Rollenbasierte Zugriffskontrolle für Dell Networking SONiC-Benutzer

Summary: In diesem Artikel wird die rollenbasierte Zugriffskontrolle in Dell Networking SONiC erläutert.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Was ist rollenbasierte Zugriffskontrolle?

Rollenbasierte Zugriffskontrolle (Role-Based Access Control, RBAC) bietet Kontrolle für Zugriff und Autorisierung. Benutzern werden Berechtigungen basierend auf definierten Rollen gewährt. Der Administrator kann Benutzerrollen erstellen, die auf Jobfunktionen basieren, um Benutzern den entsprechenden Systemzugriff zu ermöglichen.

RBAC legt Einschränkungen für die Berechtigungen jeder Rolle auf, damit Sie Aufgaben partitionieren können.
Eine Benutzerrolle authentifiziert und autorisiert einen Benutzer bei der Anmeldung und versetzt den Benutzer in den EXEC-Modus.
Jede Benutzerrolle weist Berechtigungen zu, die die Befehle bestimmen, die ein Benutzer eingeben kann, und die Aktionen, die ein Benutzer ausführen kann. RBAC bietet eine effiziente Möglichkeit, Benutzerrechte zu verwalten.


In Dell Networking SONiC verfügbare Benutzerrollen

Rollen Berechtigung
Admin Der Administratorbenutzer hat vollständigen Lese-/Schreibzugriff auf das System. Das bedeutet, dass er uneingeschränkten Zugriff auf alle Anzeigebefehle, Linux Shell und Konfiguration hat. 
Operator Der Operator hat nur eingeschränkten Lesezugriff auf das System. Das bedeutet, dass er Zugriff auf einige Show-Befehle hat, jedoch keine Konfiguration im Switch durchführen kann.

HINWEIS: Ab Dell SONiC 4.1 werden zwei neue Benutzerrollen eingeführt und derselbe Benutzer kann mehrere Rollen haben.
 
Rollen Berechtigung
Secadmin Der secadmin-Benutzer hat Zugriff auf alle sicherheitsrelevanten Befehle im System.
NetAdmin Der netadmin-Benutzer hat Zugriff auf die Konfigurationsfunktionen, die den Datenverkehr managen, der über den Switch fließt.


Konfigurationssyntax:

Konfiguration Erklärung
admin@DELLSONiC:~$ Sonic-CLI Dell SONiC CLI eingeben
DellSONiC# Terminal konfigurieren Wechseln Sie in den Konfigurationsmodus.
DellSONiC(config)# username password Role Konfigurieren Sie einen Benutzernamen, ein Passwort und eine Rolle. 

Um die Rolle des konfigurierten Benutzers zu überprüfen, verwenden Sie den Befehl show users configured. Dieser Befehl zeigt lokal konfigurierte Benutzer und Rollen an.
 
Beispielausgabe: 
DELLSONiC # show users configured
----------------------------------------------------------------------
User                              Role(s)
----------------------------------------------------------------------
admin1                            admin
oper                              operator
Ab Dell SONiC 4.1 können wir mehrere Rollen für einen einzelnen Benutzer konfigurieren. Im Folgenden finden Sie ein Beispiel für die Konfiguration mehrerer Rollen für einen einzelnen Benutzer: 
DELLSONiC (config)# username testuser password testuser role operator,netadmin,secadmin
DELLSONiC(config)# exit

DELLSONiC # show users configured
----------------------------------------------------------------------
User                              Role(s)
----------------------------------------------------------------------
testuser                          netadmin,operator,secadmin

Beispiel:
Zur Erläuterung der Benutzerrollen erstellen wir zwei Benutzer mit unterschiedlichen Rollen:

  • Der Benutzeroper wird eine Operatorrolle zugewiesen.
  • Benutzer admin1 wird eine Administratorrolle zugewiesen.


Melden Sie sich mit oper an, was der Operatorrolle entspricht.

HINWEIS: Bei der Anmeldung als Operator, secadmin- oder netadmin-Benutzer werden wir in der Dell Management Framework-CLI platziert.

Melden Sie sich beim Switch als Benutzer an, der über die Operatorrolle verfügt. Wir können " verwenden? ", um die befehle anzuzeigen, die in einer Benutzerrolle in einem bestimmten Modus unterstützt werden. 
sonic login: oper
Password:
Linux sonic 5.10.0-8-2-amd64 #1 SMP Debian 5.10.46-5 (2021-09-23) x86_64
You are on
  ____   ___  _   _ _  ____
/ ___| / _ \| \ | (_)/ ___|
\___ \| | | |  \| | | |
  ___) | |_| | |\  | | |___
|____/ \___/|_| \_|_|\____|

-- Software for Open Networking in the Cloud --

Unauthorized access and/or use are prohibited.
All access and/or use are subject to monitoring.

Help:    http://azure.github.io/SONiC/

sonic# ?
  copy         Perform file operations
  delete       Delete the file from local filesystem
  dir          Show folder contents
  exit         Exit from the CLI
  ls           Show folder contents
  ping         Send ICMP ECHO_REQUEST to network hosts
  ping6        Send ICMPv6 ECHO_REQUEST to network hosts
  show         Display running system information
  terminal     Set terminal settings
  traceroute   Print the route packets take to the host
  traceroute6  Print the route packets take to the IPv6 host
Die Benutzeroper hat eine Operatorrolle. Der Operator hat nur Lesezugriff auf das System. daher kann die Benutzeroper keine Konfiguration durchführen. Außerdem kann der Operator nicht alle Anzeigebefehle wie einen Administratorbenutzer ausführen.
 
HINWEIS: Auf Dell Networking SONiC 4.0.5 und früheren Versionen kann ein Benutzer mit der Rolle Operator in den Konfigurationsmodus wechseln. Aber jeder Befehl, der im Konfigurationsmodus ausgeführt wird, wird verweigert.

Beispielausgabe: 
DELLSONiC# show version | grep Soft
Software Version  : 4.0.5-Enterprise_Base

DELLSONiC(config)# interface-naming standard 
% Error: Client is not authorized to perform this operation
DELLSONiC(config)# hostname DeLLSoNiC
% Error: Client is not authorized to perform this operation
DELLSONiC(config)# exit
DELLSONiC# clear logging 
DELLSONiC# show logging count
DELLSONiC# show audit-log 
%Error: Client is not authorized to perform this operation

DELLSONiC# show users
oper     ttyS0        2023-08-02 21:03
Dies kann auch in Auditprotokollen angezeigt werden, auf die ein Benutzer mit administratorrolle zugreifen kann.


Melden Sie sich mit admin1 an, der Administratorrolle.

HINWEIS: Bei der Protokollierung als Administratorbenutzer werden wir in die Linux-Shell platziert. Die Eingabeaufforderung lautet admin@sonic:~$. Wir müssen den Befehl sonic-cli verwenden, um auf die Dell Management Framework CLI zuzugreifen. 
Debian GNU/Linux 10 DELLSONiC ttyS0

DELLSONiC login: admin1
Password: 
admin1@DELLSONiC:~$ sonic-cli
DELLSONiC# show version | grep Soft
Software Version  : 4.0.5-Enterprise_Base

DELLSONiC# show audit-log
Aug 02 21:06:01.052692+00:00 2023 DELLSONiC INFO mgmt-framework#clish[146]: User "admin1" command "startup" status - success
Aug 02 21:05:53.366544+00:00 2023 DELLSONiC INFO login[27960]: pam_unix(login:session): session opened for user admin1 by LOGIN(uid=0)
Aug 02 21:05:46.787657+00:00 2023 DELLSONiC INFO systemd[1]: Stopped Serial Getty on ttyS0.
Aug 02 21:05:46.203662+00:00 2023 DELLSONiC INFO login[4203]: pam_unix(login:session): session closed for user oper
Aug 02 21:05:45.855977+00:00 2023 DELLSONiC INFO mgmt-framework#clish[134]: User "oper" command "exit" status - success
Aug 02 21:05:09.966551+00:00 2023 DELLSONiC INFO mgmt-framework#clish[134]: User "oper" command "show users" status - success
Aug 02 21:04:52.730615+00:00 2023 DELLSONiC INFO mgmt-framework#clish[134]: User "oper" command "show audit-log" status - failure
Aug 02 21:04:46.843617+00:00 2023 DELLSONiC INFO mgmt-framework#clish[134]: User "oper" command "show logging count" status - success
Aug 02 21:04:43.031486+00:00 2023 DELLSONiC INFO mgmt-framework#clish[134]: User "oper" command "clear logging" status - success
Aug 02 21:04:39.074016+00:00 2023 DELLSONiC INFO mgmt-framework#clish[134]: User "oper" command "exit" status - success
Aug 02 21:04:26.504755+00:00 2023 DELLSONiC INFO mgmt-framework#clish[134]: User "oper" command "hostname DeLLSoNiC" status - failure
Aug 02 21:04:11.674915+00:00 2023 DELLSONiC INFO mgmt-framework#clish[134]: User "oper" command "interface-naming standard" status - failure


Melden Sie sich mit den falschen Anmeldeinformationen an:

Melden Sie sich jetzt mit den falschen Anmeldeinformationen für den Admin1-Benutzer an, der über die Administratorrolle verfügt.
 
HINWEIS: Nur ein Administratorbenutzer kann auf Auditprotokolle zugreifen.  
DELLSONiC login: admin1
Password:                            ==========>Wrong password is given

Login incorrect
DELLSONiC login: admin1
Password: 
Last login: Wed Aug  2 21:05:53 UTC 2023 on ttyS0
Linux DELLSONiC 4.19.0-9-2-amd64 #1 SMP Debian 4.19.118-2+deb10u1 (2020-06-07) x86_64
You are on
  ____   ___  _   _ _  ____
/ ___| / _ \| \ | (_)/ ___|
\___ \| | | |  \| | | |
  ___) | |_| | |\  | | |___
|____/ \___/|_| \_|_|\____|

-- Software for Open Networking in the Cloud --

Unauthorized access and/or use are prohibited.
All access and/or use are subject to monitoring.

Help:    http://azure.github.io/SONiC/
**Note the login failure for admin1
admin1@DELLSONiC:~$ sonic-cli

DELLSONiC# show audit-log
Aug 02 21:07:28.896480+00:00 2023 DELLSONiC INFO mgmt-framework#clish[155]: User "admin1" command "startup" status - success
Aug 02 21:07:20.219496+00:00 2023 DELLSONiC INFO login[7169]: pam_unix(login:session): session opened for user admin1 by LOGIN(uid=0)
Aug 02 21:07:12.635575+00:00 2023 DELLSONiC NOTICE login[7169]: FAILED LOGIN (1) on '/dev/ttyS0' FOR 'admin1', Authentication failure
Aug 02 21:07:08.763918+00:00 2023 DELLSONiC NOTICE login[7169]: pam_unix(login:auth): authentication failure; logname=LOGIN uid=0 euid=0 tty=/dev/ttyS0 ruser= rhost=  user=admin1

Affected Products

Enterprise SONiC Distribution, PowerSwitch E3200-ON Series, Dell EMC Networking N3200-ON, PowerSwitch S5212F-ON, PowerSwitch S5224F-ON, PowerSwitch S5232F-ON, PowerSwitch S5248F-ON, PowerSwitch S5296F-ON, PowerSwitch Z9100-ON, PowerSwitch Z9264F-ON , PowerSwitch Z9332F-ON, PowerSwitch Z9432F-ON ...
Article Properties
Article Number: 000216535
Article Type: How To
Last Modified: 19 Sep 2023
Version:  8
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.