Autenticação Dell Networking SONiC AAA usando o servidor RADIUS
Summary: Este artigo explica como configurar a autenticação AAA usando o servidor RADIUS em um comutador Dell SONiC instalado.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Nota: Este artigo usa um comutador que executa o Dell SONiC 4.1.
Pré-requisitos deste artigo
Este artigo pressupõe o seguinte
- Temos conectividade entre o switch que está executando o servidor Dell Networking Sonic e Radius.
- O servidor Radius tem os detalhes do usuário com o atributo MPL (Management-Privilege-Level, nível de privilégio de gerenciamento) pré-configurado.
Índice
Autenticação AAA radius no Dell SONiC
Operação
Funções de usuário e valores de MPL
Configuração
Exemplo de configuração
Verificação
Autenticação AAA radius no Dell SONiC
Os serviços de autenticação, autorização e contabilidade (AAA) protegem as redes contra acesso não autorizado.
O Enterprise SONiC dá suporte a esses sistemas de autenticação client/servidor
● RADIUS (remote authentication dial-in user service)
● TACACS+ (sistema de controle de acesso do controlador de acesso do terminal)
● LDAP (lightweight directory access protocol)
Este artigo se concentra na configuração da autenticação AAA RADIUS em um switch que executa o Dell SONiC.
Durante a autenticação do RADIUS, o comutador atua como um client e envia solicitações de autenticação a um servidor. Essa solicitação contém todas as informações de acesso ao serviço de rede e autenticação de usuário. O servidor Radius responde com uma aceitação ou rejeição para a solicitação do usuário.
Se o servidor enviar um Accept, ele também incluirá seu valor de MPL configurado.
Se não houver nenhum valor de MPL, o usuário será atribuído a uma função de operador. O administrador de nome de usuário pode obter privilégio de administrador sem um MPL.
O Enterprise SONiC exige o atributo Management-Privilege-Level (MPL) com valor 15 para conceder acesso de leitura/gravação a um usuário autorizado.
Para entender mais sobre funções de usuário, clique no link abaixo.
Controle de acesso baseado em função do usuário do Dell Networking SONiC
Funções de usuário e valores de MPL
A tabela abaixo menciona várias funções de usuário e seus valores MPL correspondentes a serem configurados no servidor Radius. Isso é testado no Dell SONiC 4.1
| Função do usuário | Valor de MPL |
|---|---|
| admin | 15 |
| operator | Nenhum valor ou 1 |
| 100 mín. | 14 |
| secadmin | 13 |
Configuração
Configure os detalhes dos servidores Radius no switch.
Sintaxe de configuração
| Configuração | Explicação |
|---|---|
| admin@DELLSONiC: ~$ sonic-cli | Digite Dell sonic-cli |
| Configuração do DELLSONiC # | Entrar no modo de configuração |
| DELLSONiC(config)# radius-server host auth-port auth-type Tipo de autenticação> chave prioridade retransmitir interface de origem timeout vrf | Configurar o endereço IP/hostname e atributos do servidor radius |
| DELLSONiC(config)# radius-server auth-type authentication-type> | (Opcional) Configurar o tipo de autenticação. Isso também pode ser configurado com o host do servidor radius separadamente. |
Para configurar um detalhe do servidor RADIUS no switch, digite seu nome de host (máximo de 63 caracteres), endereço IP ou IPv6 e estes valores opcionais:
● número da porta UDP da porta auth no servidor (1 a 65535; padrão 1812)
● Timeout de transmissão em segundos (1 a 60; padrão 5)
● Número de vezes que uma solicitação de autenticação de usuário é ressente a um servidor RADIUS (0 a 10; padrão 3)
● Texto de chave secreta compartilhado entre um servidor RADIUS e o switch (até 65 caracteres). Essa chave é criptografada pelo sistema.
● Tipo de autenticação — chap, pap ou mschapv2; padrão: o algoritmo de autenticação é usado para criptografar/descriptografar dados enviados e recebidos entre o switch e o servidor RADIUS.
● Prioridade usada para acessar vários servidores RADIUS para autenticar usuários (1 a prioridade mais alta 64; padrão 1).
● Digite um nome VRF para especificar o VRF a ser usado para acessar o servidor RADIUS.
Habilitar ordem de autenticação
Um switch usa uma lista de métodos de autenticação para definir os tipos de autenticação e a sequência em que eles se aplicam. Por padrão, somente o método de autenticação local é usado para autenticar usuários com o banco de dados do usuário local. Podemos configurar o RADIUS como método de autenticação primário ou secundário com autenticação local.Sintaxe de configuração
| Configuração | Explicação |
|---|---|
| DELLSONiC(config)# aaa authentication login default radius local | Configurar ordem de autenticação |
| DELLSONiC(config)#no aaa authentication login default | Isso remove os métodos de autenticação configurados e retorna à autenticação local apenas |
Habilitar fail-through para autenticação do RADIUS (opcional)
Use a opção fail-through se precisarmos configurar a autenticação baseada em RADIUS com mais de um servidor remoto. O recurso de fail-through continua a acessar cada servidor na lista de métodos se uma solicitação de autenticação falhar em um servidor. Sintaxe de configuração
| Configuração | Explicação |
|---|---|
| DELLSONiC(config)# aaa authentication failthrough enable | Habilitar fail through |
| DELLSONiC(config)# aaa authentication failthrough disable | Desabilitar fail-through |
Exemplo de configuração
Considere que estamos tendo dois servidores 10.0.0.100 e 10.0.0.130 e estamos usando a chave 123Para fins de demonstração, temos os seguintes usuários pré-configurados no servidor Radius.
| Nome de usuário | Senha | Função do usuário | MPL (nível de privilégio de gerenciamento) |
|---|---|---|---|
| admin | admin@123 | admin | 15 |
| operador1 | operator1@123 | operator | 1 |
admin@DELLSONiC:~$ sonic-cli DELLSONiC# configure DELLSONiC(config)# radius-server host 10.0.0.100 key 123 DELLSONiC(config)# radius-server host 10.0.0.130 key 123 DELLSONiC(config)# radius-server auth-type pap DELLSONiC(config)# aaa authentication login default local group radius DELLSONiC(config)# aaa authentication failthrough enable |
Para visualizar os servidores RADIUS configurados
Para visualizar os servidores RADIUS configurados, use show radius-server configurado e mostre running-configuration | grep radius
DELLSONiC# show running-configuration | grep radius radius-server timeout 5 radius-server auth-type pap radius-server host 10.0.0.100 auth-port 1812 key XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX= encrypted radius-server host 10.0.0.130 auth-port 1812 key XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX= encrypted |
DELLSONiC# show radius-server --------------------------------------------------------- RADIUS Global Configuration --------------------------------------------------------- timeout : 5 auth-type : pap key configured : No -------------------------------------------------------------------------------- HOST AUTH-TYPE KEY-CONFIG AUTH-PORT PRIORITY TIMEOUT RTSMT VRF SI -------------------------------------------------------------------------------- 10.0.0.100 - Yes 1812 - - - - - 10.0.0.130 - Yes 1812 - - - - - DELLSONiC# |
Verificação
Para visualizar a autenticação AAA
Para exibir o comando do usuário de configuração de autenticação AAA show running-configuration | grep aaa e show aaa
DELLSONiC# show running-configuration | grep aaa aaa authentication login default local group radius aaa authentication failthrough enable |
DELLSONiC# show aaa --------------------------------------------------------- AAA Authentication Information --------------------------------------------------------- failthrough : True login-method : local, radius |
Faça log-in como usuário administrador com a função de administrador
Um usuário com função de administrador faz log-in no shell. O usuário da função de administrador tem acesso ao modo de configuração (acesso de gravação)
DELLSONiC login: admin Password: Last login: Wed Sep 13 00:04:08 UTC 2023 on ttyS0 Linux DELLSONiC 5.10.0-8-2-amd64 #1 SMP Debian 5.10.46-5 (2021-09-23) x86_64 You are on ____ ___ _ _ _ ____ / ___| / _ \| \ | (_)/ ___| \___ \| | | | \| | | | ___) | |_| | |\ | | |___ |____/ \___/|_| \_|_|\____| -- Software for Open Networking in the Cloud -- Unauthorized access and/or use are prohibited. All access and/or use are subject to monitoring. Help: http://azure.github.io/SONiC/ admin@DELLSONiC:~$ admin@DELLSONiC:~$ sonic-cli DELLSONiC# DELLSONiC# configure DELLSONiC(config)# |
Faça log-in como operator1 com função de operador
Um usuário com função de operador entra diretamente no sonic-cli, e não no shell. Além disso, um operador não pode entrar no modo de configuração (somente leitura).
DELLSONiC login: operator1 Password: Last login: Tue Sep 12 18:29:02 UTC 2023 on ttyS0 Linux DELLSONiC 5.10.0-8-2-amd64 #1 SMP Debian 5.10.46-5 (2021-09-23) x86_64 You are on ____ ___ _ _ _ ____ / ___| / _ \| \ | (_)/ ___| \___ \| | | | \| | | | ___) | |_| | |\ | | |___ |____/ \___/|_| \_|_|\____| -- Software for Open Networking in the Cloud -- Unauthorized access and/or use are prohibited. All access and/or use are subject to monitoring. Help: http://azure.github.io/SONiC/ DELLSONiC# DELLSONiC# conf ^ % Error: Invalid input detected at "^" marker. DELLSONiC# |
Solucionando problemas
Para depurar o serviço RADIUS, verifique os arquivos de log na pasta /var/log/auth.log e os arquivos de log em show in-memory-logging e show logging SONiC CLI command output.
Para obter registros mais detalhados, defina o campo de depuração como True na chave de autenticação da tabela AAA no banco de dados CONFIG_DB redis ou entre em contato com o suporte técnico.
Affected Products
PowerSwitch E3200-ON Series, Dell EMC Networking N3200-ON, PowerSwitch S5212F-ON, PowerSwitch S5224F-ON, PowerSwitch S5232F-ON, PowerSwitch S5248F-ON, PowerSwitch S5296F-ON, PowerSwitch Z9100-ON, PowerSwitch Z9264F-ON, PowerSwitch Z9332F-ON
, PowerSwitch Z9432F-ON
...
Article Properties
Article Number: 000217350
Article Type: How To
Last Modified: 22 Sep 2023
Version: 6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.