Řízení přístupu uživatele Dell Networking SONiC na základě role-based
Summary: Tento článek popisuje řízení přístupu na základě rolí v rozhraní Dell Networking SONiC.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Co je řízení přístupu na základě rolí?
Řízení přístupu na základě rolí (RBAC) poskytuje řízení přístupu a autorizace. Uživatelům jsou udělena oprávnění na základě definovaných rolí. Správce může vytvořit uživatelské role založené na pracovních funkcích, aby uživatelům umožnil odpovídající přístup k systému.RBAC omezuje oprávnění jednotlivých rolí, aby bylo možné rozdělit úlohy na oddíly.
Role uživatele ověřuje a autorizuje uživatele při přihlášení a přepne uživatele do režimu EXEC.
Každá role uživatele přiřazuje oprávnění, která určují příkazy, které může uživatel zadávat, a akce, které může uživatel provádět. RBAC poskytuje efektivní způsob správy uživatelských práv.
Uživatelské role dostupné v rozhraní Dell Networking SONiC
| Roles | Permission |
|---|---|
| Admin | Uživatel admin má plný přístup pro čtení a zápis do systému. To znamená, že má úplný přístup ke všem příkazům show, prostředí Linux a konfiguraci. |
| Operátor | Obsluha má pouze omezený přístup pro čtení do systému. To znamená, že má přístup k některým příkazům show, ale nemůže v přepínači provádět žádnou konfiguraci. |
POZNÁMKA: Od verze Dell SONiC 4.1 jsou zavedeny dvě nové uživatelské role a stejný uživatel může mít více rolí.
| Roles | Permission |
|---|---|
| Sekadmin | Uživatel secadmin má přístup ke všem příkazům souvisejícím se zabezpečením v systému. |
| Netadmin | Uživatel netadmin má přístup ke konfiguračním funkcím, které spravují provoz procházející přepínačem. |
Syntaxe konfigurace:
| Configuration | Vysvětlení |
|---|---|
| admin@DELLSONiC:~$ sonic-cli | Přejděte do rozhraní CLI Dell SONiC. |
| Konfigurace terminálu DELLSONiC# | Spuštění konfiguračního režimu. |
| DELLSONiC(config)#; username<, username>, heslo<>, role<, admin/operator/secadmin/netadmin> | Nakonfigurujte uživatelské jméno, heslo a roli. |
Chcete-li ověřit roli nakonfigurovaného uživatele, použijte příkaz show users configured. Tento příkaz zobrazí místně nakonfigurované a vzdálené uživatele, kteří se přihlásili k přepínači. Přepínač neukládá hesla vzdálených uživatelů.
Ukázkový výstup
DELLSONiC # show users configured ---------------------------------------------------------------------- User Role(s) ---------------------------------------------------------------------- admin1 admin oper operator
Od verze Dell SONiC 4.1 můžeme nakonfigurovat více rolí pro jednoho uživatele. Níže je uveden příklad, jak nakonfigurovat více rolí pro jednoho uživatele:
DELLSONiC (config)# username testuser password testuser role operator,netadmin,secadmin DELLSONiC(config)# exit DELLSONiC # show users configured ---------------------------------------------------------------------- User Role(s) ---------------------------------------------------------------------- testuser netadmin,operator,secadmin
Příklad
Abychom vysvětlili uživatelské role, vytváříme dva uživatele s různými rolemi:
- Uživateli oper je přiřazena role operátora.
- Uživateli admin1 je přiřazena role správce.
Ukázková konfigurace
admin@DELLSONiC:~$ sonic-cli DELLSONiC# configure DELLSONiC(config)# username oper password oper role operator DELLSONiC(config)# username admin1 password admin1 role admin
Přihlaste se pomocí oper, což je role operátora.
POZNÁMKA: Když se přihlásíte jako uživatel typu operator, secadmin nebo netadmin, přejdeme do rozhraní příkazového řádku Dell Management Framework.
Přihlašme se k přepínači jako uživatel oper, který má roli operátora. Můžeme použít " ? " zobrazíte příkazy podporované v roli uživatele v konkrétním režimu.
Ukázkový výstup
sonic login: oper Password: Linux sonic 5.10.0-8-2-amd64 #1 SMP Debian 5.10.46-5 (2021-09-23) x86_64 You are on ____ ___ _ _ _ ____ / ___| / _ \| \ | (_)/ ___| \___ \| | | | \| | | | ___) | |_| | |\ | | |___ |____/ \___/|_| \_|_|\____| -- Software for Open Networking in the Cloud -- Unauthorized access and/or use are prohibited. All access and/or use are subject to monitoring. Help: http://azure.github.io/SONiC/ sonic# ? copy Perform file operations delete Delete the file from local filesystem dir Show folder contents exit Exit from the CLI ls Show folder contents ping Send ICMP ECHO_REQUEST to network hosts ping6 Send ICMPv6 ECHO_REQUEST to network hosts show Display running system information terminal Set terminal settings traceroute Print the route packets take to the host traceroute6 Print the route packets take to the IPv6 hostUser oper má roli operátora. Obsluha má do systému pouze přístup pro čtení; Proto uživatel oper nemůže provádět žádnou konfiguraci. Operátor také nemůže spustit všechny příkazy show jako uživatel admin.
POZNÁMKA: U řešení Dell Networking SONiC 4.0.5 a starších verzí může uživatel s rolí operátora přejít do režimu konfigurace. Jakýkoli příkaz provedený v režimu konfigurace je však odepřen.
Ukázkový výstup
Níže uvedené ukázkové výstupy ukazují, že konfigurační režim je přístupný pro uživatele s rolí operátora ve verzi 4.0.5. Uživatel však nemůže provést žádnou změnu konfigurace
DELLSONiC# show version | grep Soft Software Version : 4.0.5-Enterprise_Base DELLSONiC# configure DELLSONiC(config)# interface-naming standard % Error: Client is not authorized to perform this operation DELLSONiC(config)# hostname test % Error: Client is not authorized to perform this operation DELLSONiC(config)# exit DELLSONiC# clear logging DELLSONiC# show logging count DELLSONiC# show users oper ttyS0 2023-08-02 21:03
Toto chování je ve verzi 4.1 upraveno, kde je uživateli s rolí operátora odepřen vstup do režimu konfigurace.
DELLSONiC# show version | grep Soft
Software Version : 4.1.0-Enterprise_Base
DELLSONiC# configure
^
% Error: Invalid input detected at "^" marker.
DELLSONiC# show users
oper ttyS0 2023-08-02 22:10
Přihlaste se pomocí admin1, což je role Administrator.
POZNÁMKA: Při přihlášení jako admin uživatel jsme umístěni do linuxového shellu. Výzva je admin@sonic:~$. Pro přístup k rozhraní příkazového řádku Dell Management Framework musíme použít příkaz sonic-cli .
Ukázkový výstup
Ukázkový výstup
Debian GNU/Linux 10 DELLSONiC ttyS0 DELLSONiC login: admin1 Password: admin1@DELLSONiC:~$ sonic-cli DELLSONiC# show version | grep Soft Software Version : 4.0.5-Enterprise_Base DELLSONiC# show audit-log Aug 02 21:06:01.052692+00:00 2023 DELLSONiC INFO mgmt-framework#clish[146]: User "admin1" command "startup" status - success Aug 02 21:05:53.366544+00:00 2023 DELLSONiC INFO login[27960]: pam_unix(login:session): session opened for user admin1 by LOGIN(uid=0) Aug 02 21:05:46.787657+00:00 2023 DELLSONiC INFO systemd[1]: Stopped Serial Getty on ttyS0. Aug 02 21:05:46.203662+00:00 2023 DELLSONiC INFO login[4203]: pam_unix(login:session): session closed for user oper Aug 02 21:05:45.855977+00:00 2023 DELLSONiC INFO mgmt-framework#clish[134]: User "oper" command "exit" status - success Aug 02 21:05:09.966551+00:00 2023 DELLSONiC INFO mgmt-framework#clish[134]: User "oper" command "show users" status - success Aug 02 21:04:52.730615+00:00 2023 DELLSONiC INFO mgmt-framework#clish[134]: User "oper" command "show audit-log" status - failure Aug 02 21:04:46.843617+00:00 2023 DELLSONiC INFO mgmt-framework#clish[134]: User "oper" command "show logging count" status - success Aug 02 21:04:43.031486+00:00 2023 DELLSONiC INFO mgmt-framework#clish[134]: User "oper" command "clear logging" status - success Aug 02 21:04:39.074016+00:00 2023 DELLSONiC INFO mgmt-framework#clish[134]: User "oper" command "exit" status - success Aug 02 21:04:26.504755+00:00 2023 DELLSONiC INFO mgmt-framework#clish[134]: User "oper" command "hostname DeLLSoNiC" status - failure Aug 02 21:04:11.674915+00:00 2023 DELLSONiC INFO mgmt-framework#clish[134]: User "oper" command "interface-naming standard" status - failure
Přihlaste se pomocí chybných přihlašovacích údajů:
Nyní se přihlásíme pomocí nesprávných přihlašovacích údajů uživatele admin1 , který má roli správce.
Ukázkový výstup
DELLSONiC login: admin1 Password: ==========>Wrong password is given Login incorrect DELLSONiC login: admin1 Password: Last login: Wed Aug 2 21:05:53 UTC 2023 on ttyS0 Linux DELLSONiC 4.19.0-9-2-amd64 #1 SMP Debian 4.19.118-2+deb10u1 (2020-06-07) x86_64 You are on ____ ___ _ _ _ ____ / ___| / _ \| \ | (_)/ ___| \___ \| | | | \| | | | ___) | |_| | |\ | | |___ |____/ \___/|_| \_|_|\____| -- Software for Open Networking in the Cloud -- Unauthorized access and/or use are prohibited. All access and/or use are subject to monitoring. Help: http://azure.github.io/SONiC/ **Note the login failure for admin1 admin1@DELLSONiC:~$ sonic-cli DELLSONiC# show audit-log Aug 02 21:07:28.896480+00:00 2023 DELLSONiC INFO mgmt-framework#clish[155]: User "admin1" command "startup" status - success Aug 02 21:07:20.219496+00:00 2023 DELLSONiC INFO login[7169]: pam_unix(login:session): session opened for user admin1 by LOGIN(uid=0) Aug 02 21:07:12.635575+00:00 2023 DELLSONiC NOTICE login[7169]: FAILED LOGIN (1) on '/dev/ttyS0' FOR 'admin1', Authentication failure Aug 02 21:07:08.763918+00:00 2023 DELLSONiC NOTICE login[7169]: pam_unix(login:auth): authentication failure; logname=LOGIN uid=0 euid=0 tty=/dev/ttyS0 ruser= rhost= user=admin1
Additional Information
Podívejte se na toto video:
Řízení přístupu na základě role (RBAC) SONiC
Délka: 00:03:27 (hh:mm:ss)
Je-li k dispozici, lze jazyková nastavení titulků (titulků) zvolit pomocí ikony CC v tomto přehrávači videa.
Toto video můžete také zhlédnout na YouTube.
Affected Products
Enterprise SONiC Distribution, PowerSwitch E3200-ON Series, Dell EMC Networking N3200-ON, PowerSwitch S5212F-ON, PowerSwitch S5224F-ON, PowerSwitch S5232F-ON, PowerSwitch S5248F-ON, PowerSwitch S5296F-ON, PowerSwitch Z9100-ON, PowerSwitch Z9264F-ON
, PowerSwitch Z9332F-ON, PowerSwitch Z9432F-ON
...
Article Properties
Article Number: 000216535
Article Type: How To
Last Modified: 05 Jan 2026
Version: 9
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.