Autenticación DELL Networking SONiC AAA mediante el servidor RADIUS

NOTA: En este artículo, se utiliza un switch que ejecuta Dell SONiC 4.1.

 

Requisitos previos de este artículo

En este artículo, se da por sentado lo siguiente

• Tenemos conectividad entre el switch que ejecuta el servidor Sonic y Radius de Dell Networking.
• El servidor Radius tiene los detalles del usuario con el atributo Management-Privilege-Level (MPL) requerido preconfigurado.

Índice

Autenticación de radius aaa en Dell SONiC
Operación
Funciones de usuario y valores
de MPLConfiguración
Ejemplo de configuración
Verificación            

 

Autenticación de radius aaa en Dell SONiC

Los servicios de autenticación, autorización y contabilidad (AAA) protegen las redes contra el acceso no autorizado.

SoNiC empresarial es compatible con estos sistemas
de autenticación de cliente/servidor● RADIUS (servicio de acceso telefónico de autenticación remota)
● TACACS+ (sistema de control de acceso a la controladora de acceso a terminales)
● LDAP (protocolo ligero de acceso a directorios)

Este artículo se centra en la configuración de la autenticación RADIUS aaa en un switch que ejecuta Dell SONiC.

 

Operación

Durante la autenticación de RADIUS, el switch actúa como un cliente y envía solicitudes de autenticación a un servidor. Esta solicitud contiene toda la información de acceso al servicio de red y autenticación de usuarios. El servidor Radius responde con una opción Aceptar o Rechazar para la solicitud del usuario.
Si el servidor envía una aceptación, también incluirá su valor de MPL configurado.
Si no hay ningún valor de MPL, al usuario se le asigna una función de operador. El nombre de usuario admin puede obtener privilegios de administrador sin una MPL.
Enterprise SONiC requiere el atributo Management-Privilege-Level (MPL) con el valor 15 para otorgar acceso de lectura/escritura a un usuario autorizado. 


 

Para obtener más información sobre las funciones de usuario, haga clic en el siguiente enlace.
Control de acceso basado en funciones de usuario de SONiC de Dell Networking

 

Funciones de usuario y valores de MPL

En la siguiente tabla, se mencionan varias funciones de usuario y sus valores de MPL correspondientes que se configurarán en el servidor Radius. Esto se prueba en Dell SONiC 4.1

Función de usuario	Valor de MPL
admin	15
operator	Sin valor o 1
netadmin	14
secadmin	13

 

Configuración

Configure los detalles de los servidores Radius en el switch.

Sintaxis de configuración
 

Configuración	Explicación
admin@DELLSONiC:~$ sonic-cli	Ingrese a Dell sonic-cli
Configuración de DELLSONiC#	Ingresar al modo de configuración
DELLSONiC(config)# radius-server host auth-port auth-type clave prioridad retransmit source-interface tiempo de espera agotado < segundos> vrf	Configurar la dirección IP/el nombre de host y los atributos del servidor RADIUS
DELLSONiC(config)# radius-server auth-type authentication-type>	(Opcional) Configurar el tipo de autenticación. Esto también se puede configurar con el host del servidor radius por separado.

Para configurar un detalle del servidor RADIUS en el switch, ingrese su nombre de host (63 caracteres como máximo), la dirección IP o IPv6 y estos valores opcionales:
● número de puerto UDP auth-port en el servidor (1 a 65535; 1812 predeterminado)
● Tiempo de espera agotado de transmisión en segundos (de 1 a 60; predeterminado 5)
● Cantidad de veces que se reenvia una solicitud de autenticación de usuario a un servidor RADIUS (de 0 a 10; predeterminado 3)
● Texto de clave secreta que se comparte entre un servidor RADIUS y el switch (hasta 65 caracteres). El sistema cifra esta clave.
● Tipo de autenticación: chap, pap o mschapv2; pap predeterminado; el algoritmo de autenticación se utiliza para cifrar/descifrar los datos que se envían y reciben entre el switch y el servidor RADIUS.
● Prioridad utilizada para acceder a varios servidores RADIUS con el fin de autenticar usuarios (de 1 a la prioridad más alta 64; predeterminado 1).
● Ingrese un nombre de VRF para especificar el VRF que se utilizará para llegar al servidor RADIUS.
 

Habilitar orden de autenticación

Un switch utiliza una lista de métodos de autenticación para definir los tipos de autenticación y la secuencia en la que se aplican. De manera predeterminada, solo se utiliza el método de autenticación local para autenticar usuarios con la base de datos de usuarios locales. Podemos configurar RADIUS como método de autenticación primario o secundario con autenticación local.

Sintaxis de configuración
 

Configuración	Explicación
DELLSONiC(config)# aaa authentication login default radius local	Configurar el orden de autenticación
DellSONiC(config)#no aaa authentication login default	Esto elimina los métodos de autenticación configurados y vuelve solo a la autenticación local

 

Habilitar la conmutación por error para la autenticación de RADIUS (opcional)

Use la opción de conmutación por error si es necesario configurar la autenticación basada en RADIUS con más de un servidor remoto. La función de conmutación por error continúa accediendo a cada servidor de la lista de métodos si falla una solicitud de autenticación en un servidor. 

Sintaxis de configuración
 

Configuración	Explicación
DELLSONiC(config)# aaa authentication failthrough enable	Habilitar la conmutación por error
DELLSONiC(config)# aaa authentication failthrough disable	Deshabilitar la conmutación por error

 
 

Configuración de muestra

Tenga en cuenta que tenemos dos servidores 10.0.0.100 y 10.0.0.130 y utilizamos la clave 123

Para la demostración, tenemos los siguientes usuarios preconfigurados en el servidor Radius.

Nombre de usuario	Contraseña	Función de usuario	MPL (nivel de privilegio de administración)
admin	admin@123	admin	15
operador1	operator1@123	operator	1

 
 

admin@DELLSONiC:~$ sonic-cli DELLSONiC# configure DELLSONiC(config)# radius-server host 10.0.0.100 key 123 DELLSONiC(config)# radius-server host 10.0.0.130 key 123 DELLSONiC(config)# radius-server auth-type pap DELLSONiC(config)# aaa authentication login default local group radius DELLSONiC(config)# aaa authentication failthrough enable

Para ver los servidores

RADIUS configuradosPara ver los servidores RADIUS configurados, utilice show radius-server configurado y show running-configuration | grep radius
 

DELLSONiC# show running-configuration | grep radius radius-server timeout 5 radius-server auth-type pap radius-server host 10.0.0.100 auth-port 1812 key XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX= encrypted radius-server host 10.0.0.130 auth-port 1812 key XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX= encrypted

DELLSONiC# show radius-server --------------------------------------------------------- RADIUS Global Configuration --------------------------------------------------------- timeout        : 5 auth-type      : pap key configured : No -------------------------------------------------------------------------------- HOST            AUTH-TYPE KEY-CONFIG AUTH-PORT PRIORITY TIMEOUT RTSMT VRF   SI -------------------------------------------------------------------------------- 10.0.0.100      -         Yes        1812      -        -       -     -     - 10.0.0.130      -         Yes        1812      -        -       -     -     - DELLSONiC#

 

Verificación

Para ver la autenticación aaa

Para ver el comando del usuario de configuración de autenticación de AAA show running-configuration | grep aaa y show aaa
 

DELLSONiC# show running-configuration | grep aaa aaa authentication login default local group radius aaa authentication failthrough enable

DELLSONiC# show aaa --------------------------------------------------------- AAA Authentication Information --------------------------------------------------------- failthrough  : True login-method : local, radius

Iniciar sesión como usuario administrador con función

de administradorUn usuario con función de administrador inicia sesión en shell. El usuario con función de administrador tiene acceso al modo de configuración (acceso de escritura)

DELLSONiC login: admin Password: Last login: Wed Sep 13 00:04:08 UTC 2023 on ttyS0 Linux DELLSONiC 5.10.0-8-2-amd64 #1 SMP Debian 5.10.46-5 (2021-09-23) x86_64 You are on   ____   ___  _   _ _  ____ / ___| / _ \| \ | (_)/ ___| \___ \| | | |  \| | | |   ___) | |_| | |\  | | |___ |____/ \___/|_| \_|_|\____| -- Software for Open Networking in the Cloud -- Unauthorized access and/or use are prohibited. All access and/or use are subject to monitoring. Help:    http://azure.github.io/SONiC/ admin@DELLSONiC:~$ admin@DELLSONiC:~$ sonic-cli DELLSONiC# DELLSONiC# configure DELLSONiC(config)#

Inicie sesión como operator1 con función

de operadorUn usuario con función de operador ingresa sonic-cli directamente, en lugar del shell. Además, un operador no puede ingresar al modo de configuración (solo lectura).
 

DELLSONiC login: operator1 Password: Last login: Tue Sep 12 18:29:02 UTC 2023 on ttyS0 Linux DELLSONiC 5.10.0-8-2-amd64 #1 SMP Debian 5.10.46-5 (2021-09-23) x86_64 You are on   ____   ___  _   _ _  ____ / ___| / _ \| \ | (_)/ ___| \___ \| | | |  \| | | |   ___) | |_| | |\  | | |___ |____/ \___/|_| \_|_|\____| -- Software for Open Networking in the Cloud -- Unauthorized access and/or use are prohibited. All access and/or use are subject to monitoring. Help:    http://azure.github.io/SONiC/ DELLSONiC# DELLSONiC# conf              ^ % Error: Invalid input detected at "^" marker. DELLSONiC#

Solución de problemas

Para depurar el servicio RADIUS, compruebe los archivos de registro en la carpeta /var/log/auth.log y los archivos de registro en show in-memory-logging and show logging SONiC CLI output.
Para obtener un registro más detallado, configure el campo de depuración en True en la clave de autenticación de la tabla AAA en la CONFIG_DB base de datos de Redis, o comuníquese con el soporte técnico.

PowerSwitch E3200-ON Series, Dell EMC Networking N3200-ON, PowerSwitch S5212F-ON, PowerSwitch S5224F-ON, PowerSwitch S5232F-ON, PowerSwitch S5248F-ON, PowerSwitch S5296F-ON, PowerSwitch Z9100-ON, PowerSwitch Z9264F-ON, PowerSwitch Z9332F-ON , PowerSwitch Z9432F-ON ... View More about warranties View Less about warranties