Ověření Dell Networking SONiC AAA pomocí serveru RADIUS

Summary: Tento článek vysvětluje, jak nakonfigurovat ověřování AAA pomocí serveru RADIUS na nainstalovaném přepínači Dell SONiC.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

POZNÁMKA: Tento článek používá přepínač s nástrojem Dell SONiC 4.1.

 


Přípravné kroky tohoto článku

Tento článek předpokládá následující
  • Máme připojení mezi přepínačem, na kterém je spuštěn server Dell Networking Sonic a Radius.
  • Server Radius obsahuje podrobnosti o uživateli s předem nakonfigurovaným atributem požadované úrovně oprávnění správy (MPL).


Index

Ověření AAA Radius v nástroji Dell SONiC
Operace
Uživatelské role a hodnoty
MPLKonfigurace
Ukázková konfigurace
Ověření            

 

Ověření AAA Radius v nástroji Dell SONiC


Služby ověřování, autorizace a účtování (AAA) zajišťují sítě proti neoprávněnému přístupu.

Enterprise SONiC podporuje tyto systémy
ověřování klientů/serverů● RADIUS (služba uživatele s vytáčeným připojením k vzdálenému ověřování)
● TACACS+ (systém řízení přístupu řadiče přístupu terminálu)
● LDAP (zjednodušený protokol pro přístup k adresáři).

Tento článek se zaměřuje na konfiguraci ověřování AAA RADIUS na přepínači s nástrojem Dell SONiC.

 

Operace

Během ověřování RADIUS přepínač funguje jako klient a odesílá požadavky na ověření serveru. Tento požadavek obsahuje veškeré ověření uživatele a informace o přístupu k síťové službě. Server Radius zareaguje na požadavek uživatele na přijetí nebo zamítnutí.
Pokud server odešle přijetí, bude obsahovat také nakonfigurovanou hodnotu MPL.
Pokud není k dispozici žádná hodnota MPL, je uživateli přiřazena role operátora. Správce uživatelského jména může získat oprávnění správce bez MPL.
Produkt Enterprise SONiC vyžaduje atribut Management-Privilege-Level (MPL) s hodnotou 15 k udělení přístupu pro čtení a zápis autorizovanému uživateli. 

Ověřování služby Radius
 

Další informace o uživatelských rolích získáte kliknutím na odkaz níže.
Řízení přístupu na základě rolí uživatele Dell Networking SONiC

 

Uživatelské role a hodnoty MPL

Níže uvedená tabulka obsahuje různé uživatelské role a odpovídající hodnoty MPL konfigurované na serveru Radius. To je testováno v nástroji Dell SONiC 4.1

                 Role uživatele                              Hodnota MPL                 
admin 15
operator Bez hodnoty nebo 1
Netadmin 14
secadmin 13


 

Konfigurace


Konfigurace podrobností o serveru Radius na přepínači.

Syntaxe konfigurace
 
Konfigurace Vysvětlení
admin@DELLSONiC:~$ sonic-cli Zadejte příkaz Dell sonic-cli.
KONFIGURACE DELLSONiC# Spuštění konfiguračního režimu
DELLSONiC(config)# radius-server host auth-port auth-type > klíč priorita znovu odeslat timeout vrf Konfigurace IP adresy/názvu hostitele a atributů serveru Radius
DELLSONiC(config)# radius-server auth-type < typ ověření> (Volitelné) Konfigurace typu ověřování. To lze také nakonfigurovat samostatně s hostitelem serveru Radius.

Chcete-li na přepínači nakonfigurovat detail serveru RADIUS, zadejte jeho název hostitele (maximum 63 znaků), IP adresu nebo adresu IPv6 a tyto volitelné hodnoty:
● číslo portu UDP s ověřováním na serveru (1 až 65535; výchozí hodnota 1812)
● Časový limit přenosu v sekundách (1 až 60; výchozí hodnota 5)
● Počet opakovaných pokusů o ověření uživatele na server RADIUS (0 až 10; výchozí hodnota 3)
● Text tajného klíče sdílený mezi serverem RADIUS a přepínačem (až 65 znaků). Tento klíč je šifrován systémem.
● Typ ověřování – chap, pap nebo mschapv2; výchozí pap; Ověřovací algoritmus se používá k zašifrování/dešifrování odeslaných a přijatých dat mezi přepínačem a serverem RADIUS.
● Priorita pro přístup k několika serverům RADIUS k ověření uživatelů (1 na nejvyšší prioritu 64; výchozí hodnota 1).
● Zadejte název VRF a specifikujte VRF, který se má použít pro připojení k serveru RADIUS.
 


Povolení pořadí ověřování

Přepínač používá seznam metod ověřování k definování typů ověřování a pořadí, ve kterém se používají. Ve výchozím nastavení se k ověřování uživatelů pomocí místní databáze uživatelů používá pouze místní metoda ověřování. Pomocí místního ověřování můžeme nakonfigurovat protokol RADIUS jako primární nebo sekundární metodu ověřování.

Syntaxe konfigurace
 
Konfigurace Vysvětlení
Výchozí přihlašovací jméno radius local pro ověření DELLSONiC(config)# aaa     Konfigurace pořadí ověřování   
DellSONiC(config)#no aaa authentication login default (Výchozí přihlašovací údaje pro ověření DELLSONiC(config)#no aaa Tím se odstraní nakonfigurované metody ověřování a vrátí se pouze k místnímu ověřování.
 


Povolení převzetí služeb po selhání pro ověřování RADIUS (volitelné)

Možnost fail-through použijte v případě, že je třeba nakonfigurovat ověřování založené na protokolu RADIUS s více než jedním vzdáleným serverem. Funkce fail-through bude nadále přistupovat ke každému serveru v seznamu metod, pokud selže požadavek na ověření na jednom serveru. 

Syntaxe konfigurace
 
Konfigurace Vysvětlení
DellSONiC(config)# aaa authentication failthrough enable      Enable Fail through (Povolit selhání prostřednictvím)      
DELLSONiC(config)# aaa authentication failthrough disable Disable fail through (Zakázat selhání prostřednictvím) 
 
 

Ukázková konfigurace

Zvažte, že používáme dva servery verze 10.0.0.100 a 10.0.0.130 a pro účely předvedení používáme klíč 123

, kteří mají v serveru Radius předem nakonfigurované následující uživatele.
 
Uživatelské jméno                  Heslo         Role uživatele                     MPL (Management-Privilege-Level)
admin admin@123 admin 15
operátor 1        operator1@123       operator 1
 
  
admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# radius-server host 10.0.0.100 key 123
DELLSONiC(config)# radius-server host 10.0.0.130 key 123
DELLSONiC(config)# radius-server auth-type pap
DELLSONiC(config)# aaa authentication login default local group radius
DELLSONiC(config)# aaa authentication failthrough enable


Zobrazení nakonfigurovaných serverů

RADIUSChcete-li zobrazit nakonfigurované servery RADIUS, použijte nakonfigurované příkazy show radius-server a show running-configuration | grep radius.
  
DELLSONiC# show running-configuration | grep radius
radius-server timeout 5
radius-server auth-type pap
radius-server host 10.0.0.100 auth-port 1812 key XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX= encrypted
radius-server host 10.0.0.130 auth-port 1812 key XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX= encrypted
 
DELLSONiC# show radius-server
---------------------------------------------------------
RADIUS Global Configuration
---------------------------------------------------------
timeout        : 5
auth-type      : pap
key configured : No
--------------------------------------------------------------------------------
HOST            AUTH-TYPE KEY-CONFIG AUTH-PORT PRIORITY TIMEOUT RTSMT VRF   SI
--------------------------------------------------------------------------------
10.0.0.100      -         Yes        1812      -        -       -     -     -
10.0.0.130      -         Yes        1812      -        -       -     -     -
DELLSONiC#


 

Ověření


Zobrazení ověřování

AAAChcete-li zobrazit příkaz uživatele konfigurace ověření AAA , zobrazí se příkaz running-configuration | grep aaa a zobrazí se příkaz aaa
  
DELLSONiC# show running-configuration | grep aaa
aaa authentication login default local group radius
aaa authentication failthrough enable
 
DELLSONiC# show aaa
---------------------------------------------------------
AAA Authentication Information
---------------------------------------------------------
failthrough  : True
login-method : local, radius


Přihlaste se jako uživatel správce s rolí

správce.Uživatel s rolí správce se přihlásí do prostředí. Uživatel s rolí správce má přístup do režimu konfigurace (přístup pro zápis). 
DELLSONiC login: admin
Password:
Last login: Wed Sep 13 00:04:08 UTC 2023 on ttyS0
Linux DELLSONiC 5.10.0-8-2-amd64 #1 SMP Debian 5.10.46-5 (2021-09-23) x86_64
You are on
  ____   ___  _   _ _  ____
/ ___| / _ \| \ | (_)/ ___|
\___ \| | | |  \| | | |
  ___) | |_| | |\  | | |___
|____/ \___/|_| \_|_|\____|

-- Software for Open Networking in the Cloud --

Unauthorized access and/or use are prohibited.
All access and/or use are subject to monitoring.

Help:    http://azure.github.io/SONiC/

admin@DELLSONiC:~$
admin@DELLSONiC:~$ sonic-cli
DELLSONiC#
DELLSONiC# configure
DELLSONiC(config)#


Přihlaste se jako operátor 1 s rolí operátora

.Uživatel s rolí operátora přejde přímo do prostředí sonic-cli, nikoli do prostředí. Operátor navíc nemůže přejít do konfiguračního režimu (pouze pro čtení).
  
DELLSONiC login: operator1
Password:
Last login: Tue Sep 12 18:29:02 UTC 2023 on ttyS0
Linux DELLSONiC 5.10.0-8-2-amd64 #1 SMP Debian 5.10.46-5 (2021-09-23) x86_64
You are on
  ____   ___  _   _ _  ____
/ ___| / _ \| \ | (_)/ ___|
\___ \| | | |  \| | | |
  ___) | |_| | |\  | | |___
|____/ \___/|_| \_|_|\____|

-- Software for Open Networking in the Cloud --

Unauthorized access and/or use are prohibited.
All access and/or use are subject to monitoring.

Help:    http://azure.github.io/SONiC/

DELLSONiC#
DELLSONiC# conf
             ^
% Error: Invalid input detected at "^" marker.
DELLSONiC#


Řešení potíží

Chcete-li ladit službu RADIUS, zkontrolujte soubory protokolu ve složce /var/log/auth.log a soubory protokolu se zobrazují v protokolu v paměti a zobrazí výstup příkazu SONiC CLI protokolování.
Chcete-li zobrazit podrobnější protokolování, nastavte v ověřovacím klíči tabulky AAA v CONFIG_DB databázi nebo se obraťte na technickou podporu a nastavte pole ladění na hodnotu True.

Affected Products

PowerSwitch E3200-ON Series, Dell EMC Networking N3200-ON, PowerSwitch S5212F-ON, PowerSwitch S5224F-ON, PowerSwitch S5232F-ON, PowerSwitch S5248F-ON, PowerSwitch S5296F-ON, PowerSwitch Z9100-ON, PowerSwitch Z9264F-ON, PowerSwitch Z9332F-ON , PowerSwitch Z9432F-ON ...
Article Properties
Article Number: 000217350
Article Type: How To
Last Modified: 22 Sep 2023
Version:  6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.