Dell Networking SONiC – rollenbasierte Zugriffskontrolle für Nutzer

Zusammenfassung: In diesem Artikel wird die rollenbasierte Zugriffskontrolle in Dell Networking SONiC erläutert.

Dieser Artikel gilt für Dieser Artikel gilt nicht für Dieser Artikel ist nicht an ein bestimmtes Produkt gebunden. In diesem Artikel werden nicht alle Produktversionen aufgeführt.
Andere Ressourcen ansehen

Weisungen

Was ist rollenbasierte Zugriffskontrolle?

Die rollenbasierte Zugriffskontrolle (Role-Based Access Control, RBAC) bietet Kontrolle über den Zugriff und die Autorisierung. Nutzern werden Berechtigungen basierend auf definierten Rollen gewährt. Der Administrator kann Nutzerrollen erstellen, die auf Jobfunktionen basieren, um Nutzern entsprechenden Systemzugriff zu gewähren.

RBAC schränkt die Berechtigungen der einzelnen Rollen ein, damit Sie Aufgaben partitionieren können.
Eine Nutzerrolle authentifiziert und autorisiert einen Nutzer bei der Anmeldung und versetzt ihn in den EXEC-Modus.
Jede Nutzerrolle weist Berechtigungen zu, die bestimmen, welche Befehle ein Nutzer eingeben und welche Aktionen ein Nutzer ausführen kann. RBAC bietet eine effiziente Möglichkeit, Nutzerrechte zu verwalten.



In Dell Networking SONiC verfügbare Nutzerrollen

Rollen Berechtigung
Admin Der Admin-Nutzer verfügt über vollständigen Lese-/Schreibzugriff auf das System. Das bedeutet, dass es vollen Zugriff auf alle show-Befehle, die Linux-Shell und die Konfiguration hat. 
Operator Der Bediener hat nur eingeschränkten Lesezugriff auf das System. Das bedeutet, dass er Zugriff auf einige show-Befehle hat, jedoch keine Konfiguration im Switch durchführen kann.
 
HINWEIS: Ab Dell SONiC 4.1 werden zwei neue Nutzerrollen eingeführt. Ein und derselbe Nutzer kann mehrere Rollen haben.
 
Rollen Berechtigung
Secadmin Der secadmin-Nutzer hat Zugriff auf alle sicherheitsrelevanten Befehle im System.
Netadmin Der Netadmin-Nutzer hat Zugriff auf die Konfigurationsfunktionen, die den Datenverkehr durch den Switch managen.



Konfigurationssyntax:

Konfiguration Erklärung
admin@DELLSONiC:~$ sonic-cli Hier kommt die Dell SONiC-CLI ins Spiel
DELLSONiC# Terminal konfigurieren Wechseln Sie in den Konfigurationsmodus.
DELLSONiC(config)# username <username> password <> password role <admin/operator/secadmin/netadmin> Konfigurieren Sie einen Nutzernamen, ein Kennwort und eine Rolle. 


Um die Rolle des konfigurierten Nutzers zu überprüfen, verwenden Sie den Befehl show users configured. Mit diesem Befehl werden lokal konfigurierte und Remotenutzer angezeigt, die sich beim Switch angemeldet haben. Der Switch speichert das Kennwort des Remote-Nutzers nicht.
 
Beispielausgabe 
DELLSONiC # show users configured
----------------------------------------------------------------------
User                              Role(s)
----------------------------------------------------------------------
admin1                            admin
oper                              operator

Ab Dell SONiC 4.1 können wir mehrere Rollen für einen einzelnen Nutzer konfigurieren. Im Folgenden finden Sie ein Beispiel für die Konfiguration mehrerer Rollen für einen einzelnen Nutzer: 
DELLSONiC (config)# username testuser password testuser role operator,netadmin,secadmin
DELLSONiC(config)# exit

DELLSONiC # show users configured
----------------------------------------------------------------------
User                              Role(s)
----------------------------------------------------------------------
testuser                          netadmin,operator,secadmin


 

Beispiel

Zur Erläuterung der Nutzerrollen erstellen wir zwei Nutzer mit unterschiedlichen Rollen:

  • Dem Nutzer oper wird eine Operatorrolle zugewiesen
  • NutzerIn admin1 ist eine Administratorrolle zugewiesen.

Beispielkonfiguration 
admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# username oper password oper role operator
DELLSONiC(config)# username admin1 password admin1 role admin
 


Melden Sie sich mit oper an, das ist die Operator-Rolle.

HINWEIS: Wenn Sie sich als Operator, secadmin oder netadmin-Nutzer anmelden, befinden wir uns in der Dell Management Framework CLI.

Melden Sie sich beim Switch als Nutzer mit der Rolle "Operator" an. Wir können " ? ", um die Befehle anzuzeigen, die in einer Benutzerrolle in einem bestimmten Modus unterstützt werden.

Beispielausgabe 
sonic login: oper
Password:
Linux sonic 5.10.0-8-2-amd64 #1 SMP Debian 5.10.46-5 (2021-09-23) x86_64
You are on
  ____   ___  _   _ _  ____
/ ___| / _ \| \ | (_)/ ___|
\___ \| | | |  \| | | |
  ___) | |_| | |\  | | |___
|____/ \___/|_| \_|_|\____|

-- Software for Open Networking in the Cloud --

Unauthorized access and/or use are prohibited.
All access and/or use are subject to monitoring.

Help:    http://azure.github.io/SONiC/

sonic# ?
  copy         Perform file operations
  delete       Delete the file from local filesystem
  dir          Show folder contents
  exit         Exit from the CLI
  ls           Show folder contents
  ping         Send ICMP ECHO_REQUEST to network hosts
  ping6        Send ICMPv6 ECHO_REQUEST to network hosts
  show         Display running system information
  terminal     Set terminal settings
  traceroute   Print the route packets take to the host
  traceroute6  Print the route packets take to the IPv6 host
Der Nutzer oper hat eine Operatorrolle. Der Bediener hat nur Lesezugriff auf das System; Daher kann der Nutzer oper keine Konfiguration durchführen. Außerdem kann der Operator nicht alle show-Befehle wie ein Admin-Nutzer ausführen.

 
HINWEIS: Auf Dell Networking SONiC 4.0.5 und früheren Versionen kann ein Nutzer mit der Rolle "Operator" in den Konfigurationsmodus wechseln. Aber jeder Befehl, der im Konfigurationsmodus ausgeführt wird, wird verweigert.

Beispielausgabe

Die folgende Beispielausgabe zeigt, dass der Konfigurationsmodus für einen Nutzer mit Operatorrolle in 4.0.5 zugänglich ist. Der Nutzer kann jedoch keine Konfigurationsänderungen vornehmen 
DELLSONiC# show version | grep Soft
Software Version  : 4.0.5-Enterprise_Base

DELLSONiC# configure
DELLSONiC(config)# interface-naming standard 
% Error: Client is not authorized to perform this operation
DELLSONiC(config)# hostname test
% Error: Client is not authorized to perform this operation
DELLSONiC(config)# exit
DELLSONiC# clear logging 
DELLSONiC# show logging count

DELLSONiC# show users
oper     ttyS0        2023-08-02 21:03

 

Dieses Verhalten wurde in Version 4.1 geändert, bei der einem Nutzer mit Operator-Rolle der Aufruf des Konfigurationsmodus verweigert wird.

DELLSONiC# show version | grep Soft
Software Version  : 4.1.0-Enterprise_Base

DELLSONiC# configure
         ^
% Error: Invalid input detected at "^" marker.

DELLSONiC# show users 
oper ttyS0 2023-08-02 22:10



Melden Sie sich mit admin1 an, das ist die Administratorrolle.

HINWEIS: Wenn Sie sich als Admin-Benutzer anmelden, befinden wir uns in der Linux-Shell. Die Eingabeaufforderung lautet admin@sonic:~$. Wir müssen den Befehl sonic-cli verwenden, um auf die Dell Management Framework CLI zuzugreifen.

Beispielausgabe 
Debian GNU/Linux 10 DELLSONiC ttyS0

DELLSONiC login: admin1
Password: 
admin1@DELLSONiC:~$ sonic-cli
DELLSONiC# show version | grep Soft
Software Version  : 4.0.5-Enterprise_Base

DELLSONiC# show audit-log
Aug 02 21:06:01.052692+00:00 2023 DELLSONiC INFO mgmt-framework#clish[146]: User "admin1" command "startup" status - success
Aug 02 21:05:53.366544+00:00 2023 DELLSONiC INFO login[27960]: pam_unix(login:session): session opened for user admin1 by LOGIN(uid=0)
Aug 02 21:05:46.787657+00:00 2023 DELLSONiC INFO systemd[1]: Stopped Serial Getty on ttyS0.
Aug 02 21:05:46.203662+00:00 2023 DELLSONiC INFO login[4203]: pam_unix(login:session): session closed for user oper
Aug 02 21:05:45.855977+00:00 2023 DELLSONiC INFO mgmt-framework#clish[134]: User "oper" command "exit" status - success
Aug 02 21:05:09.966551+00:00 2023 DELLSONiC INFO mgmt-framework#clish[134]: User "oper" command "show users" status - success
Aug 02 21:04:52.730615+00:00 2023 DELLSONiC INFO mgmt-framework#clish[134]: User "oper" command "show audit-log" status - failure
Aug 02 21:04:46.843617+00:00 2023 DELLSONiC INFO mgmt-framework#clish[134]: User "oper" command "show logging count" status - success
Aug 02 21:04:43.031486+00:00 2023 DELLSONiC INFO mgmt-framework#clish[134]: User "oper" command "clear logging" status - success
Aug 02 21:04:39.074016+00:00 2023 DELLSONiC INFO mgmt-framework#clish[134]: User "oper" command "exit" status - success
Aug 02 21:04:26.504755+00:00 2023 DELLSONiC INFO mgmt-framework#clish[134]: User "oper" command "hostname DeLLSoNiC" status - failure
Aug 02 21:04:11.674915+00:00 2023 DELLSONiC INFO mgmt-framework#clish[134]: User "oper" command "interface-naming standard" status - failure



Melden Sie sich mit den falschen Zugangsdaten an:

Melden Sie sich nun mit den falschen Zugangsdaten für den Nutzer admin1 mit der Administratorrolle an.

Beispielausgabe 
DELLSONiC login: admin1
Password:                            ==========>Wrong password is given

Login incorrect
DELLSONiC login: admin1
Password: 
Last login: Wed Aug  2 21:05:53 UTC 2023 on ttyS0
Linux DELLSONiC 4.19.0-9-2-amd64 #1 SMP Debian 4.19.118-2+deb10u1 (2020-06-07) x86_64
You are on
  ____   ___  _   _ _  ____
/ ___| / _ \| \ | (_)/ ___|
\___ \| | | |  \| | | |
  ___) | |_| | |\  | | |___
|____/ \___/|_| \_|_|\____|

-- Software for Open Networking in the Cloud --

Unauthorized access and/or use are prohibited.
All access and/or use are subject to monitoring.

Help:    http://azure.github.io/SONiC/
**Note the login failure for admin1
admin1@DELLSONiC:~$ sonic-cli

DELLSONiC# show audit-log
Aug 02 21:07:28.896480+00:00 2023 DELLSONiC INFO mgmt-framework#clish[155]: User "admin1" command "startup" status - success
Aug 02 21:07:20.219496+00:00 2023 DELLSONiC INFO login[7169]: pam_unix(login:session): session opened for user admin1 by LOGIN(uid=0)
Aug 02 21:07:12.635575+00:00 2023 DELLSONiC NOTICE login[7169]: FAILED LOGIN (1) on '/dev/ttyS0' FOR 'admin1', Authentication failure
Aug 02 21:07:08.763918+00:00 2023 DELLSONiC NOTICE login[7169]: pam_unix(login:auth): authentication failure; logname=LOGIN uid=0 euid=0 tty=/dev/ttyS0 ruser= rhost=  user=admin1

Weitere Informationen

Weitere Informationen finden Sie in diesem Video:

Rollenbasierte SONiC-Zugriffskontrolle (RBAC)

Dauer: 00:03:27 (hh:mm:ss)
Wenn verfügbar, können Spracheinstellungen für Untertitel über das CC-Symbol in diesem Videoplayer ausgewählt werden.

Sie können sich dieses Video auch auf YouTube ansehen.

 

Betroffene Produkte

Enterprise SONiC Distribution, PowerSwitch E3200-ON Series, Dell EMC Networking N3200-ON, PowerSwitch S5212F-ON, PowerSwitch S5224F-ON, PowerSwitch S5232F-ON, PowerSwitch S5248F-ON, PowerSwitch S5296F-ON, PowerSwitch Z9100-ON, PowerSwitch Z9264F-ON , PowerSwitch Z9332F-ON, PowerSwitch Z9432F-ON ...
Artikeleigenschaften
Artikelnummer: 000216535
Artikeltyp: How To
Zuletzt geändert: 05 Jan. 2026
Version:  9
Antworten auf Ihre Fragen erhalten Sie von anderen Dell NutzerInnen
Support Services
Prüfen Sie, ob Ihr Gerät durch Support Services abgedeckt ist.