Contrôle d’accès basé sur les rôles de l’utilisateur DELL Networking SONiC
Summary: Cet article explique comment contrôler l’accès basé sur les rôles dans dell Networking SONiC.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Qu’est-ce qu’un contrôle d’accès basé sur les rôles?
Le contrôle d’accès basé sur les rôles (RBAC) permet de contrôler l’accès et l’autorisation. Les utilisateurs bénéficient d’une autorisation en fonction des rôles définis. L’administrateur peut créer des rôles d’utilisateur basés sur des fonctions de tâche pour permettre aux utilisateurs d’accéder au système approprié.RBAC place des limites sur les autorisations de chaque rôle pour vous permettre de partitionner des tâches.
Un rôle d’utilisateur s’authentifie et autorise un utilisateur lors de la connexion et place l’utilisateur en mode EXEC.
Chaque rôle d’utilisateur attribue des autorisations qui déterminent les commandes qu’un utilisateur peut saisir, ainsi que les actions qu’un utilisateur peut effectuer. Le RBAC permet d’administrer efficacement les droits des utilisateurs.
Rôles d’utilisateur disponibles dans Dell Networking SONiC
| Rôles | Autorisation |
|---|---|
| Administrateur | L’utilisateur administrateur dispose d’un accès en lecture/écriture complet au système. Cela signifie qu’il dispose d’un accès complet à toutes les commandes show, au shell Linux et à la configuration. |
| Opérateur | L’opérateur dispose uniquement d’un accès en lecture limité au système. Cela signifie qu’il a accès à certaines commandes show, mais ne peut pas effectuer de configuration dans le commutateur. |
Remarque : À partir de Dell SONiC 4.1, deux nouveaux rôles d’utilisateur sont introduits et le même utilisateur peut avoir plusieurs rôles.
| Rôles | Autorisation |
|---|---|
| Sécadmin | L’utilisateur secadmin a accès à toutes les commandes liées à la sécurité du système. |
| Administrateur réseau | L’utilisateur netadmin a accès aux fonctions de configuration qui gèrent le trafic transitant par le commutateur. |
Syntaxe de configuration:
| Configuration | Explication |
|---|---|
| admin@DELLSONiC:~$ sonic-cli | Accédez à l’interface de ligne de commande Dell SONiC |
| DELLSONiC# configurer le terminal | Accéder au mode de configuration. |
| Nom d’utilisateur DELLSONiC(config)# mot de passe rôle | Configurez un nom d’utilisateur, un mot de passe et un rôle. |
Pour vérifier le rôle de l’utilisateur configuré, utilisez la commande show users configured. Cette commande affiche l’utilisateur et les rôles configurés localement.
Exemple de sortie :
DELLSONiC # show users configured ---------------------------------------------------------------------- User Role(s) ---------------------------------------------------------------------- admin1 admin oper operatorÀ partir de Dell SONiC 4.1, nous pouvons configurer plusieurs rôles en un seul utilisateur. Vous trouverez ci-dessous un exemple de configuration de plusieurs rôles pour un seul utilisateur:
DELLSONiC (config)# username testuser password testuser role operator,netadmin,secadmin DELLSONiC(config)# exit DELLSONiC # show users configured ---------------------------------------------------------------------- User Role(s) ---------------------------------------------------------------------- testuser netadmin,operator,secadmin
Exemple:
Pour expliquer les rôles d’utilisateur, nous créons deux utilisateurs avec des rôles différents:
- Un rôle d’opérateur est attribué à l’opérateur de l’opérateur
- Un rôle d’administrateur est attribué à l’utilisateur admin1
Connectez-vous à l’opérateur qui est le rôle d’opérateur .
Remarque : Lorsque vous vous connectez en tant qu’opérateur, secadmin ou utilisateur netadmin, nous sommes placés dans la CLI Dell Management Framework.
Connectez-vous au commutateur en tant qu’utilisateur exploitant le rôle d’opérateur. Nous pouvons utiliser « ? » » pour afficher les commandes prises en charge dans un rôle d’utilisateur dans un mode spécifique.
sonic login: oper Password: Linux sonic 5.10.0-8-2-amd64 #1 SMP Debian 5.10.46-5 (2021-09-23) x86_64 You are on ____ ___ _ _ _ ____ / ___| / _ \| \ | (_)/ ___| \___ \| | | | \| | | | ___) | |_| | |\ | | |___ |____/ \___/|_| \_|_|\____| -- Software for Open Networking in the Cloud -- Unauthorized access and/or use are prohibited. All access and/or use are subject to monitoring. Help: http://azure.github.io/SONiC/ sonic# ? copy Perform file operations delete Delete the file from local filesystem dir Show folder contents exit Exit from the CLI ls Show folder contents ping Send ICMP ECHO_REQUEST to network hosts ping6 Send ICMPv6 ECHO_REQUEST to network hosts show Display running system information terminal Set terminal settings traceroute Print the route packets take to the host traceroute6 Print the route packets take to the IPv6 hostL’utilisateur opédant a un rôle d’opérateur. L’opérateur ne dispose que d’un accès en lecture au système. Par conséquent, l’utilisateur ne peut effectuer aucune configuration. En outre, l’opérateur ne peut pas exécuter toutes les commandes show comme un utilisateur administrateur.
Remarque : Sur Dell Networking SONiC 4.0.5 et versions antérieures, un utilisateur doté du rôle d’opérateur peut passer en mode de configuration. Mais toute commande exécutée en mode de configuration est refusée.
Exemple de résultat :
DELLSONiC# show version | grep Soft Software Version : 4.0.5-Enterprise_Base DELLSONiC(config)# interface-naming standard % Error: Client is not authorized to perform this operation DELLSONiC(config)# hostname DeLLSoNiC % Error: Client is not authorized to perform this operation DELLSONiC(config)# exit DELLSONiC# clear logging DELLSONiC# show logging count DELLSONiC# show audit-log %Error: Client is not authorized to perform this operation DELLSONiC# show users oper ttyS0 2023-08-02 21:03Cela est également visible dans les journaux d’audit auxquels un utilisateur doté du rôle d’administrateur peut accéder.
Connectez-vous à admin1 , qui est le rôle d’administrateur.
Remarque : Lorsque vous vous connectez en tant qu’utilisateur administrateur, nous sommes placés dans le shell Linux. L’invite est admin@sonic:~$. Nous devons utiliser la commande sonic-cli pour accéder à l’interface de ligne de commande de Dell Management Framework.
Debian GNU/Linux 10 DELLSONiC ttyS0 DELLSONiC login: admin1 Password: admin1@DELLSONiC:~$ sonic-cli DELLSONiC# show version | grep Soft Software Version : 4.0.5-Enterprise_Base DELLSONiC# show audit-log Aug 02 21:06:01.052692+00:00 2023 DELLSONiC INFO mgmt-framework#clish[146]: User "admin1" command "startup" status - success Aug 02 21:05:53.366544+00:00 2023 DELLSONiC INFO login[27960]: pam_unix(login:session): session opened for user admin1 by LOGIN(uid=0) Aug 02 21:05:46.787657+00:00 2023 DELLSONiC INFO systemd[1]: Stopped Serial Getty on ttyS0. Aug 02 21:05:46.203662+00:00 2023 DELLSONiC INFO login[4203]: pam_unix(login:session): session closed for user oper Aug 02 21:05:45.855977+00:00 2023 DELLSONiC INFO mgmt-framework#clish[134]: User "oper" command "exit" status - success Aug 02 21:05:09.966551+00:00 2023 DELLSONiC INFO mgmt-framework#clish[134]: User "oper" command "show users" status - success Aug 02 21:04:52.730615+00:00 2023 DELLSONiC INFO mgmt-framework#clish[134]: User "oper" command "show audit-log" status - failure Aug 02 21:04:46.843617+00:00 2023 DELLSONiC INFO mgmt-framework#clish[134]: User "oper" command "show logging count" status - success Aug 02 21:04:43.031486+00:00 2023 DELLSONiC INFO mgmt-framework#clish[134]: User "oper" command "clear logging" status - success Aug 02 21:04:39.074016+00:00 2023 DELLSONiC INFO mgmt-framework#clish[134]: User "oper" command "exit" status - success Aug 02 21:04:26.504755+00:00 2023 DELLSONiC INFO mgmt-framework#clish[134]: User "oper" command "hostname DeLLSoNiC" status - failure Aug 02 21:04:11.674915+00:00 2023 DELLSONiC INFO mgmt-framework#clish[134]: User "oper" command "interface-naming standard" status - failure
Connectez-vous avec les informations d’identification incorrectes:
À présent, connectez-vous avec les informations d’identification incorrectes pour l’utilisateur admin1 qui a le rôle d’administrateur.
Remarque : Seul un utilisateur administrateur peut accéder aux journaux d’audit.
DELLSONiC login: admin1 Password: ==========>Wrong password is given Login incorrect DELLSONiC login: admin1 Password: Last login: Wed Aug 2 21:05:53 UTC 2023 on ttyS0 Linux DELLSONiC 4.19.0-9-2-amd64 #1 SMP Debian 4.19.118-2+deb10u1 (2020-06-07) x86_64 You are on ____ ___ _ _ _ ____ / ___| / _ \| \ | (_)/ ___| \___ \| | | | \| | | | ___) | |_| | |\ | | |___ |____/ \___/|_| \_|_|\____| -- Software for Open Networking in the Cloud -- Unauthorized access and/or use are prohibited. All access and/or use are subject to monitoring. Help: http://azure.github.io/SONiC/ **Note the login failure for admin1 admin1@DELLSONiC:~$ sonic-cli DELLSONiC# show audit-log Aug 02 21:07:28.896480+00:00 2023 DELLSONiC INFO mgmt-framework#clish[155]: User "admin1" command "startup" status - success Aug 02 21:07:20.219496+00:00 2023 DELLSONiC INFO login[7169]: pam_unix(login:session): session opened for user admin1 by LOGIN(uid=0) Aug 02 21:07:12.635575+00:00 2023 DELLSONiC NOTICE login[7169]: FAILED LOGIN (1) on '/dev/ttyS0' FOR 'admin1', Authentication failure Aug 02 21:07:08.763918+00:00 2023 DELLSONiC NOTICE login[7169]: pam_unix(login:auth): authentication failure; logname=LOGIN uid=0 euid=0 tty=/dev/ttyS0 ruser= rhost= user=admin1
Affected Products
Enterprise SONiC Distribution, PowerSwitch E3200-ON Series, Dell EMC Networking N3200-ON, PowerSwitch S5212F-ON, PowerSwitch S5224F-ON, PowerSwitch S5232F-ON, PowerSwitch S5248F-ON, PowerSwitch S5296F-ON, PowerSwitch Z9100-ON, PowerSwitch Z9264F-ON
, PowerSwitch Z9332F-ON, PowerSwitch Z9432F-ON
...
Article Properties
Article Number: 000216535
Article Type: How To
Last Modified: 19 Sep 2023
Version: 8
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.