no) | 通过 RADIUS 启用用户身份验证 |
如果用的是 RADIUS,需要在 RADIUS 服务器中启用 CHAP 支持才能使 WinBox 工作
SSH密钥
此菜单允许导入 ssh 身份验证的公钥。
如果添加了用户的 ssh-keys,则不允许用户用密码登录ssh
| 属性 | 说明 |
|---|---|
| key-owner (string) | |
| user (string; Default: ) | 分配ssh密钥的用户名 |
通过“/user ssh-keys import”导入 ssh 密钥时,系统会要求提供两个参数:
public-key-file - 包含密钥的路由器根目录中的文件名。
user - 分配密钥的用户名
私钥
此菜单用于导入和列出导入的私钥。 私钥用于验证远程设备的公钥。
只读属性:
| 属性 | 说明 |
|---|---|
| user (string) | |
| key-owner (string) |
当使用“/user ssh-keys private”从此Submenu导入 ssh 密钥时,导入命令会要求提供三个参数:
private-key-file - 包含私钥的路由器根目录中的文件名。
public-key-file - 包含公钥的路由器根目录中的文件名。
user - 分配密钥用户名