Dell Networking SONiC AAA-authenticatie met radius-server
Summary: In dit artikel wordt uitgelegd hoe u AAA-authenticatie configureert met behulp van RADIUS-server op een door Dell SONiC geïnstalleerde switch.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
OPMERKING: Dit artikel gebruikt een switch met Dell SONiC 4.1.
Vereisten van dit artikel
In dit artikel wordt uitgegaan van het volgende:
- We hebben verbinding tussen de switch waarop Dell Networking Sonic en Radius server wordt uitgevoerd.
- De Radius-server heeft de gebruikersgegevens met het vereiste MPL-kenmerk (Management-Privilege-Level) vooraf geconfigureerd.
Index
AAA-radiusauthenticatie in Dell SONiC
Bewerking
Gebruikersrollen en MPL-waarden
Configuratie
Voorbeeldconfiguratie
Verificatie
AAA-radiusauthenticatie in Dell SONiC
Verificatie-, autorisatie- en accountingservices (AAA) beveiligen netwerken tegen onbevoegde toegang.
Enterprise SONiC ondersteunt deze client-/serverauthenticatiesystemen
● RADIUS (remote authentication dial-in user service)
● TACACS+ (terminal access controller access control system)
● LDAP (lightweight directory access protocol)
Dit artikel is gericht op de configuratie van AAA RADIUS-authenticatie op een switch waarop Dell SONiC wordt uitgevoerd.
Tijdens RADIUS-authenticatie fungeert de switch als client en verzendt deze authenticatieaanvragen naar een server. Dit verzoek bevat alle gebruikersauthenticatie- en netwerkservicetoegangsinformatie. De Radius-server reageert met een accepteren of afwijzen voor de gebruikersaanvraag.
Als de server een Accept stuurt, bevat deze ook de geconfigureerde MPL-waarde.
Als er geen MPL-waarde is, wordt aan de gebruiker een operatorrol toegewezen. De gebruikersnaambeheerder kan beheerdersrechten krijgen zonder een MPL.
Enterprise SONiC vereist het kenmerk Management-Privilege-Level (MPL) met waarde 15 om lees-/schrijftoegang te verlenen aan een geautoriseerde gebruiker.
Klik op de onderstaande koppeling voor meer informatie over gebruikersrollen.
Op rollen gebaseerde toegangscontrole voor Dell Networking SONiC-gebruikers
Gebruikersrollen en MPL-waarden
In de onderstaande tabel worden verschillende gebruikersrollen en bijbehorende MPL-waarden vermeld die moeten worden geconfigureerd op de Radius-server. Dit is getest in Dell SONiC 4.1
| Rol van gebruiker | MPL-waarde |
|---|---|
| admin | 15 |
| Operator | Geen waarde of 1 |
| netadmin | 14 |
| secadmin | 13 |
Configuratie
Configureer Radius-servers details op de switch.
Configuratiesyntaxis
| Configuratie | Uitleg |
|---|---|
| admin@DELLSONiC:~$ sonic-cli | Ga naar Dell Sonic-CLI |
| DELLSONiC# configureren | Configuratiemodus activeren |
| DELLSONiC(config)# radius-server host auth-port auth-type key priority source-interface time-out vrf | IP-adres/hostnaam en kenmerken van radiusserver configureren |
| DELLSONiC(config)# radius-server auth-type authentication-type> | (Optioneel) Configureer het verificatietype. Dit kan ook afzonderlijk worden geconfigureerd met de radius-serverhost. |
Als u een RADIUS-serverdetails op de switch wilt configureren, voert u de hostnaam (maximaal 63 tekens), het IP- of IPv6-adres en deze optionele waarden in:
● UDP-poortnummer van de auth-port op de server (1 tot 65535; standaard 1812)
● Time-out transmissie in seconden (1 tot 60; standaard 5)
● Het aantal keren dat een aanvraag voor gebruikersauthenticatie wordt gericht op een RADIUS-server (0 tot 10; standaard 3)
● Geheime sleuteltekst die wordt gedeeld tussen een RADIUS-server en de switch (maximaal 65 tekens). Deze sleutel wordt versleuteld door het systeem.
● Verificatietype: chap, pap of mschapv2; standaard pap; het authenticatiealgoritme wordt gebruikt om data te versleutelen/ontsleutelen die worden verzonden en ontvangen tussen de switch en de RADIUS-server.
● Prioriteit die wordt gebruikt om toegang te krijgen tot meerdere RADIUS-servers om gebruikers te verifiëren (1 tot de hoogste prioriteit 64; standaard 1).
● Voer een VRF-naam in om de VRF op te geven die moet worden gebruikt om de RADIUS-server te bereiken.
Verificatievolgorde inschakelen
Een switch gebruikt een lijst met verificatiemethoden om de typen authenticatie en de volgorde waarin ze van toepassing zijn te definiëren. Standaard wordt alleen de lokale verificatiemethode gebruikt om gebruikers te verifiëren met de lokale gebruikersdatabase. We kunnen RADIUS configureren als primaire of secundaire verificatiemethode met lokale authenticatie.
Configuratiesyntaxis
| Configuratie | Uitleg |
|---|---|
| DELLSONiC(config)# aaa authentication login default radius local | Verificatievolgorde configureren |
| DELLSONiC(config)#no aaa authentication login default | Hierdoor worden de geconfigureerde verificatiemethoden verwijderd en worden alleen lokale verificaties uitgevoerd |
Fail-through inschakelen voor RADIUS-authenticatie (optioneel)
Gebruik de fail-through-optie als we RADIUS-gebaseerde authenticatie moeten configureren met meer dan één externe server. De fail-through-functie blijft toegang krijgen tot elke server in de methodelijst als een verificatieverzoek mislukt op één server.
Configuratiesyntaxis
| Configuratie | Uitleg |
|---|---|
| DELLSONiC(config)# aaa authentication failthrough enable | Enable fail through (Inschakelen via mislukt) |
| DELLSONiC(config)# aaa authentication failthrough disable | Fail through uitschakelen |
Voorbeeldconfiguratie
Stel dat we twee servers 10.0.0.100 en 10.0.0.130 hebben en we gebruiken sleutel 123Om dit te demonstreren, hebben we de volgende gebruikers vooraf geconfigureerd in Radius Server.
| Gebruikersnaam | Wachtwoord | Rol van gebruiker | MPL (beheer-bevoegdheidsniveau) |
|---|---|---|---|
| admin | admin@123 | admin | 15 |
| operator1 | operator1@123 | Operator | 1 |
admin@DELLSONiC:~$ sonic-cli DELLSONiC# configure DELLSONiC(config)# radius-server host 10.0.0.100 key 123 DELLSONiC(config)# radius-server host 10.0.0.130 key 123 DELLSONiC(config)# radius-server auth-type pap DELLSONiC(config)# aaa authentication login default local group radius DELLSONiC(config)# aaa authentication failthrough enable |
Geconfigureerde RADIUS-servers
weergevenAls u geconfigureerde RADIUS-servers wilt weergeven, gebruikt u configured show radius-server en show running-configuration | grep radius
DELLSONiC# show running-configuration | grep radius radius-server timeout 5 radius-server auth-type pap radius-server host 10.0.0.100 auth-port 1812 key XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX= encrypted radius-server host 10.0.0.130 auth-port 1812 key XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX= encrypted |
DELLSONiC# show radius-server --------------------------------------------------------- RADIUS Global Configuration --------------------------------------------------------- timeout : 5 auth-type : pap key configured : No -------------------------------------------------------------------------------- HOST AUTH-TYPE KEY-CONFIG AUTH-PORT PRIORITY TIMEOUT RTSMT VRF SI -------------------------------------------------------------------------------- 10.0.0.100 - Yes 1812 - - - - - 10.0.0.130 - Yes 1812 - - - - - DELLSONiC# |
Controle
AAA-authenticatie
weergevenAls u de opdracht AAA-authenticatieconfiguratie wilt weergeven, toont u running-configuration | grep aaa en show aaa
DELLSONiC# show running-configuration | grep aaa aaa authentication login default local group radius aaa authentication failthrough enable |
DELLSONiC# show aaa --------------------------------------------------------- AAA Authentication Information --------------------------------------------------------- failthrough : True login-method : local, radius |
Meld u aan als admingebruiker met beheerdersrol
Een gebruiker met beheerdersrol meldt zich aan bij de shell. Beheerderrolgebruiker heeft toegang tot de configuratiemodus (schrijftoegang)
DELLSONiC login: admin Password: Last login: Wed Sep 13 00:04:08 UTC 2023 on ttyS0 Linux DELLSONiC 5.10.0-8-2-amd64 #1 SMP Debian 5.10.46-5 (2021-09-23) x86_64 You are on ____ ___ _ _ _ ____ / ___| / _ \| \ | (_)/ ___| \___ \| | | | \| | | | ___) | |_| | |\ | | |___ |____/ \___/|_| \_|_|\____| -- Software for Open Networking in the Cloud -- Unauthorized access and/or use are prohibited. All access and/or use are subject to monitoring. Help: http://azure.github.io/SONiC/ admin@DELLSONiC:~$ admin@DELLSONiC:~$ sonic-cli DELLSONiC# DELLSONiC# configure DELLSONiC(config)# |
Meld u aan als operator1 met operatorrol
Een gebruiker met de bedieningspaneelfunctie gaat rechtstreeks naar sonic-cli, in plaats van de shell. Bovendien kan een operator de configuratiemodus niet activeren (alleen-lezen).
DELLSONiC login: operator1 Password: Last login: Tue Sep 12 18:29:02 UTC 2023 on ttyS0 Linux DELLSONiC 5.10.0-8-2-amd64 #1 SMP Debian 5.10.46-5 (2021-09-23) x86_64 You are on ____ ___ _ _ _ ____ / ___| / _ \| \ | (_)/ ___| \___ \| | | | \| | | | ___) | |_| | |\ | | |___ |____/ \___/|_| \_|_|\____| -- Software for Open Networking in the Cloud -- Unauthorized access and/or use are prohibited. All access and/or use are subject to monitoring. Help: http://azure.github.io/SONiC/ DELLSONiC# DELLSONiC# conf ^ % Error: Invalid input detected at "^" marker. DELLSONiC# |
Probleemoplossing
Als u de RADIUS-service wilt debug uitvoeren, controleert u de logboekbestanden in de map /var/log/auth.log en de logboekbestanden in show in-memory-logging en toont u de uitvoer van de SONiC CLI-opdracht voor logboekregistratie.
Voor meer gedetailleerde logboekregistratie stelt u het foutopsporingsveld in op True in de authenticatiesleutel van de AAA-tabel in de CONFIG_DB redis database, of neemt u contact op met Technische Support.
Affected Products
PowerSwitch E3200-ON Series, Dell EMC Networking N3200-ON, PowerSwitch S5212F-ON, PowerSwitch S5224F-ON, PowerSwitch S5232F-ON, PowerSwitch S5248F-ON, PowerSwitch S5296F-ON, PowerSwitch Z9100-ON, PowerSwitch Z9264F-ON, PowerSwitch Z9332F-ON
, PowerSwitch Z9432F-ON
...
Article Properties
Article Number: 000217350
Article Type: How To
Last Modified: 22 Sep 2023
Version: 6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.