Dell Networking SONiC brugerrollebaseret adgangskontrol

Summary: Denne artikel beskriver rollebaseret adgangskontrol i Dell Networking SONiC.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Hvad er rollebaseret adgangskontrol?

Rollebaseret adgangskontrol (RBAC) giver kontrol for adgang og godkendelse. Brugere får tildelt tilladelse baseret på definerede roller. Administratoren kan oprette brugerroller, der er baseret på jobfunktioner, for at give brugere passende systemadgang.

RBAC har begrænsninger på hver rolles tilladelser, så du kan partitionere opgaver.
En brugerrolle godkender og godkender en bruger ved login og sætter brugeren i EXEC-tilstand.
Hver brugerrolle tildeler tilladelser, der bestemmer, hvilke kommandoer en bruger kan indtaste, og hvilke handlinger en bruger kan udføre. RBAC giver en effektiv måde at administrere brugerrettigheder på.


Brugerroller er tilgængelige i Dell Networking SONiC

Roller Tilladelse
Admin Administratorbrugeren har fuld læse-/skriveadgang til systemet. Det betyder, at den har fuld adgang til alle visningskommandoer, Linux shell og konfiguration. 
Operatør Operatøren har kun begrænset læseadgang til systemet. Det betyder, at den har adgang til nogle visningskommandoer, men kan ikke udføre nogen konfiguration i switchen.

BEMÆRK: Fra Dell SONiC 4.1 introduceres to nye brugerroller, og den samme bruger kan have flere roller.
 
Roller Tilladelse
Secadmin Secadmin-brugeren har adgang til alle sikkerhedsrelaterede kommandoer i systemet.
Netadmin Netadmin-brugeren har adgang til de konfigurationsfunktioner, der styrer den trafik, der strømmer gennem switchen.


Konfigurationssyntaks:

Konfiguration Forklaring
admin@DELLSONiC:~$ sonic-cli Indtast Dell SONiC CLI
DELLSONiC# konfigurer terminal Gå til konfigurationstilstand.
DELLSONiC(config)# brugernavn adgangskode rolle Konfigurere et brugernavn, en adgangskode og en rolle. 

Hvis du vil kontrollere rollen af den bruger, der er konfigureret, skal du bruge kommandoen Vis brugere, der er konfigureret. Denne kommando viser lokalt konfigurerede brugere og roller.
 
Eksempel på output: 
DELLSONiC # show users configured
----------------------------------------------------------------------
User                              Role(s)
----------------------------------------------------------------------
admin1                            admin
oper                              operator
Fra Dell SONiC 4.1 kan vi konfigurere flere roller til en enkelt bruger. Nedenfor vises et eksempel på, hvordan du konfigurerer flere roller til en enkelt bruger: 
DELLSONiC (config)# username testuser password testuser role operator,netadmin,secadmin
DELLSONiC(config)# exit

DELLSONiC # show users configured
----------------------------------------------------------------------
User                              Role(s)
----------------------------------------------------------------------
testuser                          netadmin,operator,secadmin

Eksempel:
For at forklare brugerrollerne opretter vi to brugere med forskellige roller:

  • Brugerfunktionen tildeles en operator-rolle
  • Bruger admin1 tildeles en administratorrolle


Log på med en operatørfunktion , som er operatørrollen .

BEMÆRK: Når vi logger på som operatør, secadmin eller netadmin-bruger, placeres vi i Dell Management Framework CLI.

Lad os logge ind på switchen som brugerfunktion, hvem der har operator-rollen. Vi kan bruge "? " for at se de kommandoer, der understøttes i en brugerrolle i en bestemt tilstand. 
sonic login: oper
Password:
Linux sonic 5.10.0-8-2-amd64 #1 SMP Debian 5.10.46-5 (2021-09-23) x86_64
You are on
  ____   ___  _   _ _  ____
/ ___| / _ \| \ | (_)/ ___|
\___ \| | | |  \| | | |
  ___) | |_| | |\  | | |___
|____/ \___/|_| \_|_|\____|

-- Software for Open Networking in the Cloud --

Unauthorized access and/or use are prohibited.
All access and/or use are subject to monitoring.

Help:    http://azure.github.io/SONiC/

sonic# ?
  copy         Perform file operations
  delete       Delete the file from local filesystem
  dir          Show folder contents
  exit         Exit from the CLI
  ls           Show folder contents
  ping         Send ICMP ECHO_REQUEST to network hosts
  ping6        Send ICMPv6 ECHO_REQUEST to network hosts
  show         Display running system information
  terminal     Set terminal settings
  traceroute   Print the route packets take to the host
  traceroute6  Print the route packets take to the IPv6 host
Brugerfunktionen har en operator-rolle. Operatøren har kun læseadgang til systemet. derfor kan brugerfunktionen ikke foretage nogen konfiguration. Desuden kan operatøren ikke køre alle visningskommandoer som en administratorbruger.
 
BEMÆRK: På Dell Networking SONiC 4.0.5 og tidligere versioner kan en bruger med operator-rollen gå i konfigurationstilstand. Men alle kommandoer, der udføres i konfigurationstilstand, afvises.

Eksempel på output: 
DELLSONiC# show version | grep Soft
Software Version  : 4.0.5-Enterprise_Base

DELLSONiC(config)# interface-naming standard 
% Error: Client is not authorized to perform this operation
DELLSONiC(config)# hostname DeLLSoNiC
% Error: Client is not authorized to perform this operation
DELLSONiC(config)# exit
DELLSONiC# clear logging 
DELLSONiC# show logging count
DELLSONiC# show audit-log 
%Error: Client is not authorized to perform this operation

DELLSONiC# show users
oper     ttyS0        2023-08-02 21:03
Dette kan også ses i overvågningslogfiler, som en bruger med administratorrollen kan få adgang til.


Log på med admin1 , som er administratorrollen.

BEMÆRK: Når der logges som administratorbruger, placeres vi i Linux Shell. Prompten er admin@sonic:~$. Vi skal bruge kommandoen sonic-cli til at få adgang til Dell Management Framework CLI. 
Debian GNU/Linux 10 DELLSONiC ttyS0

DELLSONiC login: admin1
Password: 
admin1@DELLSONiC:~$ sonic-cli
DELLSONiC# show version | grep Soft
Software Version  : 4.0.5-Enterprise_Base

DELLSONiC# show audit-log
Aug 02 21:06:01.052692+00:00 2023 DELLSONiC INFO mgmt-framework#clish[146]: User "admin1" command "startup" status - success
Aug 02 21:05:53.366544+00:00 2023 DELLSONiC INFO login[27960]: pam_unix(login:session): session opened for user admin1 by LOGIN(uid=0)
Aug 02 21:05:46.787657+00:00 2023 DELLSONiC INFO systemd[1]: Stopped Serial Getty on ttyS0.
Aug 02 21:05:46.203662+00:00 2023 DELLSONiC INFO login[4203]: pam_unix(login:session): session closed for user oper
Aug 02 21:05:45.855977+00:00 2023 DELLSONiC INFO mgmt-framework#clish[134]: User "oper" command "exit" status - success
Aug 02 21:05:09.966551+00:00 2023 DELLSONiC INFO mgmt-framework#clish[134]: User "oper" command "show users" status - success
Aug 02 21:04:52.730615+00:00 2023 DELLSONiC INFO mgmt-framework#clish[134]: User "oper" command "show audit-log" status - failure
Aug 02 21:04:46.843617+00:00 2023 DELLSONiC INFO mgmt-framework#clish[134]: User "oper" command "show logging count" status - success
Aug 02 21:04:43.031486+00:00 2023 DELLSONiC INFO mgmt-framework#clish[134]: User "oper" command "clear logging" status - success
Aug 02 21:04:39.074016+00:00 2023 DELLSONiC INFO mgmt-framework#clish[134]: User "oper" command "exit" status - success
Aug 02 21:04:26.504755+00:00 2023 DELLSONiC INFO mgmt-framework#clish[134]: User "oper" command "hostname DeLLSoNiC" status - failure
Aug 02 21:04:11.674915+00:00 2023 DELLSONiC INFO mgmt-framework#clish[134]: User "oper" command "interface-naming standard" status - failure


Log på med forkerte legitimationsoplysninger:

Lad os nu logge ind med forkerte legitimationsoplysninger for den admin1-bruger , der har administratorrollen.
 
BEMÆRK: Det er kun en administratorbruger, der kan få adgang til overvågningslogfiler.  
DELLSONiC login: admin1
Password:                            ==========>Wrong password is given

Login incorrect
DELLSONiC login: admin1
Password: 
Last login: Wed Aug  2 21:05:53 UTC 2023 on ttyS0
Linux DELLSONiC 4.19.0-9-2-amd64 #1 SMP Debian 4.19.118-2+deb10u1 (2020-06-07) x86_64
You are on
  ____   ___  _   _ _  ____
/ ___| / _ \| \ | (_)/ ___|
\___ \| | | |  \| | | |
  ___) | |_| | |\  | | |___
|____/ \___/|_| \_|_|\____|

-- Software for Open Networking in the Cloud --

Unauthorized access and/or use are prohibited.
All access and/or use are subject to monitoring.

Help:    http://azure.github.io/SONiC/
**Note the login failure for admin1
admin1@DELLSONiC:~$ sonic-cli

DELLSONiC# show audit-log
Aug 02 21:07:28.896480+00:00 2023 DELLSONiC INFO mgmt-framework#clish[155]: User "admin1" command "startup" status - success
Aug 02 21:07:20.219496+00:00 2023 DELLSONiC INFO login[7169]: pam_unix(login:session): session opened for user admin1 by LOGIN(uid=0)
Aug 02 21:07:12.635575+00:00 2023 DELLSONiC NOTICE login[7169]: FAILED LOGIN (1) on '/dev/ttyS0' FOR 'admin1', Authentication failure
Aug 02 21:07:08.763918+00:00 2023 DELLSONiC NOTICE login[7169]: pam_unix(login:auth): authentication failure; logname=LOGIN uid=0 euid=0 tty=/dev/ttyS0 ruser= rhost=  user=admin1

Affected Products

Enterprise SONiC Distribution, PowerSwitch E3200-ON Series, Dell EMC Networking N3200-ON, PowerSwitch S5212F-ON, PowerSwitch S5224F-ON, PowerSwitch S5232F-ON, PowerSwitch S5248F-ON, PowerSwitch S5296F-ON, PowerSwitch Z9100-ON, PowerSwitch Z9264F-ON , PowerSwitch Z9332F-ON, PowerSwitch Z9432F-ON ...
Article Properties
Article Number: 000216535
Article Type: How To
Last Modified: 19 Sep 2023
Version:  8
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.