Authentification AAA SONiC Dell Networking à l’aide d’un serveur RADIUS

Remarque : Cet article utilise un commutateur exécutant Dell SONiC 4.1.

 

Conditions préalables de cet article

Cet article suppose les éléments suivants :

• Nous disposons d’une connectivité entre le commutateur qui exécute Dell Networking Sonic et le serveur Radius.
• Le serveur Radius dispose des détails de l’utilisateur avec l’attribut MPL (Management-Privilege-Level) requis préconfiguré.

Index

Authentification AAA radius dans Dell SONiC
Opération
Rôles d’utilisateur et valeurs
MPLConfiguration
Exemple de configuration
Vérification            

 

Authentification AAA radius dans Dell SONiC

Les services d’authentification, d’autorisation et de comptabilité (AAA) protègent les réseaux contre tout accès non autorisé.

Enterprise SONiC prend en charge ces systèmes
d’authentification client/serveur● RADIUS (service d’authentification commutée à distance)
● TACACS+ (système de contrôle d’accès du contrôleur d’accès au terminal)
● LDAP (lightweight directory access protocol)

Cet article se concentre sur la configuration de l’authentification AAA RADIUS sur un commutateur exécutant Dell SONiC.

 

Opération

Lors de l’authentification RADIUS, le commutateur agit comme un client et envoie des demandes d’authentification à un serveur. Cette demande contient toutes les informations d’authentification des utilisateurs et d’accès au service réseau. Le serveur Radius répond avec une demande d’acceptation ou de rejet pour l’utilisateur.
Si le serveur envoie une acceptation, il inclut également sa valeur MPL configurée.
S’il n’y a pas de valeur MPL, un rôle d’opérateur est attribué à l’utilisateur. L’administrateur du nom d’utilisateur peut obtenir des privilèges d’administration sans MPL.
Enterprise SONiC nécessite l’attribut Management-Privilege-Level (MPL) avec la valeur 15 pour accorder l’accès en lecture/écriture à un utilisateur autorisé. 


 

Pour en savoir plus sur les rôles d’utilisateur, cliquez sur le lien ci-dessous.
Contrôle d’accès basé sur les rôles de l’utilisateur DELL Networking SONiC

 

Rôles d’utilisateur et valeurs MPL

Le tableau ci-dessous mentionne les différents rôles d’utilisateur et leurs valeurs MPL correspondantes à configurer sur le serveur Radius. Il est testé dans Dell SONiC 4.1

Rôle d’utilisateur	Valeur MPL
admin	15
operator	Aucune valeur ou 1
netadmin	14
secadmin	13

 

Configuration

Configurer les détails des serveurs Radius sur le commutateur.

Syntaxe de configuration
 

Configuration	Explication
admin@DELLSONiC :~$ sonic-cli	Accédez à Dell sonic-cli
Configuration du numéro DELLSONiC	Passer en mode configuration
DELLSONiC(config)# radius-server host auth-port auth-type clé priorité retransmettre interface source délai d’expiration vrf	Configurer l’adresse IP/le nom d’hôte et les attributs du serveur Radius
DELLSONiC(config)# radius-server auth-type authentication-type>	(En option) Configurer le type d’authentification. Il peut également être configuré avec l’hôte radius-server séparément.

Pour configurer les détails d’un serveur RADIUS sur le commutateur, saisissez son nom d’hôte (63 caractères maximum), son adresse IP ou IPv6 et ces valeurs facultatives :
● numéro de port UDP auth-port sur le serveur (1 à 65 535 ; 1812 par défaut)
● Délai d’expiration de la transmission en secondes (1 à 60 ; par défaut 5)
● Nombre de fois qu’une demande d’authentification utilisateur est envoyée à un serveur RADIUS (0 à 10 ; par défaut 3)
● Texte de clé secrète partagé entre un serveur RADIUS et le commutateur (jusqu’à 65 caractères). Cette clé est chiffrée par le système.
● Type d’authentification : chap, pap ou mschapv2 ; pap par défaut ; l’algorithme d’authentification est utilisé pour chiffrer/déchiffrer les données envoyées et reçues entre le commutateur et le serveur RADIUS.
● Priorité utilisée pour accéder à plusieurs serveurs RADIUS pour authentifier les utilisateurs (1 à la priorité la plus élevée 64 ; par défaut 1).
● Saisissez un nom VRF pour spécifier le VRF à utiliser pour atteindre le serveur RADIUS.
 

Activer l’ordre d’authentification

Un commutateur utilise une liste de méthodes d’authentification pour définir les types d’authentification et la séquence dans laquelle elles s’appliquent. Par défaut, seule la méthode d’authentification locale est utilisée pour authentifier les utilisateurs auprès de la base de données des utilisateurs locaux. Nous pouvons configurer RADIUS en tant que méthode d’authentification principale ou secondaire avec l’authentification locale.

Syntaxe de configuration
 

Configuration	Explication
DELLSONiC(config)# authentification aaa connexion radius local par défaut	Configurer l’ordre d’authentification
DELLSONiC(config)#no aaa authentication login default	Cela supprime les méthodes d’authentification configurées et revient à l’authentification locale uniquement.

 

Activer le basculement pour l’authentification RADIUS (facultatif)

Utilisez l’option de basculement si vous avez besoin de configurer l’authentification BASÉE SUR RADIUS avec plusieurs serveurs distants. La fonction de basculement continue d’accéder à chaque serveur de la liste des méthodes en cas d’échec d’une demande d’authentification sur un serveur. 

Syntaxe de configuration
 

Configuration	Explication
DELLSONiC(config)# activation du transfert d’authentification aaa	Activer le basculement
DellSONiC(config)# aaa authentication failthrough disable	Désactiver le basculement

 
 

Exemple de configuration

Considérons que nous disposons de deux serveurs 10.0.0.100 et 10.0.0.130 et que nous utilisons la clé 123

pour la démonstration, nous avons les utilisateurs suivants préconfigurés dans Radius Server.

Nom d’utilisateur	Password (Mot de passe)	Rôle d’utilisateur	MPL (niveau de privilège de gestion)
admin	admin@123	admin	15
opérateur1	operator1@123	operator	1

 
 

admin@DELLSONiC:~$ sonic-cli DELLSONiC# configure DELLSONiC(config)# radius-server host 10.0.0.100 key 123 DELLSONiC(config)# radius-server host 10.0.0.130 key 123 DELLSONiC(config)# radius-server auth-type pap DELLSONiC(config)# aaa authentication login default local group radius DELLSONiC(config)# aaa authentication failthrough enable

Pour afficher les serveurs

RADIUS configurésPour afficher les serveurs RADIUS configurés, utilisez show radius-server configuré et show running-configuration | grep radius
 

DELLSONiC# show running-configuration | grep radius radius-server timeout 5 radius-server auth-type pap radius-server host 10.0.0.100 auth-port 1812 key XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX= encrypted radius-server host 10.0.0.130 auth-port 1812 key XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX= encrypted

DELLSONiC# show radius-server --------------------------------------------------------- RADIUS Global Configuration --------------------------------------------------------- timeout        : 5 auth-type      : pap key configured : No -------------------------------------------------------------------------------- HOST            AUTH-TYPE KEY-CONFIG AUTH-PORT PRIORITY TIMEOUT RTSMT VRF   SI -------------------------------------------------------------------------------- 10.0.0.100      -         Yes        1812      -        -       -     -     - 10.0.0.130      -         Yes        1812      -        -       -     -     - DELLSONiC#

 

Vérification

Pour afficher l’authentification

AAAPour afficher la commande utilisateur de configuration d’authentification AAA show running-configuration | grep aaa et show aaa
 

DELLSONiC# show running-configuration | grep aaa aaa authentication login default local group radius aaa authentication failthrough enable

DELLSONiC# show aaa --------------------------------------------------------- AAA Authentication Information --------------------------------------------------------- failthrough  : True login-method : local, radius

Connectez-vous en tant qu’utilisateur administrateur avec le rôle

d’administrateurUn utilisateur doté du rôle d’administrateur se connecte au shell. L’utilisateur du rôle d’administrateur a accès au mode de configuration (accès en écriture)

DELLSONiC login: admin Password: Last login: Wed Sep 13 00:04:08 UTC 2023 on ttyS0 Linux DELLSONiC 5.10.0-8-2-amd64 #1 SMP Debian 5.10.46-5 (2021-09-23) x86_64 You are on   ____   ___  _   _ _  ____ / ___| / _ \| \ | (_)/ ___| \___ \| | | |  \| | | |   ___) | |_| | |\  | | |___ |____/ \___/|_| \_|_|\____| -- Software for Open Networking in the Cloud -- Unauthorized access and/or use are prohibited. All access and/or use are subject to monitoring. Help:    http://azure.github.io/SONiC/ admin@DELLSONiC:~$ admin@DELLSONiC:~$ sonic-cli DELLSONiC# DELLSONiC# configure DELLSONiC(config)#

Connectez-vous en tant qu’opérateur1 avec le rôle

d’opérateurUn utilisateur doté du rôle d’opérateur entre directement dans sonic-cli, plutôt que dans le shell. En outre, un opérateur ne peut pas passer en mode config (lecture seule).
 

DELLSONiC login: operator1 Password: Last login: Tue Sep 12 18:29:02 UTC 2023 on ttyS0 Linux DELLSONiC 5.10.0-8-2-amd64 #1 SMP Debian 5.10.46-5 (2021-09-23) x86_64 You are on   ____   ___  _   _ _  ____ / ___| / _ \| \ | (_)/ ___| \___ \| | | |  \| | | |   ___) | |_| | |\  | | |___ |____/ \___/|_| \_|_|\____| -- Software for Open Networking in the Cloud -- Unauthorized access and/or use are prohibited. All access and/or use are subject to monitoring. Help:    http://azure.github.io/SONiC/ DELLSONiC# DELLSONiC# conf              ^ % Error: Invalid input detected at "^" marker. DELLSONiC#

Dépannage

Pour déboguer le service RADIUS, vérifiez les fichiers journaux dans le dossier /var/log/auth.log, et les fichiers journaux dans show in-memory-logging et show logging SONiC CLI command output.
Pour une consignation plus détaillée, définissez le champ de débogage sur True dans la clé d’authentification du tableau AAA dans la base de données CONFIG_DB redis, ou contactez le support technique.

PowerSwitch E3200-ON Series, Dell EMC Networking N3200-ON, PowerSwitch S5212F-ON, PowerSwitch S5224F-ON, PowerSwitch S5232F-ON, PowerSwitch S5248F-ON, PowerSwitch S5296F-ON, PowerSwitch Z9100-ON, PowerSwitch Z9264F-ON, PowerSwitch Z9332F-ON , PowerSwitch Z9432F-ON ... View More about warranties View Less about warranties