Rollbaserad åtkomstkontroll för Dell Networking SONiC-användare

Summary: I den här artikeln beskrivs rollbaserad åtkomstkontroll i Dell Networking SONiC.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Vad är rollbaserad åtkomstkontroll?

Rollbaserad åtkomstkontroll (RBAC) ger kontroll för åtkomst och auktorisering. Användare beviljas behörighet baserat på definierade roller. Administratören kan skapa användarroller som är baserade på jobbfunktioner för att tillåta användare lämplig systemåtkomst.

RBAC begränsar behörigheter för varje roll så att du kan partitionering av uppgifter.
En användarroll autentiserar och auktoriserar en användare vid inloggning och placerar användaren i EXEC-läge.
Varje användarroll tilldelar behörigheter som bestämmer vilka kommandon en användare kan ange och de åtgärder en användare kan utföra. RBAC ger ett effektivt sätt att administrera användarrättigheter.


Användarroller tillgängliga i Dell Networking SONiC

Roller Tillstånd
Admin Administratörsanvändaren har fullständig läs-/skrivåtkomst till systemet. Det innebär att den har fullständig åtkomst till alla show-kommandon, Linux-gränssnitt och -konfiguration. 
Operatör Operatören har endast begränsad läsåtkomst till systemet. Det innebär att den har åtkomst till vissa visa kommandon, men kan inte utföra någon konfiguration i switchen.

Obs! Från Dell SONiC 4.1 introduceras två nya användarroller och samma användare kan ha flera roller.
 
Roller Tillstånd
Secadmin Secadmin-användaren har åtkomst till alla säkerhetsrelaterade kommandon i systemet.
Netadmin Netadmin-användaren har åtkomst till konfigurationsfunktionerna som hanterar trafik som flödar genom switchen.


Konfigurationssyntax:

Konfiguration Förklaring
admin@DELLSONiC:~$ sonic-cli Öppna Dell SONiC CLI
DELLSONiC# konfigurera terminal Gå till konfigurationsläget.
DELLSONiC(config)# username password role Konfigurera användarnamn, lösenord och roll. 

Om du vill verifiera rollen för den konfigurerade användaren använder du kommandot show users configured. Det här kommandot visar lokalt konfigurerade användare och roller.
 
Exempel på utdata: 
DELLSONiC # show users configured
----------------------------------------------------------------------
User                              Role(s)
----------------------------------------------------------------------
admin1                            admin
oper                              operator
Från Dell SONiC 4.1 kan vi konfigurera flera roller till en enda användare. Nedan finns ett exempel på hur du konfigurerar flera roller för en enda användare: 
DELLSONiC (config)# username testuser password testuser role operator,netadmin,secadmin
DELLSONiC(config)# exit

DELLSONiC # show users configured
----------------------------------------------------------------------
User                              Role(s)
----------------------------------------------------------------------
testuser                          netadmin,operator,secadmin

Exempel:
För att förklara användarrollerna skapar vi två användare med olika roller:

  • Användaroper tilldelas en operatorroll
  • User admin1 har tilldelats en administratörsroll


Logga in med oper som är rollen Operator .

Obs! När du loggar in som operator, secadmin eller netadmin-användare placeras vi i Cli för Dell Management Framework.

Låt oss logga in på switchen som användaroperator, som har rollen operator. Vi kan använda "? " för att se de kommandon som stöds i en användarroll i ett visst läge. 
sonic login: oper
Password:
Linux sonic 5.10.0-8-2-amd64 #1 SMP Debian 5.10.46-5 (2021-09-23) x86_64
You are on
  ____   ___  _   _ _  ____
/ ___| / _ \| \ | (_)/ ___|
\___ \| | | |  \| | | |
  ___) | |_| | |\  | | |___
|____/ \___/|_| \_|_|\____|

-- Software for Open Networking in the Cloud --

Unauthorized access and/or use are prohibited.
All access and/or use are subject to monitoring.

Help:    http://azure.github.io/SONiC/

sonic# ?
  copy         Perform file operations
  delete       Delete the file from local filesystem
  dir          Show folder contents
  exit         Exit from the CLI
  ls           Show folder contents
  ping         Send ICMP ECHO_REQUEST to network hosts
  ping6        Send ICMPv6 ECHO_REQUEST to network hosts
  show         Display running system information
  terminal     Set terminal settings
  traceroute   Print the route packets take to the host
  traceroute6  Print the route packets take to the IPv6 host
Användaroper har rollen operator. Operatören har endast läsåtkomst till systemet. därför kan användaroper inte utföra någon konfiguration. Dessutom kan operatorn inte köra alla show-kommandon som en administratörsanvändare.
 
Obs! På Dell Networking SONiC 4.0.5 och tidigare versioner kunde en användare med rollen Operator gå in i konfigurationsläget. Men alla kommandon som utförs i konfigurationsläget nekas.

Exempel på utdata: 
DELLSONiC# show version | grep Soft
Software Version  : 4.0.5-Enterprise_Base

DELLSONiC(config)# interface-naming standard 
% Error: Client is not authorized to perform this operation
DELLSONiC(config)# hostname DeLLSoNiC
% Error: Client is not authorized to perform this operation
DELLSONiC(config)# exit
DELLSONiC# clear logging 
DELLSONiC# show logging count
DELLSONiC# show audit-log 
%Error: Client is not authorized to perform this operation

DELLSONiC# show users
oper     ttyS0        2023-08-02 21:03
Detta kan också ses i granskningsloggar som en användare med administratörsrollen kan komma åt.


Logga in med admin1 , vilket är administratörsrollen.

Obs! När du loggar som administratörsanvändare placeras vi i Linux-gränssnittet. Uppmaningen är admin@sonic:~$. Vi måste använda kommandot sonic-cli för att få åtkomst till Dell Management Framework CLI. 
Debian GNU/Linux 10 DELLSONiC ttyS0

DELLSONiC login: admin1
Password: 
admin1@DELLSONiC:~$ sonic-cli
DELLSONiC# show version | grep Soft
Software Version  : 4.0.5-Enterprise_Base

DELLSONiC# show audit-log
Aug 02 21:06:01.052692+00:00 2023 DELLSONiC INFO mgmt-framework#clish[146]: User "admin1" command "startup" status - success
Aug 02 21:05:53.366544+00:00 2023 DELLSONiC INFO login[27960]: pam_unix(login:session): session opened for user admin1 by LOGIN(uid=0)
Aug 02 21:05:46.787657+00:00 2023 DELLSONiC INFO systemd[1]: Stopped Serial Getty on ttyS0.
Aug 02 21:05:46.203662+00:00 2023 DELLSONiC INFO login[4203]: pam_unix(login:session): session closed for user oper
Aug 02 21:05:45.855977+00:00 2023 DELLSONiC INFO mgmt-framework#clish[134]: User "oper" command "exit" status - success
Aug 02 21:05:09.966551+00:00 2023 DELLSONiC INFO mgmt-framework#clish[134]: User "oper" command "show users" status - success
Aug 02 21:04:52.730615+00:00 2023 DELLSONiC INFO mgmt-framework#clish[134]: User "oper" command "show audit-log" status - failure
Aug 02 21:04:46.843617+00:00 2023 DELLSONiC INFO mgmt-framework#clish[134]: User "oper" command "show logging count" status - success
Aug 02 21:04:43.031486+00:00 2023 DELLSONiC INFO mgmt-framework#clish[134]: User "oper" command "clear logging" status - success
Aug 02 21:04:39.074016+00:00 2023 DELLSONiC INFO mgmt-framework#clish[134]: User "oper" command "exit" status - success
Aug 02 21:04:26.504755+00:00 2023 DELLSONiC INFO mgmt-framework#clish[134]: User "oper" command "hostname DeLLSoNiC" status - failure
Aug 02 21:04:11.674915+00:00 2023 DELLSONiC INFO mgmt-framework#clish[134]: User "oper" command "interface-naming standard" status - failure


Logga in med fel inloggningsuppgifter:

Nu kan vi logga in med fel inloggningsuppgifter för administratör1-användaren som har administratörsrollen.
 
Obs! Endast en administratörsanvändare kan komma åt granskningsloggar.  
DELLSONiC login: admin1
Password:                            ==========>Wrong password is given

Login incorrect
DELLSONiC login: admin1
Password: 
Last login: Wed Aug  2 21:05:53 UTC 2023 on ttyS0
Linux DELLSONiC 4.19.0-9-2-amd64 #1 SMP Debian 4.19.118-2+deb10u1 (2020-06-07) x86_64
You are on
  ____   ___  _   _ _  ____
/ ___| / _ \| \ | (_)/ ___|
\___ \| | | |  \| | | |
  ___) | |_| | |\  | | |___
|____/ \___/|_| \_|_|\____|

-- Software for Open Networking in the Cloud --

Unauthorized access and/or use are prohibited.
All access and/or use are subject to monitoring.

Help:    http://azure.github.io/SONiC/
**Note the login failure for admin1
admin1@DELLSONiC:~$ sonic-cli

DELLSONiC# show audit-log
Aug 02 21:07:28.896480+00:00 2023 DELLSONiC INFO mgmt-framework#clish[155]: User "admin1" command "startup" status - success
Aug 02 21:07:20.219496+00:00 2023 DELLSONiC INFO login[7169]: pam_unix(login:session): session opened for user admin1 by LOGIN(uid=0)
Aug 02 21:07:12.635575+00:00 2023 DELLSONiC NOTICE login[7169]: FAILED LOGIN (1) on '/dev/ttyS0' FOR 'admin1', Authentication failure
Aug 02 21:07:08.763918+00:00 2023 DELLSONiC NOTICE login[7169]: pam_unix(login:auth): authentication failure; logname=LOGIN uid=0 euid=0 tty=/dev/ttyS0 ruser= rhost=  user=admin1

Affected Products

Enterprise SONiC Distribution, PowerSwitch E3200-ON Series, Dell EMC Networking N3200-ON, PowerSwitch S5212F-ON, PowerSwitch S5224F-ON, PowerSwitch S5232F-ON, PowerSwitch S5248F-ON, PowerSwitch S5296F-ON, PowerSwitch Z9100-ON, PowerSwitch Z9264F-ON , PowerSwitch Z9332F-ON, PowerSwitch Z9432F-ON ...
Article Properties
Article Number: 000216535
Article Type: How To
Last Modified: 19 Sep 2023
Version:  8
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.