La creación de usuarios en un router Mikrotik es algo primordial para mantener nuestro sistema seguro, ya que podremos crear usuarios con diferentes prioridades.
No todos los usuarios necesariamente deben ingresar a todas las operaciones que se puedan realizar en un Router. Al momento de la creación de un usuario podremos asignarle los permisos necesarios como, acceso total o que sea un usuario de solo lectura, o si se desea ser más detallado se podrá configurar los tipos de servicios a los que el usuario puede acceder
Mikrotik / RouterOS provee la facilidad de que los usuarios puedan conectarse al router desde:
• la consola local
• vía terminal serial
• vía telnet / ssh
• Winbox / WebFig
Los usuarios:
Los usuarios se autentican utilizando ya sea la base da datos local del router, o a través de un RADIUS Server designado.
Cada usuario se asigna a un grupo de usuario (user group), en el cual se definen los derechos/permisos que posee dicho usuario. Una política de grupo (group policy) es una combinación de diferentes políticas individuales cuando la autenticación del usuario se realiza a través de RADIUS, se debe configurar previamente el Cliente RADIUS.
Grupos de Usuario (User Group)
A través de esta opción se pueden asignar los diferentes permisos y derechos de acceso a los diferentes tipos de usuarios.
Estas son las diferentes opciones que vamos a encontrar cuando vamos a crear un nuevo grupo de usuarios:
- name (string; Default: ) – Permite definir el nombre del Grupo de Usuario (user group)
- local – Política que concede derechos para hacer log in localmente vía consola
- telnet – Política que concede derechos para hacer log in remotamente vía telnet
- ssh – Política que concede derechos para hacer log in remotamente vía secure shell protocol
- ftp – Política que concede derechos para hacer log in remotamente vía FTP y para transferir archivos desde y hacia al router.
- reboot – Política que permite hacer reboot al router
- o read – Política que concede accesos de lectura (read) a la configuración del router. Se permiten todos los comando de consola que no alteran la configuración del router. No afecta al FTP
- write – Política que concede accesos de escritura (write) a la configuración del router, excepto para la administración de usuario (user management). Esta política no permite leer la configuración, por lo que debe asegurarse de también habilitar las política de lectura (read)
- policy – Política que concede los derechos de administración de usuario (management rights). Debería utilizarse junto con la política de escritura (write). Permite también ver las variables globales creadas por otros usuarios (requiere también la política test)
- o test – Política que concede los derechos para ejecutar ping, traceroute, bandwidth-test, wireless scan, sniffer, snooper y otros comandos de prueba (test)
- web – Política que concede derechos para hacer log in remotamente vía WebBox
- o winbox – Política que concede derechos para hacer log in remotamente vía WinBox
- o password – Política que concede derechos para cambiar la contraseña (password)
- sensitive – Concede los derechos para ver información sensitiva en el router.
- api – Concede derechos para accesar al router vía API
- sniff – Política que concede derechos para usar la herramienta packet sniffer.
Existen tres Grupos de Systema (system group) que no pueden ser eliminados: read, write y full
