Dell Networking SONiC AAA-autentisering med RADIUS-server
Summary: I den här artikeln beskrivs hur du konfigurerar AAA-autentisering med hjälp av RADIUS-servern på en Dell SONiC-installerad switch.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Obs! I den här artikeln används en switch som kör Dell SONiC 4.1.
Förutsättningar för den här artikeln
I den här artikeln förutsätts följande:
- Vi har anslutning mellan switchen som kör Dell Networking Sonic- och Radius-servern.
- Radius-servern har användarinformationen med det obligatoriska attributet Management-Privilege-Level (MPL) förkonfigurerat.
Index
AAA Radius-autentisering i Dell SONiC
Drift
Användarroller och MPL-värden
Konfiguration
Exempelkonfiguration
Kontroll
AAA Radius-autentisering i Dell SONiC
AAA-tjänster (Authentication, Authorization, and Accounting) skyddar nätverk mot obehörig åtkomst.
Enterprise SONiC har stöd för dessa klient-/serverautentiseringssystem
® RADIUS (remote authentication dial-in user service)
} TACACS+ (terminal access controller access control system)
® LDAP (lightweight directory access protocol)
Den här artikeln handlar om konfigurationen av AAA RADIUS-autentisering på en switch som kör Dell SONiC.
Under RADIUS-autentisering fungerar switchen som en klient och skickar autentiseringsbegäran till en server. Den här begäran innehåller all information om användarautentisering och nätverkstjänståtkomst. Radius-servern svarar med ett acceptera eller avvisa för användarbegäran.
Om servern skickar en Acceptera kommer den även att inkludera dess konfigurerade MPL-värde.
Om det inte finns något MPL-värde tilldelas användaren en rollen som operator. Användarnamnsadministratören kan få administratörsbehörighet utan MPL.
Enterprise SONiC kräver attributet Management-Privilege-Level (MPL) med värdet 15 för att bevilja läs-/skrivåtkomst till en behörig användare.
Klicka på länken nedan om du vill veta mer om användarroller.
Rollbaserad åtkomstkontroll för Dell Networking SONiC-användare
Användarroller och MPL-värden
I nedanstående tabell anges olika användarroller och motsvarande MPL-värden som ska konfigureras på Radius-servern. Det här testas i Dell SONiC 4.1
| Användarroll | MPL-värde |
|---|---|
| admin | 15 |
| Operatör | Inget värde eller 1 |
| netadmin | 14 |
| secadmin | 13 |
Konfiguration
Konfigurera information om Radius-servrar på switchen.
Konfigurationssyntax
| Konfiguration | Förklaring |
|---|---|
| admin@DELLSONiC:~$ sonic-cli | Ange Dell sonic-cli |
| DELLSONiC# -konfiguration | Aktivera konfigurationsläge |
| DELLSONiC(config)# radius-server host auth-port auth-type nyckel prioritet återöverföring källgränssnitt timeout vrf | Konfigurera RADIUS-serverns IP-adress/värdnamn och attribut |
| DELLSONiC(config)# radius-server auth-type authentication-type> | (Tillval) Konfigurera autentiseringstyp. Det här kan även konfigureras med Radius-servervärden separat. |
Om du vill konfigurera en RADIUS-serverinformation på switchen anger du dess värdnamn (högst 63 tecken), IP- eller IPv6-adress och dessa valfria värden:
™ auth-port UDP-portnummer på servern (1 till 65535; standard 1812)
Överföringstimeout i sekunder (1 till 60; standard 5)
► Antal gånger som en begäran om användarautentisering görs om till en RADIUS-server (0 till 10; standard 3)
► Text med hemlig nyckel som delas mellan en RADIUS-server och switchen (upp till 65 tecken). Den här nyckeln krypteras av systemet.
Autentiseringstyp – chap, pap eller mschapv2; standardpap; Autentiseringsalgoritmen används för att kryptera/dekryptera data som skickas och tas emot mellan switchen och RADIUS-servern.
► Prioritet som används för åtkomst till flera RADIUS-servrar för att autentisera användare (1 till högst prioritet 64; standard 1).
► Ange ett VRF-namn för att ange vilken VRF som ska användas för att nå RADIUS-servern.
Aktivera autentiseringsordning
En switch använder en lista med autentiseringsmetoder för att definiera typer av autentisering och i vilken ordning de tillämpas. Som standard används endast den lokala autentiseringsmetoden för att autentisera användare med den lokala användardatabasen. Vi kan konfigurera RADIUS som primär eller sekundär autentiseringsmetod med lokal autentisering.
Konfigurationssyntax
| Konfiguration | Förklaring |
|---|---|
| DELLSONiC(config)# aaa authentication login default Radius local | Konfigurera autentiseringsordning |
| DELLSONiC(config)#no aaa authentication login default (standardinställning för autentiseringsinloggning) | Detta tar bort de konfigurerade autentiseringsmetoderna och återgår endast till lokal autentisering |
Aktivera fail-through för RADIUS-autentisering (valfritt)
Använd fail-through-alternativet om vi behöver konfigurera RADIUS-baserad autentisering med mer än en fjärrserver. Fail-through-funktionen fortsätter att komma åt varje server i metodlistan om en autentiseringsbegäran misslyckas på en server.
Konfigurationssyntax
| Konfiguration | Förklaring |
|---|---|
| DELLSONiC(config)# aaa authentication failthrough enable | Aktivera fail through |
| DELLSONiC(config)# aaa authentication failthrough disable | Disable fail through (avaktivera fail through) |
Exempelkonfiguration
Tänk på att vi har två servrar 10.0.0.100 och 10.0.0.130 och använder nyckel 123I syfte att demonstrera har vi följande användare förkonfigurerade i Radius-servern.
| Användarnamn | Lösenord | Användarroll | MPL (Management-Privilege-Level) |
|---|---|---|---|
| admin | admin@123 | admin | 15 |
| operator1 | operator1@123 | Operatör | 1 |
admin@DELLSONiC:~$ sonic-cli DELLSONiC# configure DELLSONiC(config)# radius-server host 10.0.0.100 key 123 DELLSONiC(config)# radius-server host 10.0.0.130 key 123 DELLSONiC(config)# radius-server auth-type pap DELLSONiC(config)# aaa authentication login default local group radius DELLSONiC(config)# aaa authentication failthrough enable |
Så här visar du konfigurerade RADIUS-servrar
Om du vill visa konfigurerade RADIUS-servrar använder du konfigurerad show radius-server och visar running-configuration | grep radius
DELLSONiC# show running-configuration | grep radius radius-server timeout 5 radius-server auth-type pap radius-server host 10.0.0.100 auth-port 1812 key XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX= encrypted radius-server host 10.0.0.130 auth-port 1812 key XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX= encrypted |
DELLSONiC# show radius-server --------------------------------------------------------- RADIUS Global Configuration --------------------------------------------------------- timeout : 5 auth-type : pap key configured : No -------------------------------------------------------------------------------- HOST AUTH-TYPE KEY-CONFIG AUTH-PORT PRIORITY TIMEOUT RTSMT VRF SI -------------------------------------------------------------------------------- 10.0.0.100 - Yes 1812 - - - - - 10.0.0.130 - Yes 1812 - - - - - DELLSONiC# |
Verifiering
Visa AAA-autentisering
Om du vill visa användarkommandot för AAA-autentiseringskonfiguration visar du running-configuration | grep aaa och visar aaa
DELLSONiC# show running-configuration | grep aaa aaa authentication login default local group radius aaa authentication failthrough enable |
DELLSONiC# show aaa --------------------------------------------------------- AAA Authentication Information --------------------------------------------------------- failthrough : True login-method : local, radius |
Logga in som administratörsanvändare med administratörsroll
En användare med administratörsroll loggar in i gränssnittet. Administratörsrollanvändare har åtkomst till konfigurationsläge (skrivåtkomst)
DELLSONiC login: admin Password: Last login: Wed Sep 13 00:04:08 UTC 2023 on ttyS0 Linux DELLSONiC 5.10.0-8-2-amd64 #1 SMP Debian 5.10.46-5 (2021-09-23) x86_64 You are on ____ ___ _ _ _ ____ / ___| / _ \| \ | (_)/ ___| \___ \| | | | \| | | | ___) | |_| | |\ | | |___ |____/ \___/|_| \_|_|\____| -- Software for Open Networking in the Cloud -- Unauthorized access and/or use are prohibited. All access and/or use are subject to monitoring. Help: http://azure.github.io/SONiC/ admin@DELLSONiC:~$ admin@DELLSONiC:~$ sonic-cli DELLSONiC# DELLSONiC# configure DELLSONiC(config)# |
Logga in som operator1 med rollen
operatorEn användare med rollen operator anger sonic-cli direkt, snarare än gränssnittet. Dessutom kan en operator inte gå in i konfigurationsläge (skrivskyddad).
DELLSONiC login: operator1 Password: Last login: Tue Sep 12 18:29:02 UTC 2023 on ttyS0 Linux DELLSONiC 5.10.0-8-2-amd64 #1 SMP Debian 5.10.46-5 (2021-09-23) x86_64 You are on ____ ___ _ _ _ ____ / ___| / _ \| \ | (_)/ ___| \___ \| | | | \| | | | ___) | |_| | |\ | | |___ |____/ \___/|_| \_|_|\____| -- Software for Open Networking in the Cloud -- Unauthorized access and/or use are prohibited. All access and/or use are subject to monitoring. Help: http://azure.github.io/SONiC/ DELLSONiC# DELLSONiC# conf ^ % Error: Invalid input detected at "^" marker. DELLSONiC# |
Felsökning
Om du vill felsöka RADIUS-tjänsten kontrollerar du loggfilerna i mappen /var/log/auth.log, och loggfilerna visas med loggning i minnet och visar utdata för SONiC CLI-kommandot.
Om du vill ha mer detaljerad loggning ställer du in felsökningsfältet på True i autentiseringsnyckeln i AAA-tabellen i CONFIG_DB redis-databasen eller kontaktar teknisk support.
Affected Products
PowerSwitch E3200-ON Series, Dell EMC Networking N3200-ON, PowerSwitch S5212F-ON, PowerSwitch S5224F-ON, PowerSwitch S5232F-ON, PowerSwitch S5248F-ON, PowerSwitch S5296F-ON, PowerSwitch Z9100-ON, PowerSwitch Z9264F-ON, PowerSwitch Z9332F-ON
, PowerSwitch Z9432F-ON
...
Article Properties
Article Number: 000217350
Article Type: How To
Last Modified: 22 Sep 2023
Version: 6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.