RADIUS 서버를 사용한 Dell Networking SONiC AAA 인증

Summary: 이 문서에서는 Dell SONiC가 설치된 스위치에서 RADIUS 서버를 사용하여 AAA 인증을 구성하는 방법에 대해 설명합니다.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

참고: 이 문서에서는 Dell SONiC 4.1을 실행하는 스위치를 사용합니다.

 


이 문서의 사전 요구 사항

이 문서에서는 다음을 가정합니다.
  • Dell Networking Sonic 및 Radius 서버를 실행하는 스위치 간에 연결이 있습니다.
  • Radius 서버에는 필요한 MPL(Management-Privilege-Level) 속성이 사전 구성된 사용자 세부 정보가 있습니다.


인덱스

Dell SONiC
의 AAA Radius 인증작업
사용자 역할 및 MPL 값
구성
샘플 구성
확인            

 

Dell SONiC의 AAA Radius 인증


인증, 권한 부여 및 회계(AAA) 서비스는 무단 액세스에 대한 네트워크를 보호합니다.

Enterprise SONiC는 이러한 클라이언트/서버 인증 시스템
● RADIUS(원격 인증 다이얼인 사용자 서비스)
● TACACS+(터미널 액세스 컨트롤러 액세스 제어 시스템)
● LDAP(경량 디렉토리 액세스 프로토콜)

를 지원합니다. 이 문서에서는 Dell SONiC를 실행하는 스위치에서 AAA RADIUS 인증을 구성하는 데 중점을 둡니다.

 

작동

RADIUS 인증 중에 스위치는 클라이언트 역할을 하며 인증 요청을 서버에 전송합니다. 이 요청에는 모든 사용자 인증 및 네트워크 서비스 액세스 정보가 포함되어 있습니다. Radius 서버가 사용자 요청에 대한 수락 또는 거부로 응답합니다.
서버에 Accept를 보내는 경우 구성된 MPL 값도 포함됩니다.
MPL 값이 없는 경우 사용자에게 운영자 역할이 할당됩니다. 사용자 이름 관리자는 MPL 없이 관리자 권한을 얻을 수 있습니다.
Enterprise SONiC에서는 권한이 부여된 사용자에게 읽기/쓰기 액세스를 허용하려면 값이 15인 MPL(Management-Privilege-Level) 속성이 필요합니다. 

Radius 인증
 

사용자 역할에 대한 자세한 내용을 보려면 아래 링크를 클릭하십시오.
Dell Networking SONiC 사용자 역할 기반 액세스 제어

 

사용자 역할 및 MPL 값

아래 표에는 Radius 서버에 구성할 다양한 사용자 역할과 해당 MPL 값이 나와 있습니다. 이 테스트는 Dell SONiC 4.1에서 테스트되었습니다.

                 사용자 역할                              MPL 값                 
admin 15
operator 값 없음 또는 1
netadmin 14
secadmin 13


 

구성


스위치에서 Radius 서버 세부 정보를 구성합니다.

구성 구문
 
구성 설명
admin@DELLSONiC:~$ sonic-cli Dell sonic-cli 시작
DELLSONiC# configure 구성 모드로 전환
DELLSONiC(config)# radius-server host auth-port auth-type key priority retransmit source-interface 시간 초과 vrf radius 서버 IP 주소/호스트 이름 및 속성 구성
DELLSONiC(config)# radius-server auth-type authentication-type> (선택 사항) 인증 유형을 구성합니다. Radius-Server 호스트와 별도로 구성할 수도 있습니다.

스위치에서 RADIUS 서버 세부 정보를 구성하려면 해당 호스트 이름(최대 63자), IP 또는 IPv6 주소를 입력하고 이러한 옵션 값:
● auth-port UDP 포트 번호(1~65535; 기본값 1812)
● 전송 시간 초과(초~1~60초), 기본값 5)
● 사용자 인증 요청이 RADIUS 서버에 다시 전송되는 횟수(0~10개; 기본값 3)
● RADIUS 서버와 스위치 간에 공유되는 암호 키 텍스트(최대 65자). 이 키는 시스템에서 암호화합니다.
● 인증 유형 - chap, pap 또는 mschapv2; 기본 pap; 인증 알고리듬은 스위치와 RADIUS 서버 간에 전송 및 수신된 데이터를 암호화/해독하는 데 사용됩니다.
● 여러 RADIUS 서버에 액세스하여 사용자를 인증하는 데 사용되는 우선 순위(우선 순위가 가장 높은 1~64개; 기본값 1).
● VRF 이름을 입력하여 RADIUS 서버에 연결할 때 사용할 VRF를 지정합니다.
 


인증 순서 활성화

스위치는 인증 방법 목록을 사용하여 인증 유형과 적용 순서를 정의합니다. 기본적으로 로컬 인증 방법만 로컬 사용자 데이터베이스로 사용자를 인증하는 데 사용됩니다. 로컬 인증을 통해 RADIUS를 기본 또는 보조 인증 방법으로 구성할 수 있습니다.

구성 구문
 
구성 설명
DELLSONiC(config)# aaa authentication 로그인 기본 radius local     인증 순서 구성   
DELLSONiC(config)#no aaa authentication 로그인 기본값 이렇게 하면 구성된 인증 방법이 제거되고 로컬 인증으로만 돌아갑니다.
 


RADIUS 인증을 위한 페일스루 활성화(선택 사항)

두 개 이상의 원격 서버로 RADIUS 기반 인증을 구성해야 하는 경우 페일스루 옵션을 사용합니다. 한 서버에서 인증 요청이 실패할 경우 페일스루 기능은 메서드 목록의 각 서버에 계속 액세스합니다. 

구성 구문
 
구성 설명
DELLSONiC(config)# aaa authentication failthrough enable      페일스루 활성화      
DELLSONiC(config)# aaa authentication failthrough disable Fail through 비활성화 
 
 

샘플 구성

2대의 서버 10.0.0.100 10.0.0.130 을 사용하고 있으며, 데모를 위해 Key 123

을 사용하고 있습니다. Radius Server에는 다음과 같은 사용자가 사전 구성되어 있습니다.
 
사용자 이름                  비밀번호         사용자 역할                     MPL(Management-Privilege-Level)
admin admin@123 admin 15
operator1        operator1@123       operator 1
 
  
admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# radius-server host 10.0.0.100 key 123
DELLSONiC(config)# radius-server host 10.0.0.130 key 123
DELLSONiC(config)# radius-server auth-type pap
DELLSONiC(config)# aaa authentication login default local group radius
DELLSONiC(config)# aaa authentication failthrough enable


구성된 RADIUS 서버를

보려면구성된 RADIUS 서버를 보려면 구성된 show radius-server를 사용하고 running-configuration | grep radius를 표시합니다.
  
DELLSONiC# show running-configuration | grep radius
radius-server timeout 5
radius-server auth-type pap
radius-server host 10.0.0.100 auth-port 1812 key XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX= encrypted
radius-server host 10.0.0.130 auth-port 1812 key XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX= encrypted
 
DELLSONiC# show radius-server
---------------------------------------------------------
RADIUS Global Configuration
---------------------------------------------------------
timeout        : 5
auth-type      : pap
key configured : No
--------------------------------------------------------------------------------
HOST            AUTH-TYPE KEY-CONFIG AUTH-PORT PRIORITY TIMEOUT RTSMT VRF   SI
--------------------------------------------------------------------------------
10.0.0.100      -         Yes        1812      -        -       -     -     -
10.0.0.130      -         Yes        1812      -        -       -     -     -
DELLSONiC#


 

확인


AAA 인증

을 보려면AAA 인증 구성 사용자 명령을 보려면 running-configuration | grep aaa를 표시하고 aaa를 표시합니다.
  
DELLSONiC# show running-configuration | grep aaa
aaa authentication login default local group radius
aaa authentication failthrough enable
 
DELLSONiC# show aaa
---------------------------------------------------------
AAA Authentication Information
---------------------------------------------------------
failthrough  : True
login-method : local, radius


admin 역할을

가진 관리자로 로그인합니다.관리자 역할이 있는 사용자가 셸에 로그인합니다. 관리자 역할 사용자가 구성 모드(쓰기 액세스)에 액세스할 수 있음 
DELLSONiC login: admin
Password:
Last login: Wed Sep 13 00:04:08 UTC 2023 on ttyS0
Linux DELLSONiC 5.10.0-8-2-amd64 #1 SMP Debian 5.10.46-5 (2021-09-23) x86_64
You are on
  ____   ___  _   _ _  ____
/ ___| / _ \| \ | (_)/ ___|
\___ \| | | |  \| | | |
  ___) | |_| | |\  | | |___
|____/ \___/|_| \_|_|\____|

-- Software for Open Networking in the Cloud --

Unauthorized access and/or use are prohibited.
All access and/or use are subject to monitoring.

Help:    http://azure.github.io/SONiC/

admin@DELLSONiC:~$
admin@DELLSONiC:~$ sonic-cli
DELLSONiC#
DELLSONiC# configure
DELLSONiC(config)#


연산자 역할을

가진 operator1로 로그인합니다.운영자 역할을 가진 사용자는 셸이 아닌 sonic-cli로 직접 들어갑니다. 또한 운영자는 구성 모드로 들어갈 수 없습니다(읽기 전용).
  
DELLSONiC login: operator1
Password:
Last login: Tue Sep 12 18:29:02 UTC 2023 on ttyS0
Linux DELLSONiC 5.10.0-8-2-amd64 #1 SMP Debian 5.10.46-5 (2021-09-23) x86_64
You are on
  ____   ___  _   _ _  ____
/ ___| / _ \| \ | (_)/ ___|
\___ \| | | |  \| | | |
  ___) | |_| | |\  | | |___
|____/ \___/|_| \_|_|\____|

-- Software for Open Networking in the Cloud --

Unauthorized access and/or use are prohibited.
All access and/or use are subject to monitoring.

Help:    http://azure.github.io/SONiC/

DELLSONiC#
DELLSONiC# conf
             ^
% Error: Invalid input detected at "^" marker.
DELLSONiC#


문제 해결

RADIUS 서비스를 디버그하려면 /var/log/auth.log 폴더의 로그 파일과 인메모리 로깅에 있는 로그 파일을 확인하고 로깅 SONiC CLI 명령 출력을 표시합니다.
자세한 로깅을 보려면 데이터베이스를 다시 CONFIG_DB AAA 테이블의 인증 키에서 디버그 필드를 True로 설정하거나 기술 지원 부서에 문의하십시오.

Affected Products

PowerSwitch E3200-ON Series, Dell EMC Networking N3200-ON, PowerSwitch S5212F-ON, PowerSwitch S5224F-ON, PowerSwitch S5232F-ON, PowerSwitch S5248F-ON, PowerSwitch S5296F-ON, PowerSwitch Z9100-ON, PowerSwitch Z9264F-ON, PowerSwitch Z9332F-ON , PowerSwitch Z9432F-ON ...
Article Properties
Article Number: 000217350
Article Type: How To
Last Modified: 22 Sep 2023
Version:  6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.