Аутентификация Dell Networking SONiC AAA с использованием сервера RADIUS

ПРИМЕЧАНИЕ. В этой статье используется коммутатор под управлением Dell SONiC 4.1.

 

Необходимые условия для данной статьи

В этой статье предполагается следующее:

• У нас есть возможность подключения между коммутатором, на котором работает сервер Dell Networking Sonic и RADIUS.
• Сервер RADIUS имеет сведения о пользователе с предварительно настроенным атрибутом Management-Privilege-Level (MPL).

Индекс

Аутентификация RADIUS AAA в Dell SONiC
      Операции
      Роли пользователей и значения MPL
Конфигурации
Пример конфигурации
Проверки

 

Аутентификация RADIUS AAA в Dell SONiC

Сервисы аутентификации, авторизации и учета (AAA) гарантируют защиту сетей от несанкционированного доступа.

Enterprise SONiC поддерживает эти системы аутентификации клиентов/
серверов● RADIUS (служба удаленной аутентификации dial-in user)
● TACACS+ (система контроля доступа к контроллеру терминала)
● LDAP (легкий протокол доступа к каталогам)В

этой статье описывается конфигурация аутентификации AAA RADIUS на коммутаторе под управлением Dell SONiC.

 

Операция

Во время аутентификации RADIUS коммутатор выступает в качестве клиента и отправляет запросы аутентификации на сервер. Этот запрос содержит всю информацию о аутентификации пользователей и доступе к сетевым службам. Сервер RADIUS отвечает на запрос пользователя «Принять» или «Отклонить».
Если сервер отправляет принять, он также будет включать настроенное значение MPL.
Если значение MPL отсутствует, пользователю назначается роль оператора. Администратор имени пользователя может получить права администратора без MPL.
Enterprise SONiC требует атрибута Management-Privilege-Level (MPL) со значением 15, чтобы предоставить авторизованному пользователю доступ для чтения и записи. 


 

Для получения более подробной информации о пользовательских ролях перейдите по ссылке ниже.
Управление доступом на основе ролей пользователей Dell Networking SONiC

 

Роли пользователей и значения MPL

В таблице ниже указаны различные роли пользователей и соответствующие значения MPL, которые необходимо настроить на сервере RADIUS. Эта функция протестирована в Dell SONiC 4.1.

Роль пользователя	Значение MPL
admin	15
operator	Нет значения или 1
netadmin	14
secadmin	13.

 

Настройка

Настройте сведения о серверах RADIUS на коммутаторе.

Синтаксис конфигурации
 

Настройка	Пояснение
admin@DELLSONiC:~$ sonic-cli	Вход в Dell sonic-cli
Конфигурирование DELLSONiC #	Вход в режим конфигурации
DELLSONiC(config)# radius-server host auth-port auth-type < text> приоритет перенаправление source-interface тайм-аут vrf	Настройка IP-адреса/имени хоста сервера RADIUS и атрибутов
DELLSONiC(config)# radius-server auth type authentication-type>	(дополнительно) Настройте тип аутентификации. Его также можно настроить отдельно с хостом radius-server.

Чтобы настроить сведения о сервере RADIUS на коммутаторе, введите его имя хоста (не более 63 символов), IP-адрес или адрес IPv6 и эти дополнительные значения:
● номер порта UDP auth-port на сервере (от 1 до 65535); по умолчанию 1812)
● Тайм-аут передачи данных в секундах (от 1 до 60; по умолчанию 5)
● Количество запросов на аутентификацию пользователей повторно на сервер RADIUS (от 0 до 10; по умолчанию 3)
● Секретный текст ключа, совместно используемый сервером RADIUS и коммутатором (до 65 символов). Этот ключ шифруется системой.
● Тип аутентификации — chap, pap или mschapv2; по умолчанию, pap; алгоритм аутентификации используется для шифрования/расшифровки данных, которые отправляются и получены между коммутатором и сервером RADIUS.
● Приоритет, используемый для доступа к нескольким серверам RADIUS для аутентификации пользователей (от 1 до высочайшего приоритета 64; по умолчанию 1).
● Введите имя VRF, чтобы указать VRF, который будет использоваться для подключения к серверу RADIUS.
 

Включить порядок аутентификации

Коммутатор использует список методов аутентификации для определения типов аутентификации и последовательности, в которой они применяются. По умолчанию для аутентификации пользователей с помощью локальной базы данных пользователей используется только метод локальной аутентификации. Можно настроить RADIUS в качестве основного или дополнительного метода аутентификации с локальной аутентификацией.

Синтаксис конфигурации
 

Настройка	Пояснение
DELLSONiC(config)# aaa authentication login default radius local	Настройка порядка аутентификации
DELLSONiC(config)#no aaa authentication login default	Это удаляет настроенные методы аутентификации и возвращает только локальную аутентификацию.

 

Включение аварийного переключения для аутентификации RADIUS (необязательно)

Используйте функцию переключения при отказе, если необходимо настроить аутентификацию на основе RADIUS на нескольких удаленных серверах. Функция переключения при отказе продолжает получать доступ к каждому серверу в списке методов, если на одном сервере происходит сбой запроса аутентификации. 

Синтаксис конфигурации
 

Настройка	Пояснение
DellSONiC(config)# aaa authentication failthrough enable	Включить переключение при отказе
DellSONiC(config)# aaa authentication failthrough disable	Отключение переключения при отказе

 
 

Пример конфигурации

Рассмотрим два сервера 10.0.0.100 и 10.0.0.130 и используете ключ 123

. Для демонстрации на radius Server предварительно настроены следующие пользователи.

Имя пользователя	Password	Роль пользователя	MPL (уровень привилегий управления)
admin	admin@123	admin	15
оператор1	operator1@123	operator	1.

 
 

admin@DELLSONiC:~$ sonic-cli DELLSONiC# configure DELLSONiC(config)# radius-server host 10.0.0.100 key 123 DELLSONiC(config)# radius-server host 10.0.0.130 key 123 DELLSONiC(config)# radius-server auth-type pap DELLSONiC(config)# aaa authentication login default local group radius DELLSONiC(config)# aaa authentication failthrough enable

Просмотр настроенных серверов RADIUS

Для просмотра настроенных серверов RADIUS используйте настроенный show radius-server и show running-configuration | grep radius
 

DELLSONiC# show running-configuration | grep radius radius-server timeout 5 radius-server auth-type pap radius-server host 10.0.0.100 auth-port 1812 key XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX= encrypted radius-server host 10.0.0.130 auth-port 1812 key XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX= encrypted

DELLSONiC# show radius-server --------------------------------------------------------- RADIUS Global Configuration --------------------------------------------------------- timeout        : 5 auth-type      : pap key configured : No -------------------------------------------------------------------------------- HOST            AUTH-TYPE KEY-CONFIG AUTH-PORT PRIORITY TIMEOUT RTSMT VRF   SI -------------------------------------------------------------------------------- 10.0.0.100      -         Yes        1812      -        -       -     -     - 10.0.0.130      -         Yes        1812      -        -       -     -     - DELLSONiC#

 

Проверка

Просмотр аутентификации AAA

Чтобы просмотреть конфигурацию аутентификации AAA, выполните команду show running-configuration | grep aaa и show aaa
 

DELLSONiC# show running-configuration | grep aaa aaa authentication login default local group radius aaa authentication failthrough enable

DELLSONiC# show aaa --------------------------------------------------------- AAA Authentication Information --------------------------------------------------------- failthrough  : True login-method : local, radius

Войдите в систему в качестве пользователя admin с ролью администратора

Пользователь с ролью администратора вошел в оболочку. Пользователь роли администратора имеет доступ к режиму конфигурации (доступ для записи)

DELLSONiC login: admin Password: Last login: Wed Sep 13 00:04:08 UTC 2023 on ttyS0 Linux DELLSONiC 5.10.0-8-2-amd64 #1 SMP Debian 5.10.46-5 (2021-09-23) x86_64 You are on   ____   ___  _   _ _  ____ / ___| / _ \| \ | (_)/ ___| \___ \| | | |  \| | | |   ___) | |_| | |\  | | |___ |____/ \___/|_| \_|_|\____| -- Software for Open Networking in the Cloud -- Unauthorized access and/or use are prohibited. All access and/or use are subject to monitoring. Help:    http://azure.github.io/SONiC/ admin@DELLSONiC:~$ admin@DELLSONiC:~$ sonic-cli DELLSONiC# DELLSONiC# configure DELLSONiC(config)#

Войдите в систему как оператор1 с ролью оператора

Пользователь с ролью оператора вводит sonic-cli напрямую, а не в оболочку. Кроме того, оператор не может перейти в режим конфигурации (только для чтения).
 

DELLSONiC login: operator1 Password: Last login: Tue Sep 12 18:29:02 UTC 2023 on ttyS0 Linux DELLSONiC 5.10.0-8-2-amd64 #1 SMP Debian 5.10.46-5 (2021-09-23) x86_64 You are on   ____   ___  _   _ _  ____ / ___| / _ \| \ | (_)/ ___| \___ \| | | |  \| | | |   ___) | |_| | |\  | | |___ |____/ \___/|_| \_|_|\____| -- Software for Open Networking in the Cloud -- Unauthorized access and/or use are prohibited. All access and/or use are subject to monitoring. Help:    http://azure.github.io/SONiC/ DELLSONiC# DELLSONiC# conf              ^ % Error: Invalid input detected at "^" marker. DELLSONiC#

Устранение неполадок

Чтобы отладить службу RADIUS, проверьте файлы журналов в папке /var/log/auth.log, а также файлы журнала в show-in-memory-logging и вывод команды SONiC CLI для ведения журнала.
Для более подробного ведения журнала установите в поле отладки значение True в ключе аутентификации таблицы AAA в базе данных CONFIG_DB redis или обратитесь в службу технической поддержки.

PowerSwitch E3200-ON Series, Dell EMC Networking N3200-ON, PowerSwitch S5212F-ON, PowerSwitch S5224F-ON, PowerSwitch S5232F-ON, PowerSwitch S5248F-ON, PowerSwitch S5296F-ON, PowerSwitch Z9100-ON, PowerSwitch Z9264F-ON, PowerSwitch Z9332F-ON , PowerSwitch Z9432F-ON ... View More about warranties View Less about warranties