Controllo degli accessi basato sui ruoli dell'utente SONiC Dell Networking

Summary: Questo articolo spiega il controllo degli accessi basato sui ruoli in Dell Networking SONiC.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Che cos'è il controllo degli accessi basato sui ruoli?

Il controllo RBAC (Role-Based Access Control) fornisce il controllo per l'accesso e l'autorizzazione. Agli utenti viene concessa l'autorizzazione in base ai ruoli definiti. L'amministratore può creare ruoli utente basati sulle funzioni dei job per consentire agli utenti l'accesso appropriato al sistema.

RBAC pone limitazioni sulle autorizzazioni di ciascun ruolo per consentire l'partizione delle attività.
Un ruolo utente autentica e autorizza un utente all'accesso e lo posiziona in modalità EXEC.
Ogni ruolo utente assegna le autorizzazioni che determinano i comandi che un utente può immettere e le azioni che un utente può eseguire. RBAC offre un modo efficiente per amministrare i diritti utente.


Ruoli utente disponibili in Dell Networking SONiC

Roles Autorizzazione
Admin L'utente amministratore ha accesso completo in lettura e scrittura al sistema. Ciò significa che dispone dell'accesso completo a tutti i comandi show, alla shell di Linux e alla configurazione. 
Operatore L'operatore ha un accesso in lettura limitato al sistema. Ciò significa che ha accesso ad alcuni comandi show, ma non può eseguire alcuna configurazione nello switch.

NOTA: A partire da Dell SONiC 4.1, vengono introdotti due nuovi ruoli utente e lo stesso utente può avere più ruoli.
 
Roles Autorizzazione
Secadmin L'utente secadmin ha accesso a tutti i comandi correlati alla sicurezza nel sistema.
Netadmin L'utente netadmin ha accesso alle funzionalità di configurazione che gestiscono il traffico che scorre attraverso lo switch.


Sintassi della configurazione:

Configurazione Spiegazione
admin@DELLSONiC:~$ sonic-cli Accedere all'interfaccia a riga di comando di Dell SONiC
DellSONiC# configura terminale Consente di accedere alla modalità di configurazione.
nome utente password ruolo dell'utente DELLSONiC(config)# Configurare un nome utente, una password e un ruolo. 

Per verificare il ruolo dell'utente configurato, utilizzare il comando show users configured. Questo comando mostra l'utente e i ruoli configurati localmente.
 
Output di esempio: 
DELLSONiC # show users configured
----------------------------------------------------------------------
User                              Role(s)
----------------------------------------------------------------------
admin1                            admin
oper                              operator
Da Dell SONiC 4.1, possiamo configurare più ruoli per un singolo utente. Di seguito è riportato un esempio di come configurare più ruoli per un singolo utente: 
DELLSONiC (config)# username testuser password testuser role operator,netadmin,secadmin
DELLSONiC(config)# exit

DELLSONiC # show users configured
----------------------------------------------------------------------
User                              Role(s)
----------------------------------------------------------------------
testuser                          netadmin,operator,secadmin

Esempio:
Per spiegare i ruoli utente, stiamo creando due utenti con ruoli diversi:

  • All'oper utente viene assegnato un ruolo operatore
  • All'utente admin1 viene assegnato un ruolo amministratore


Eseguire il login con oper , che è il ruolo Operator .

NOTA: Quando si effettua l'accesso come utente operator, secadmin o netadmin, ci troviamo nella CLI di Dell Management Framework.

Eseguire l'accesso allo switch come oper utente, che ha il ruolo di operatore. Possiamo usare " ? " per visualizzare i comandi supportati in un ruolo utente in una modalità specifica. 
sonic login: oper
Password:
Linux sonic 5.10.0-8-2-amd64 #1 SMP Debian 5.10.46-5 (2021-09-23) x86_64
You are on
  ____   ___  _   _ _  ____
/ ___| / _ \| \ | (_)/ ___|
\___ \| | | |  \| | | |
  ___) | |_| | |\  | | |___
|____/ \___/|_| \_|_|\____|

-- Software for Open Networking in the Cloud --

Unauthorized access and/or use are prohibited.
All access and/or use are subject to monitoring.

Help:    http://azure.github.io/SONiC/

sonic# ?
  copy         Perform file operations
  delete       Delete the file from local filesystem
  dir          Show folder contents
  exit         Exit from the CLI
  ls           Show folder contents
  ping         Send ICMP ECHO_REQUEST to network hosts
  ping6        Send ICMPv6 ECHO_REQUEST to network hosts
  show         Display running system information
  terminal     Set terminal settings
  traceroute   Print the route packets take to the host
  traceroute6  Print the route packets take to the IPv6 host
L'oper utente ha un ruolo di operatore. L'operatore dispone solo dell'accesso in lettura al sistema; pertanto l'oper dell'utente non può eseguire alcuna configurazione. Inoltre, l'operatore non può eseguire tutti i comandi show come un utente admin.
 
NOTA: In Dell Networking SONiC 4.0.5 e versioni precedenti, un utente con ruolo Operator poteva accedere alla modalità di configurazione. Tuttavia, qualsiasi comando eseguito in modalità di configurazione viene negato.

Output di esempio: 
DELLSONiC# show version | grep Soft
Software Version  : 4.0.5-Enterprise_Base

DELLSONiC(config)# interface-naming standard 
% Error: Client is not authorized to perform this operation
DELLSONiC(config)# hostname DeLLSoNiC
% Error: Client is not authorized to perform this operation
DELLSONiC(config)# exit
DELLSONiC# clear logging 
DELLSONiC# show logging count
DELLSONiC# show audit-log 
%Error: Client is not authorized to perform this operation

DELLSONiC# show users
oper     ttyS0        2023-08-02 21:03
Ciò può essere visualizzato anche negli audit log a cui può accedere un utente con ruolo di amministratore.


Accedere con admin1 , che è il ruolo di amministratore.

NOTA: Quando si esegue l'accesso come utente amministratore, ci troviamo nella shell di Linux. Il prompt è admin@sonic:~$. È necessario utilizzare il comando sonic-cli per accedere alla CLI di Dell Management Framework. 
Debian GNU/Linux 10 DELLSONiC ttyS0

DELLSONiC login: admin1
Password: 
admin1@DELLSONiC:~$ sonic-cli
DELLSONiC# show version | grep Soft
Software Version  : 4.0.5-Enterprise_Base

DELLSONiC# show audit-log
Aug 02 21:06:01.052692+00:00 2023 DELLSONiC INFO mgmt-framework#clish[146]: User "admin1" command "startup" status - success
Aug 02 21:05:53.366544+00:00 2023 DELLSONiC INFO login[27960]: pam_unix(login:session): session opened for user admin1 by LOGIN(uid=0)
Aug 02 21:05:46.787657+00:00 2023 DELLSONiC INFO systemd[1]: Stopped Serial Getty on ttyS0.
Aug 02 21:05:46.203662+00:00 2023 DELLSONiC INFO login[4203]: pam_unix(login:session): session closed for user oper
Aug 02 21:05:45.855977+00:00 2023 DELLSONiC INFO mgmt-framework#clish[134]: User "oper" command "exit" status - success
Aug 02 21:05:09.966551+00:00 2023 DELLSONiC INFO mgmt-framework#clish[134]: User "oper" command "show users" status - success
Aug 02 21:04:52.730615+00:00 2023 DELLSONiC INFO mgmt-framework#clish[134]: User "oper" command "show audit-log" status - failure
Aug 02 21:04:46.843617+00:00 2023 DELLSONiC INFO mgmt-framework#clish[134]: User "oper" command "show logging count" status - success
Aug 02 21:04:43.031486+00:00 2023 DELLSONiC INFO mgmt-framework#clish[134]: User "oper" command "clear logging" status - success
Aug 02 21:04:39.074016+00:00 2023 DELLSONiC INFO mgmt-framework#clish[134]: User "oper" command "exit" status - success
Aug 02 21:04:26.504755+00:00 2023 DELLSONiC INFO mgmt-framework#clish[134]: User "oper" command "hostname DeLLSoNiC" status - failure
Aug 02 21:04:11.674915+00:00 2023 DELLSONiC INFO mgmt-framework#clish[134]: User "oper" command "interface-naming standard" status - failure


Effettuare il login con le credenziali errate:

Ora effettuiamo l'accesso con le credenziali errate per l'utente admin1 che ha il ruolo di amministratore.
 
NOTA: Solo un utente amministratore può accedere agli audit log.  
DELLSONiC login: admin1
Password:                            ==========>Wrong password is given

Login incorrect
DELLSONiC login: admin1
Password: 
Last login: Wed Aug  2 21:05:53 UTC 2023 on ttyS0
Linux DELLSONiC 4.19.0-9-2-amd64 #1 SMP Debian 4.19.118-2+deb10u1 (2020-06-07) x86_64
You are on
  ____   ___  _   _ _  ____
/ ___| / _ \| \ | (_)/ ___|
\___ \| | | |  \| | | |
  ___) | |_| | |\  | | |___
|____/ \___/|_| \_|_|\____|

-- Software for Open Networking in the Cloud --

Unauthorized access and/or use are prohibited.
All access and/or use are subject to monitoring.

Help:    http://azure.github.io/SONiC/
**Note the login failure for admin1
admin1@DELLSONiC:~$ sonic-cli

DELLSONiC# show audit-log
Aug 02 21:07:28.896480+00:00 2023 DELLSONiC INFO mgmt-framework#clish[155]: User "admin1" command "startup" status - success
Aug 02 21:07:20.219496+00:00 2023 DELLSONiC INFO login[7169]: pam_unix(login:session): session opened for user admin1 by LOGIN(uid=0)
Aug 02 21:07:12.635575+00:00 2023 DELLSONiC NOTICE login[7169]: FAILED LOGIN (1) on '/dev/ttyS0' FOR 'admin1', Authentication failure
Aug 02 21:07:08.763918+00:00 2023 DELLSONiC NOTICE login[7169]: pam_unix(login:auth): authentication failure; logname=LOGIN uid=0 euid=0 tty=/dev/ttyS0 ruser= rhost=  user=admin1

Affected Products

Enterprise SONiC Distribution, PowerSwitch E3200-ON Series, Dell EMC Networking N3200-ON, PowerSwitch S5212F-ON, PowerSwitch S5224F-ON, PowerSwitch S5232F-ON, PowerSwitch S5248F-ON, PowerSwitch S5296F-ON, PowerSwitch Z9100-ON, PowerSwitch Z9264F-ON , PowerSwitch Z9332F-ON, PowerSwitch Z9432F-ON ...
Article Properties
Article Number: 000216535
Article Type: How To
Last Modified: 19 Sep 2023
Version:  8
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.