RADIUSサーバを使用したDell Networking SONiC AAA認証
Summary: この文書では、Dell SONiCがインストールされているスイッチでRADIUSサーバを使用してAAA認証を設定する方法について説明します。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
メモ: この文書では、Dell SONiC 4.1を実行しているスイッチを使用します。
この文書の前提条件
この記事では、次のことを前提としています。
- Dell Networking SonicとRadiusサーバーを実行しているスイッチ間の接続があります。
- Radiusサーバには、必要な管理特権レベル(MPL)属性が事前構成されたユーザーの詳細が含まれます。
索引
Dell SONiC
でのAAA RADIUS認証操作
ユーザー ロールとMPL値
構成
構成
例検証
Dell SONiCでのAAA RADIUS認証
認証、許可、アカウンティング(AAA)サービスは、不正アクセスからネットワークを保護します。
Enterprise SONiCは、これらのクライアント/サーバー認証システム
をサポートしています● RADIUS(リモート認証ダイヤルイン ユーザー サービス)
● TACACS+(ターミナル アクセス コントローラー アクセス制御システム)
● LDAP(軽量ディレクトリ アクセス プロトコル)
この文書では、Dell SONiCを実行しているスイッチでのAAA RADIUS認証の構成について説明します。
RADIUS認証中、スイッチはクライアントとして機能し、認証リクエストをサーバーに送信します。このリクエストには、すべてのユーザー認証とネットワーク サービス アクセス情報が含まれています。Radiusサーバは、ユーザー リクエストに対して[Accept]または[Reject]で応答します。
サーバーが Accept を送信すると、構成されたMPL値も含まれます。
MPL値がない場合、ユーザーにはオペレーター ロールが割り当てられます。ユーザー名 admin は、MPLなしで管理者権限を取得できます。
Enterprise SONiCでは、許可されたユーザーに読み取り/書き込みアクセスを許可するために、値15の管理特権レベル(MPL)属性が必要です。
ユーザーの役割の詳細については、以下のリンクをクリックしてください。
Dell Networking SONiCユーザーロールベースのアクセス制御
ユーザー ロールとMPL値
次の表は、Radiusサーバで構成されるさまざまなユーザ ロールと対応するMPL値を示しています。これはDell SONiC 4.1でテストされています
| ユーザー ロール | MPL値 |
|---|---|
| 管理者 | 15 |
| operator | 値なしまたは1 |
| netadmin | 14 |
| secadmin | 13 |
Configuration
スイッチでRadiusサーバの詳細を構成します。
構成構文
| Configuration | 説明 |
|---|---|
| admin@DELLSONiC:~$ sonic-cli | Dell sonic-cliに入る |
| DELLSONiC# 設定 | 構成モードに入る |
| DELLSONiC(config)# radius-server host auth-port auth-type key priority retransmit source-interface タイムアウト vrf | radiusサーバのIPアドレス/ホスト名と属性の構成 |
| DELLSONiC(config)# radius-server auth-type authentication-type> | (オプション)認証タイプを構成します。これは、radius-serverホストを個別に構成することもできます。 |
スイッチでRADIUSサーバの詳細を構成するには、ホスト名(最大63文字)、IP、またはIPv6アドレス、およびサーバ上のこれらのオプション値:
● auth-port UDPポート番号(1~65535)を入力します。 デフォルト1812)
● 転送タイムアウト(秒)(1~60、 デフォルト5)
● ユーザー認証リクエストがRADIUSサーバに再送信される回数(0~10。 デフォルト3)
● RADIUSサーバとスイッチ間で共有されるシークレット キー テキスト(最大65文字)。このキーはシステムによって暗号化されます。
● 認証タイプ — chap、chap、またはmschapv2。 デフォルトのpap。認証アルゴリズムは、スイッチとRADIUSサーバ間で送受信されるデータの暗号化/復号化に使用されます。
● 複数のRADIUSサーバにアクセスしてユーザーを認証するために使用される優先度(1~最高の優先度 64、 デフォルト1)。
● VRF名を入力して、RADIUSサーバに到達するために使用するVRFを指定します。
認証順序の有効化
スイッチは、認証方法のリストを使用して、認証のタイプとその適用順序を定義します。デフォルトでは、ローカル ユーザー データベースを使用したユーザーの認証には、ローカル認証方式のみが使用されます。RADIUSは、ローカル認証を使用してプライマリ認証またはセカンダリ認証方式として構成できます。
構成構文
| Configuration | 説明 |
|---|---|
| DELLSONiC(config)# aaa認証ログインデフォルトradius local | 認証順序の構成 |
| DELLSONiC(config)#aaa認証ログインのデフォルトなし | これにより、構成済みの認証方法が削除され、ローカル認証のみに戻ります。 |
RADIUS認証のフェールスルーの有効化(オプション)
複数のリモート サーバでRADIUSベースの認証を構成する必要がある場合は、フェールスルー オプションを使用します。1台のサーバーで認証リクエストが失敗した場合、フェールスルー機能はメソッド リスト内の各サーバーに引き続きアクセスします。
構成構文
| Configuration | 説明 |
|---|---|
| DELLSONiC(config)# aaa認証のフェイルスルーを有効にする | フェールスルーの有効化 |
| DELLSONiC(config)# aaa認証のフェイルスルー無効化 | フェールスルーの無効化 |
サンプル設定
2台のサーバー10.0.0.100 と10.0.0.130 を使用しており、デモを目的として キー123を使用していることを考えると、Radius Serverに事前構成された次のユーザーがいます。
| ユーザー名 | パスワード | ユーザー ロール | MPL(管理-権限レベル) |
|---|---|---|---|
| 管理者 | admin@123 | 管理者 | 15 |
| 演算子1 | operator1@123 | operator | 1 |
admin@DELLSONiC:~$ sonic-cli DELLSONiC# configure DELLSONiC(config)# radius-server host 10.0.0.100 key 123 DELLSONiC(config)# radius-server host 10.0.0.130 key 123 DELLSONiC(config)# radius-server auth-type pap DELLSONiC(config)# aaa authentication login default local group radius DELLSONiC(config)# aaa authentication failthrough enable |
構成済みのRADIUSサーバ
を表示するには構成済みのRADIUSサーバを表示するには、 show radius-server と show running-configuration | grep radius を使用します。
DELLSONiC# show running-configuration | grep radius radius-server timeout 5 radius-server auth-type pap radius-server host 10.0.0.100 auth-port 1812 key XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX= encrypted radius-server host 10.0.0.130 auth-port 1812 key XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX= encrypted |
DELLSONiC# show radius-server --------------------------------------------------------- RADIUS Global Configuration --------------------------------------------------------- timeout : 5 auth-type : pap key configured : No -------------------------------------------------------------------------------- HOST AUTH-TYPE KEY-CONFIG AUTH-PORT PRIORITY TIMEOUT RTSMT VRF SI -------------------------------------------------------------------------------- 10.0.0.100 - Yes 1812 - - - - - 10.0.0.130 - Yes 1812 - - - - - DELLSONiC# |
確認
AAA認証
を表示するにはAAA認証設定ユーザー コマンド show running-configuration | grep aaa および show aaa を表示するには
DELLSONiC# show running-configuration | grep aaa aaa authentication login default local group radius aaa authentication failthrough enable |
DELLSONiC# show aaa --------------------------------------------------------- AAA Authentication Information --------------------------------------------------------- failthrough : True login-method : local, radius |
管理者ロール
を持つ管理者ユーザーとしてログインします。adminロールを持つユーザーがシェルにログインします。管理者ロール のユーザーは、構成モード(書き込みアクセス)にアクセスできます。
DELLSONiC login: admin Password: Last login: Wed Sep 13 00:04:08 UTC 2023 on ttyS0 Linux DELLSONiC 5.10.0-8-2-amd64 #1 SMP Debian 5.10.46-5 (2021-09-23) x86_64 You are on ____ ___ _ _ _ ____ / ___| / _ \| \ | (_)/ ___| \___ \| | | | \| | | | ___) | |_| | |\ | | |___ |____/ \___/|_| \_|_|\____| -- Software for Open Networking in the Cloud -- Unauthorized access and/or use are prohibited. All access and/or use are subject to monitoring. Help: http://azure.github.io/SONiC/ admin@DELLSONiC:~$ admin@DELLSONiC:~$ sonic-cli DELLSONiC# DELLSONiC# configure DELLSONiC(config)# |
operatorロール
を使用して operator1 としてログインします。オペレーターの役割を持つユーザーは、シェルではなくsonic-cliに直接入力します。さらに、オペレーターは構成モード(読み取り専用)に入ることはできません。
DELLSONiC login: operator1 Password: Last login: Tue Sep 12 18:29:02 UTC 2023 on ttyS0 Linux DELLSONiC 5.10.0-8-2-amd64 #1 SMP Debian 5.10.46-5 (2021-09-23) x86_64 You are on ____ ___ _ _ _ ____ / ___| / _ \| \ | (_)/ ___| \___ \| | | | \| | | | ___) | |_| | |\ | | |___ |____/ \___/|_| \_|_|\____| -- Software for Open Networking in the Cloud -- Unauthorized access and/or use are prohibited. All access and/or use are subject to monitoring. Help: http://azure.github.io/SONiC/ DELLSONiC# DELLSONiC# conf ^ % Error: Invalid input detected at "^" marker. DELLSONiC# |
トラブルシューティング
RADIUSサービスをデバッグするには、/var/log/auth.logフォルダー内のログ ファイルと、 show in-memory-logging および show logging SONiC CLIコマンド出力 のログ ファイルを確認します。
詳細なログ記録を行う場合は、CONFIG_DB redisデータベースのAAAテーブルの認証キーでデバッグ フィールドをTrueに設定するか、テクニカル サポートにお問い合わせください。
Affected Products
PowerSwitch E3200-ON Series, Dell EMC Networking N3200-ON, PowerSwitch S5212F-ON, PowerSwitch S5224F-ON, PowerSwitch S5232F-ON, PowerSwitch S5248F-ON, PowerSwitch S5296F-ON, PowerSwitch Z9100-ON, PowerSwitch Z9264F-ON, PowerSwitch Z9332F-ON
, PowerSwitch Z9432F-ON
...
Article Properties
Article Number: 000217350
Article Type: How To
Last Modified: 22 Sep 2023
Version: 6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.