Dell Networking SONiC AAA-Authentifizierung mit RADIUS-Server

HINWEIS: Dieser Artikel verwendet einen Switch, auf dem Dell SONiC 4.1 ausgeführt wird.

 

Voraussetzungen für diesen Artikel

In diesem Artikel wird Folgendes vorausgesetzt:

• Wir verfügen über eine Verbindung zwischen dem Switch, auf dem Dell Networking Sonic- und Radius-Server ausgeführt werden.
• Auf dem Radius-Server sind die Benutzerdetails mit dem erforderlichen MPL-Attribut (Management-Privilege-Level) vorkonfiguriert.

Index

AAA-Radius-Authentifizierung in Dell SONiC
      Vorgang
      Benutzerrollen und MPL-Werte
Konfiguration
Beispielkonfiguration
Überprüfung

 

AAA-Radius-Authentifizierung in Dell SONiC

AAA-Services (Authentication, Authorization and Accounting) schützen Netzwerke vor unbefugtem Zugriff.

Enterprise SONiC unterstützt diese Client-/Serverauthentifizierungssysteme
● RADIUS (Remote authentication Dial-in User Service)
● TACACS+ (Terminal Access Controller Access Control System)
● LDAP (Lightweight Directory Access Protocol)

Dieser Artikel konzentriert sich auf die Konfiguration der AAA RADIUS-Authentifizierung auf einem Switch, auf dem Dell SONiC ausgeführt wird.

 

Operation

Während der RADIUS-Authentifizierung fungiert der Switch als Client und sendet Authentifizierungsanforderungen an einen Server. Diese Anforderung enthält alle Benutzerauthentifizierungs- und Netzwerkdienstzugriffsinformationen. Der Radius-Server antwortet mit "Akzeptieren" oder "Ablehnen" für die Benutzeranforderung.
Wenn der Server eine Accept (Akzeptieren) sendet, enthält er auch den konfigurierten MPL-Wert.
Wenn kein MPL-Wert vorhanden ist, wird dem Benutzer eine Operatorrolle zugewiesen. Der Nutzername admin erhält möglicherweise Administratorberechtigungen ohne MPL.
Enterprise SONiC erfordert das MPL-Attribut (Management-Privilege-Level) mit dem Wert 15, um einem autorisierten Benutzer Lese-/Schreibzugriff zu gewähren. 


 

Um mehr über Benutzerrollen zu erfahren, klicken Sie auf den link unten.
Rollenbasierte Zugriffskontrolle für Dell Networking SONiC-Benutzer

 

Benutzerrollen und MPL-Werte

In der folgenden Tabelle sind verschiedene Benutzerrollen und die entsprechenden MPL-Werte aufgeführt, die auf dem Radius-Server konfiguriert werden müssen. Dies wurde in Dell SONiC 4.1 getestet.

Benutzerrolle	MPL-Wert
admin	15
operator	Kein Wert oder 1
NetAdmin	14
Secadmin	13

 

Konfiguration

Konfigurieren Sie radius-Serverdetails auf dem Switch.

Konfigurationssyntax
 

Konfiguration	Erklärung
admin@DELLSONiC:~$ Sonic-CLI	Dell sonic-cli aufrufen
DELLSONiC# -Konfiguration	In den Konfigurationsmodus wechseln
DELLSONiC(config)# radius-server host auth-port auth-type < text> priorität Quellschnittstelle Timeout vrf	Konfigurieren der RADIUS-Server-IP-Adresse/des Hostnamens und der Attribute
DELLSONiC(config)# radius-server auth-type authentication-type>	(Optional) Konfigurieren Sie den Authentifizierungstyp. Dies kann auch separat mit dem Radius-Serverhost konfiguriert werden.

Um radius-Serverdetails auf dem Switch zu konfigurieren, geben Sie den Hostnamen (maximal 63 Zeichen), die IP- oder IPv6-Adresse und diese optionalen Werte ein:
● auth-port UDP-Portnummer auf dem Server (1 bis 65535; Standardeinstellung 1812)
● Übertragungs-Timeout in Sekunden (1 bis 60; Standardeinstellung 5)
● Häufigkeit, mit der eine Benutzerauthentifizierungsanforderung an einen RADIUS-Server gesendet wird (0 bis 10; Standardeinstellung 3)
● Geheimer Schlüsseltext, der zwischen einem RADIUS-Server und dem Switch gemeinsam verwendet wird (bis zu 65 Zeichen). Dieser Schlüssel wird vom System verschlüsselt.
● Authentifizierungstyp – chap, pap oder mschäpv2; Standard-Pap; Der Authentifizierungsalgorithmus wird verwendet, um Daten zu verschlüsseln/entschlüsseln, die zwischen dem Switch und dem RADIUS-Server gesendet und empfangen werden.
● Priorität für den Zugriff auf mehrere RADIUS-Server zur Authentifizierung von Benutzern (1 bis höchste Priorität 64; Standardeinstellung 1).
● Geben Sie einen VRF-Namen ein, um die VRF anzugeben, die verwendet werden soll, um den RADIUS-Server zu erreichen.
 

Authentifizierungsreihenfolge aktivieren

Ein Switch verwendet eine Liste von Authentifizierungsmethoden, um die Authentifizierungstypen und die Reihenfolge zu definieren, in der sie angewendet werden. Standardmäßig wird nur die lokale Authentifizierungsmethode verwendet, um Benutzer mit der lokalen Benutzerdatenbank zu authentifizieren. WIR können RADIUS als primäre oder sekundäre Authentifizierungsmethode mit lokaler Authentifizierung konfigurieren.

Konfigurationssyntax
 

Konfiguration	Erklärung
DELLSONiC(config)# aaa authentication login default radius local	Konfigurieren der Reihenfolge der Authentifizierung
DELLSONiC(config)#no aaa authentication login default	Dadurch werden die konfigurierten Authentifizierungsmethoden entfernt und nur zur lokalen Authentifizierung zurückkehren.

 

Aktivieren von Failthrough für RADIUS-Authentifizierung (optional)

Verwenden Sie die Failthrough-Option, wenn sie RADIUS-basierte Authentifizierung mit mehr als einem Remoteserver konfigurieren muss. Die Failthrough-Funktion greift weiterhin auf jeden Server in der Methodenliste zu, wenn eine Authentifizierungsanforderung auf einem Server fehlschlägt. 

Konfigurationssyntax
 

Konfiguration	Erklärung
DELLSONiC(config)# aaa authentication failthrough enable	Enable fail through (Failthrough aktivieren)
DELLSONiC(config)# aaa authentication failthrough disable	Failthrough deaktivieren

 
 

Beispielkonfiguration

Denken Sie daran, dass wir zwei Server 10.0.0.100 und 10.0.0.130 haben und schlüssel 123

verwenden. Zur Demonstration haben wir die folgenden Benutzer im Radius-Server vorkonfiguriert.

Username	Kennwort	Benutzerrolle	MPL (Management-Berechtigungsebene)
admin	admin@123	admin	15
Operator 1	operator1@123	operator	1

 
 

admin@DELLSONiC:~$ sonic-cli DELLSONiC# configure DELLSONiC(config)# radius-server host 10.0.0.100 key 123 DELLSONiC(config)# radius-server host 10.0.0.130 key 123 DELLSONiC(config)# radius-server auth-type pap DELLSONiC(config)# aaa authentication login default local group radius DELLSONiC(config)# aaa authentication failthrough enable

Anzeigen konfigurierter RADIUS-Server

Um konfigurierte RADIUS-Server anzuzeigen, verwenden Sie konfigurierten show radius-server und show running-configuration | grep radius.
 

DELLSONiC# show running-configuration | grep radius radius-server timeout 5 radius-server auth-type pap radius-server host 10.0.0.100 auth-port 1812 key XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX= encrypted radius-server host 10.0.0.130 auth-port 1812 key XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX= encrypted

DELLSONiC# show radius-server --------------------------------------------------------- RADIUS Global Configuration --------------------------------------------------------- timeout        : 5 auth-type      : pap key configured : No -------------------------------------------------------------------------------- HOST            AUTH-TYPE KEY-CONFIG AUTH-PORT PRIORITY TIMEOUT RTSMT VRF   SI -------------------------------------------------------------------------------- 10.0.0.100      -         Yes        1812      -        -       -     -     - 10.0.0.130      -         Yes        1812      -        -       -     -     - DELLSONiC#

 

Überprüfung:

Anzeigen der AAA-Authentifizierung

Zum Anzeigen der AAA-Authentifizierungskonfiguration zeigt der Benutzerbefehl running-configuration | grep aaa und show aaa an.
 

DELLSONiC# show running-configuration | grep aaa aaa authentication login default local group radius aaa authentication failthrough enable

DELLSONiC# show aaa --------------------------------------------------------- AAA Authentication Information --------------------------------------------------------- failthrough  : True login-method : local, radius

Melden Sie sich als Admin-Benutzer mit Administratorrolle an

.Ein Benutzer mit Administratorrolle meldet sich bei der Shell an. Admin-Rollenbenutzer hat Zugriff auf den Konfigurationsmodus (Schreibzugriff)

DELLSONiC login: admin Password: Last login: Wed Sep 13 00:04:08 UTC 2023 on ttyS0 Linux DELLSONiC 5.10.0-8-2-amd64 #1 SMP Debian 5.10.46-5 (2021-09-23) x86_64 You are on   ____   ___  _   _ _  ____ / ___| / _ \| \ | (_)/ ___| \___ \| | | |  \| | | |   ___) | |_| | |\  | | |___ |____/ \___/|_| \_|_|\____| -- Software for Open Networking in the Cloud -- Unauthorized access and/or use are prohibited. All access and/or use are subject to monitoring. Help:    http://azure.github.io/SONiC/ admin@DELLSONiC:~$ admin@DELLSONiC:~$ sonic-cli DELLSONiC# DELLSONiC# configure DELLSONiC(config)#

Melden Sie sich als operator1 mit Operatorrolle

an.Ein Benutzer mit Operatorrolle gibt sonic-cli direkt statt in die Shell ein. Darüber hinaus kann ein Operator nicht in den Konfigurationsmodus wechseln (schreibgeschützt).
 

DELLSONiC login: operator1 Password: Last login: Tue Sep 12 18:29:02 UTC 2023 on ttyS0 Linux DELLSONiC 5.10.0-8-2-amd64 #1 SMP Debian 5.10.46-5 (2021-09-23) x86_64 You are on   ____   ___  _   _ _  ____ / ___| / _ \| \ | (_)/ ___| \___ \| | | |  \| | | |   ___) | |_| | |\  | | |___ |____/ \___/|_| \_|_|\____| -- Software for Open Networking in the Cloud -- Unauthorized access and/or use are prohibited. All access and/or use are subject to monitoring. Help:    http://azure.github.io/SONiC/ DELLSONiC# DELLSONiC# conf              ^ % Error: Invalid input detected at "^" marker. DELLSONiC#

Problembehandlung

Um den RADIUS-Service zu debuggen, überprüfen Sie die Protokolldateien im Ordner /var/log/auth.log und die Protokolldateien in show in-memory-logging and show logging SONiC CLI command output.
Für eine detailliertere Protokollierung setzen Sie das Debug-Feld im Authentifizierungsschlüssel der AAA-Tabelle in der CONFIG_DB redis-Datenbank auf True oder wenden Sie sich an den technischen Support.

PowerSwitch E3200-ON Series, Dell EMC Networking N3200-ON, PowerSwitch S5212F-ON, PowerSwitch S5224F-ON, PowerSwitch S5232F-ON, PowerSwitch S5248F-ON, PowerSwitch S5296F-ON, PowerSwitch Z9100-ON, PowerSwitch Z9264F-ON, PowerSwitch Z9332F-ON , PowerSwitch Z9432F-ON ... View More about warranties View Less about warranties