Kontrola dostępu oparta na rolach użytkowników Dell Networking SONiC

Summary: W tym artykule wyjaśniono, jaka jest kontrola dostępu oparta na rolach w rozwiązaniu Dell Networking SONiC.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Czym jest kontrola dostępu oparta na rolach?

Kontrola dostępu oparta na rolach (RBAC) zapewnia kontrolę dostępu i autoryzacji. Użytkownicy otrzymują uprawnienia na podstawie zdefiniowanych ról. Administrator może tworzyć role użytkowników oparte na funkcjach zadania, aby umożliwić użytkownikom odpowiedni dostęp do systemu.

RBAC nakłada ograniczenia uprawnień każdej roli, aby umożliwić partycjonować zadania.
Rola użytkownika uwierzytelnia i upoważnia użytkownika do logowania i przełącza użytkownika w tryb EXEC.
Każda rola użytkownika przypisuje uprawnienia, które określają polecenia, które użytkownik może wprowadzić, oraz działania, które może wykonać użytkownik. RBAC zapewnia efektywny sposób administrowania uprawnieniami użytkownika.


Role użytkownika dostępne w dell networking SONiC

Role Permission
Admin Administrator ma pełny dostęp do systemu do odczytu i zapisu. Oznacza to, że ma pełny dostęp do wszystkich poleceń show, powłoki Linux i konfiguracji. 
Operator Operator ma ograniczony dostęp do odczytu do systemu. Oznacza to, że ma dostęp do niektórych poleceń show, jednak nie może wykonać żadnej konfiguracji w przełączniku.

UWAGA: W dell SONiC 4.1 wprowadzono dwie nowe role użytkownika, a ten sam użytkownik może mieć wiele ról.
 
Role Permission
Secadmin Użytkownik secadmin ma dostęp do wszystkich poleceń związanych z bezpieczeństwem w systemie.
Netadmin Użytkownik netadmin ma dostęp do funkcji konfiguracji, które zarządzają ruchem przepływającym przez przełącznik.


Składnia konfiguracji:

Konfiguracja Objaśnienie
admin@DELLSONiC:~$ sonic-cli Wprowadź interfejs wiersza poleceń SoNiC firmy Dell
Terminal konfiguracji DELLSONiC# Uruchomienie trybu konfiguracji.
NAZWA UŻYTKOWNIKA DELLSONiC(config)# hasło rola Skonfiguruj nazwę użytkownika, hasło i rolę. 

Aby zweryfikować skonfigurowane stanowisko użytkownika, użyj polecenia pokaż użytkowników skonfigurowanych. To polecenie zawiera skonfigurowanego lokalnie użytkownika i role.
 
Przykładowe dane wyjściowe: 
DELLSONiC # show users configured
----------------------------------------------------------------------
User                              Role(s)
----------------------------------------------------------------------
admin1                            admin
oper                              operator
W dell SONiC 4.1 można skonfigurować wiele ról dla jednego użytkownika. Poniżej przedstawiono przykład konfiguracji wielu ról dla jednego użytkownika: 
DELLSONiC (config)# username testuser password testuser role operator,netadmin,secadmin
DELLSONiC(config)# exit

DELLSONiC # show users configured
----------------------------------------------------------------------
User                              Role(s)
----------------------------------------------------------------------
testuser                          netadmin,operator,secadmin

Przykład:
Aby wyjaśnić role użytkowników, tworzymy dwóch użytkowników z różnymi rolami:

  • Rola operatora przypisana jest użytkownikowi.
  • Administratorowi 1 przypisano rolę administratora


Zaloguj się za pomocą funkcji oper , która jest rolą operatora .

UWAGA: Podczas logowania się jako operator, secadmin lub użytkownik netadmin, zostaniemy umieszczeni w interfejsie CLI dell Management Framework.

Zalogujmy się do przełącznika jako użytkownik oper, który ma rolę operatora. Możemy użyć polecenia " ? ", aby wyświetlić polecenia obsługiwane w roli użytkownika w określonym trybie. 
sonic login: oper
Password:
Linux sonic 5.10.0-8-2-amd64 #1 SMP Debian 5.10.46-5 (2021-09-23) x86_64
You are on
  ____   ___  _   _ _  ____
/ ___| / _ \| \ | (_)/ ___|
\___ \| | | |  \| | | |
  ___) | |_| | |\  | | |___
|____/ \___/|_| \_|_|\____|

-- Software for Open Networking in the Cloud --

Unauthorized access and/or use are prohibited.
All access and/or use are subject to monitoring.

Help:    http://azure.github.io/SONiC/

sonic# ?
  copy         Perform file operations
  delete       Delete the file from local filesystem
  dir          Show folder contents
  exit         Exit from the CLI
  ls           Show folder contents
  ping         Send ICMP ECHO_REQUEST to network hosts
  ping6        Send ICMPv6 ECHO_REQUEST to network hosts
  show         Display running system information
  terminal     Set terminal settings
  traceroute   Print the route packets take to the host
  traceroute6  Print the route packets take to the IPv6 host
User oper ma rolę operatora. Operator ma tylko dostęp do odczytu systemu; dlatego user oper nie może wykonać żadnej konfiguracji. Ponadto operator nie może uruchomić wszystkich poleceń show, takich jak użytkownik administrator.
 
UWAGA: W dell networking SONiC 4.0.5 i wcześniejszych wersjach użytkownik z rolą operatora może przejść w tryb konfiguracji. Wszystkie polecenia wykonywane w trybie konfiguracji są jednak odrzucane.

Przykładowe dane wyjściowe: 
DELLSONiC# show version | grep Soft
Software Version  : 4.0.5-Enterprise_Base

DELLSONiC(config)# interface-naming standard 
% Error: Client is not authorized to perform this operation
DELLSONiC(config)# hostname DeLLSoNiC
% Error: Client is not authorized to perform this operation
DELLSONiC(config)# exit
DELLSONiC# clear logging 
DELLSONiC# show logging count
DELLSONiC# show audit-log 
%Error: Client is not authorized to perform this operation

DELLSONiC# show users
oper     ttyS0        2023-08-02 21:03
Można to również sprawdzić w dziennikach inspekcji, do których może uzyskać dostęp użytkownik z rolą administratora.


Zaloguj się za pomocą administratora1 , który jest rolą administratora.

UWAGA: Podczas rejestrowania jako użytkownik administratora znajdujemy się w powłoce Systemu Linux. Monit jest admin@sonic:~$. Aby uzyskać dostęp do interfejsu CLI Dell Management Framework, należy użyć polecenia sonic-cli . 
Debian GNU/Linux 10 DELLSONiC ttyS0

DELLSONiC login: admin1
Password: 
admin1@DELLSONiC:~$ sonic-cli
DELLSONiC# show version | grep Soft
Software Version  : 4.0.5-Enterprise_Base

DELLSONiC# show audit-log
Aug 02 21:06:01.052692+00:00 2023 DELLSONiC INFO mgmt-framework#clish[146]: User "admin1" command "startup" status - success
Aug 02 21:05:53.366544+00:00 2023 DELLSONiC INFO login[27960]: pam_unix(login:session): session opened for user admin1 by LOGIN(uid=0)
Aug 02 21:05:46.787657+00:00 2023 DELLSONiC INFO systemd[1]: Stopped Serial Getty on ttyS0.
Aug 02 21:05:46.203662+00:00 2023 DELLSONiC INFO login[4203]: pam_unix(login:session): session closed for user oper
Aug 02 21:05:45.855977+00:00 2023 DELLSONiC INFO mgmt-framework#clish[134]: User "oper" command "exit" status - success
Aug 02 21:05:09.966551+00:00 2023 DELLSONiC INFO mgmt-framework#clish[134]: User "oper" command "show users" status - success
Aug 02 21:04:52.730615+00:00 2023 DELLSONiC INFO mgmt-framework#clish[134]: User "oper" command "show audit-log" status - failure
Aug 02 21:04:46.843617+00:00 2023 DELLSONiC INFO mgmt-framework#clish[134]: User "oper" command "show logging count" status - success
Aug 02 21:04:43.031486+00:00 2023 DELLSONiC INFO mgmt-framework#clish[134]: User "oper" command "clear logging" status - success
Aug 02 21:04:39.074016+00:00 2023 DELLSONiC INFO mgmt-framework#clish[134]: User "oper" command "exit" status - success
Aug 02 21:04:26.504755+00:00 2023 DELLSONiC INFO mgmt-framework#clish[134]: User "oper" command "hostname DeLLSoNiC" status - failure
Aug 02 21:04:11.674915+00:00 2023 DELLSONiC INFO mgmt-framework#clish[134]: User "oper" command "interface-naming standard" status - failure


Zaloguj się przy użyciu nieprawidłowych poświadczeń:

Teraz zalogujmy się przy użyciu nieprawidłowych poświadczeń dla użytkownika administratora1 , który ma rolę administratora.
 
UWAGA: Tylko użytkownik administrator może uzyskać dostęp do dzienników inspekcji.  
DELLSONiC login: admin1
Password:                            ==========>Wrong password is given

Login incorrect
DELLSONiC login: admin1
Password: 
Last login: Wed Aug  2 21:05:53 UTC 2023 on ttyS0
Linux DELLSONiC 4.19.0-9-2-amd64 #1 SMP Debian 4.19.118-2+deb10u1 (2020-06-07) x86_64
You are on
  ____   ___  _   _ _  ____
/ ___| / _ \| \ | (_)/ ___|
\___ \| | | |  \| | | |
  ___) | |_| | |\  | | |___
|____/ \___/|_| \_|_|\____|

-- Software for Open Networking in the Cloud --

Unauthorized access and/or use are prohibited.
All access and/or use are subject to monitoring.

Help:    http://azure.github.io/SONiC/
**Note the login failure for admin1
admin1@DELLSONiC:~$ sonic-cli

DELLSONiC# show audit-log
Aug 02 21:07:28.896480+00:00 2023 DELLSONiC INFO mgmt-framework#clish[155]: User "admin1" command "startup" status - success
Aug 02 21:07:20.219496+00:00 2023 DELLSONiC INFO login[7169]: pam_unix(login:session): session opened for user admin1 by LOGIN(uid=0)
Aug 02 21:07:12.635575+00:00 2023 DELLSONiC NOTICE login[7169]: FAILED LOGIN (1) on '/dev/ttyS0' FOR 'admin1', Authentication failure
Aug 02 21:07:08.763918+00:00 2023 DELLSONiC NOTICE login[7169]: pam_unix(login:auth): authentication failure; logname=LOGIN uid=0 euid=0 tty=/dev/ttyS0 ruser= rhost=  user=admin1

Affected Products

Enterprise SONiC Distribution, PowerSwitch E3200-ON Series, Dell EMC Networking N3200-ON, PowerSwitch S5212F-ON, PowerSwitch S5224F-ON, PowerSwitch S5232F-ON, PowerSwitch S5248F-ON, PowerSwitch S5296F-ON, PowerSwitch Z9100-ON, PowerSwitch Z9264F-ON , PowerSwitch Z9332F-ON, PowerSwitch Z9432F-ON ...
Article Properties
Article Number: 000216535
Article Type: How To
Last Modified: 19 Sep 2023
Version:  8
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.