Autenticazione SONiC AAA Dell Networking tramite server RADIUS

NOTA: Questo articolo utilizza uno switch con Dell SONiC 4.1.

 

Prerequisiti di questo articolo

In questo articolo si presuppone quanto segue:

• È disponibile la connettività tra lo switch che esegue il server Dell Networking Sonic e Radius.
• Il server Radius dispone dei dettagli dell'utente con l'attributo Management-Privilege-Level (MPL) preconfigurato richiesto.

Indice

Autenticazione Radius AAA in Dell SONiC
Operazione
Ruoli utente e valori
MPLConfigurazione
Configurazione
di esempioVerifica            

 

Autenticazione Radius AAA in Dell SONiC

I servizi di autenticazione, autorizzazione e accounting (AAA) proteggeno le reti dall'accesso non autorizzato.

SONiC aziendale supporta questi sistemi
di autenticazione client/server● RADIUS (servizio utente di autenticazione remota dial-in)
● TACACS+ (Terminal Access Controller Access Control System)
● LDAP (Lightweight Directory Access Protocol)

Questo articolo è incentrato sulla configurazione dell'autenticazione RADIUS AAA su uno switch che esegue Dell SONiC.

 

Operazione

Durante l'autenticazione RADIUS, lo switch funge da client e invia richieste di autenticazione a un server. Questa richiesta contiene tutte le informazioni sull'autenticazione utente e sull'accesso al servizio di rete. Il server Radius risponde con una richiesta di accettazione o rifiuto per la richiesta dell'utente.
Se il server invia un'opzione Accetta, includerà anche il valore MPL configurato.
Se non è presente alcun valore MPL, all'utente viene assegnato un ruolo operatore. Il nome utente admin può ottenere privilegi di amministratore senza un MPL.
Enterprise SONiC richiede l'attributo Management-Privilege-Level (MPL) con valore 15 per concedere l'accesso in lettura e scrittura a un utente autorizzato. 


 

Per maggiori informazioni sui ruoli utente, cliccare sul link riportato di seguito.
Controllo degli accessi basato sui ruoli dell'utente SONiC Dell Networking

 

Ruoli utente e valori MPL

La tabella seguente fa riferimento a vari ruoli utente e ai valori MPL corrispondenti da configurare sul server Radius. Questo è testato in Dell SONiC 4.1

Ruolo utente	Valore MPL
admin	15
Operatore	Nessun valore o 1
Netadmin	14
secadmin	13

 

Configurazione

Configurare i dettagli dei server Radius sullo switch.

Sintassi di configurazione
 

Configurazione	Spiegazione
admin@DELLSONiC:~$ sonic-cli	Accedere a Dell sonic-cli
CONFIGURAZIONE DI DELLSONiC #	Accedere alla modalità di configurazione
DELLSONiC(config)# radius-server host auth-port auth-type > testo < chiave> priorità ritrasmettere interfaccia di origine timeout vrf	Configurazione dell'indirizzo IP/nome host e degli attributi del server Radius
DELLSONiC(config)# radius-server auth-type authentication-type>	(Opzionale) Configurare il tipo di autenticazione. Questo può anche essere configurato separatamente con l'host del server RADIUS.

Per configurare i dettagli di un server RADIUS sullo switch, immettere il nome host (massimo 63 caratteri), l'indirizzo IP o IPv6 e questi valori opzionali:
● numero di porta UDP auth-port sul server (da 1 a 65535; 1812 predefinito)
● Timeout di trasmissione in secondi (da 1 a 60; valore predefinito 5)
● Numero di volte in cui una richiesta di autenticazione utente viene ricollegata a un server RADIUS (da 0 a 10; valore predefinito 3)
● Testo della chiave segreta condiviso tra un server RADIUS e lo switch (fino a 65 caratteri). Questa chiave è crittografata dal sistema.
● Tipo di autenticazione: chap, paper o mschapv2; impostazione predefinita; l'algoritmo di autenticazione viene utilizzato per crittografare/decrittografare i dati inviati e ricevuti tra lo switch e il server RADIUS.
● Priorità utilizzata per accedere a più server RADIUS per autenticare gli utenti (1 alla priorità più alta 64; valore predefinito 1).
● Immettere un nome VRF per specificare il VRF da utilizzare per raggiungere il server RADIUS.
 

Abilitare l'ordine di autenticazione

Uno switch utilizza un elenco di metodi di autenticazione per definire i tipi di autenticazione e la sequenza in cui si applicano. Per impostazione predefinita, solo il metodo di autenticazione locale viene utilizzato per autenticare gli utenti con il database utente locale. È possibile configurare RADIUS come metodo di autenticazione primario o secondario con l'autenticazione locale.

Sintassi di configurazione
 

Configurazione	Spiegazione
DELLSONiC(config)# aaa authentication login default radius local	Configurare l'ordine di autenticazione
DELLSONiC(config)#no aaa authentication login default	In questo modo vengono rimuoveti i metodi di autenticazione configurati e viene restituita solo l'autenticazione locale

 

Abilitare il fail-through per l'autenticazione RADIUS (opzionale)

Utilizzare l'opzione fail-through se è necessario configurare l'autenticazione basata su RADIUS con più di un server remoto. La funzionalità fail-through continua ad accedere a ogni server nell'elenco dei metodi se una richiesta di autenticazione ha esito negativo su un server. 

Sintassi di configurazione
 

Configurazione	Spiegazione
DELLSONiC(config)# aaa authentication failthrough enable	Abilita fail-through
DELLSONiC(config)# aaa authentication failthrough disable	Disabilita failover

 
 

Configurazione di esempio

Si consideri che abbiamo due server 10.0.0.100 e 10.0.0.130 e che stiamo utilizzando la chiave 123

Ai fini della dimostrazione, abbiamo i seguenti utenti preconfigurati in Radius Server.

Username (Nome utente)	Password	Ruolo utente	MPL (management-livello privilegio)
admin	admin@123	admin	15
operatore1	operator1@123	Operatore	1

 
 

admin@DELLSONiC:~$ sonic-cli DELLSONiC# configure DELLSONiC(config)# radius-server host 10.0.0.100 key 123 DELLSONiC(config)# radius-server host 10.0.0.130 key 123 DELLSONiC(config)# radius-server auth-type pap DELLSONiC(config)# aaa authentication login default local group radius DELLSONiC(config)# aaa authentication failthrough enable

Per visualizzare i server

RADIUS configuratiPer visualizzare i server RADIUS configurati, utilizzare show radius-server e show running-configuration | grep radius
 

DELLSONiC# show running-configuration | grep radius radius-server timeout 5 radius-server auth-type pap radius-server host 10.0.0.100 auth-port 1812 key XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX= encrypted radius-server host 10.0.0.130 auth-port 1812 key XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX= encrypted

DELLSONiC# show radius-server --------------------------------------------------------- RADIUS Global Configuration --------------------------------------------------------- timeout        : 5 auth-type      : pap key configured : No -------------------------------------------------------------------------------- HOST            AUTH-TYPE KEY-CONFIG AUTH-PORT PRIORITY TIMEOUT RTSMT VRF   SI -------------------------------------------------------------------------------- 10.0.0.100      -         Yes        1812      -        -       -     -     - 10.0.0.130      -         Yes        1812      -        -       -     -     - DELLSONiC#

 

Verifica

Per visualizzare l'autenticazione

AAAPer visualizzare il comando utente di configurazione dell'autenticazione AAA show running-configuration | grep aaa e show aaa
 

DELLSONiC# show running-configuration | grep aaa aaa authentication login default local group radius aaa authentication failthrough enable

DELLSONiC# show aaa --------------------------------------------------------- AAA Authentication Information --------------------------------------------------------- failthrough  : True login-method : local, radius

Accedere come utente amministratore con ruolo

di amministratoreUn utente con ruolo di amministratore accede alla shell. L'utente ruolo amministratore ha accesso alla modalità di configurazione (accesso in scrittura)

DELLSONiC login: admin Password: Last login: Wed Sep 13 00:04:08 UTC 2023 on ttyS0 Linux DELLSONiC 5.10.0-8-2-amd64 #1 SMP Debian 5.10.46-5 (2021-09-23) x86_64 You are on   ____   ___  _   _ _  ____ / ___| / _ \| \ | (_)/ ___| \___ \| | | |  \| | | |   ___) | |_| | |\  | | |___ |____/ \___/|_| \_|_|\____| -- Software for Open Networking in the Cloud -- Unauthorized access and/or use are prohibited. All access and/or use are subject to monitoring. Help:    http://azure.github.io/SONiC/ admin@DELLSONiC:~$ admin@DELLSONiC:~$ sonic-cli DELLSONiC# DELLSONiC# configure DELLSONiC(config)#

Accedere come operator1 con ruolo

operatorUn utente con ruolo operator entra direttamente in sonic-cli, anziché nella shell. Inoltre, un operatore non può accedere alla modalità di configurazione (sola lettura).
 

DELLSONiC login: operator1 Password: Last login: Tue Sep 12 18:29:02 UTC 2023 on ttyS0 Linux DELLSONiC 5.10.0-8-2-amd64 #1 SMP Debian 5.10.46-5 (2021-09-23) x86_64 You are on   ____   ___  _   _ _  ____ / ___| / _ \| \ | (_)/ ___| \___ \| | | |  \| | | |   ___) | |_| | |\  | | |___ |____/ \___/|_| \_|_|\____| -- Software for Open Networking in the Cloud -- Unauthorized access and/or use are prohibited. All access and/or use are subject to monitoring. Help:    http://azure.github.io/SONiC/ DELLSONiC# DELLSONiC# conf              ^ % Error: Invalid input detected at "^" marker. DELLSONiC#

Risoluzione dei problemi relativi

Per eseguire il debug del servizio RADIUS, controllare i file di registro nella cartella /var/log/auth.log e i file di registro nell'output del comando show in-memory-logging e show logging SONiC CLI.
Per una registrazione più dettagliata, impostare il campo debug su True nella chiave di autenticazione della tabella AAA nel database redis CONFIG_DB oppure contattare il supporto tecnico.

PowerSwitch E3200-ON Series, Dell EMC Networking N3200-ON, PowerSwitch S5212F-ON, PowerSwitch S5224F-ON, PowerSwitch S5232F-ON, PowerSwitch S5248F-ON, PowerSwitch S5296F-ON, PowerSwitch Z9100-ON, PowerSwitch Z9264F-ON, PowerSwitch Z9332F-ON , PowerSwitch Z9432F-ON ... View More about warranties View Less about warranties