RADIUS sunucusunu kullanarak Dell Networking SONiC AAA kimlik doğrulaması

NOT: Bu makale, Dell SONiC 4.1 çalıştıran bir anahtar kullanır.

 

Bu makalenin ön koşulları

Bu makalede aşağıdakiler varsaylanmaktadır:

• Dell Networking Sonic ve Radius sunucusunu çalıştıran Anahtar arasında bağlantı özelliğine sahiptir.
• Radius sunucusu, önceden yapılandırılmış gerekli Yönetim Ayrıcalık Düzeyi (MPL) özniteliğine sahip kullanıcı ayrıntılarına sahiptir.

Dizin

Dell SONiC'de AAA radius kimlik doğrulaması
      Işlem
      Kullanıcı Rolleri ve MPL değerleri
Yapılandırma
Örnek Yapılandırma
Doğrulama

 

Dell SONiC'de AAA radius kimlik doğrulaması

Kimlik doğrulama, yetkilendirme ve muhasebe (AAA) hizmetleri, ağları yetkisiz erişime karşı güvenli tutar.

Enterprise SONiC, bu istemci/
sunucu kimlik doğrulama sistemleri● RADIUS (uzaktan kimlik doğrulama dial-in kullanıcı hizmeti)
● TACACS+ (terminal erişim denetleyicisi erişim denetim sistemi)
● LDAP (basit dizin erişim protokolü) destekler.

Bu makalede, Dell SONiC çalıştıran bir anahtarda AAA RADIUS kimlik doğrulaması yapılandırmasına odaklanılmıştır.

 

İşlem

RADIUS kimlik doğrulaması sırasında anahtar istemci olarak çalışır ve bir sunucuya kimlik doğrulama talepleri gönderir. Bu istek, tüm kullanıcı kimlik doğrulama ve ağ hizmeti erişim bilgilerini içerir. Radius sunucusu, kullanıcı isteği için Kabul Et veya Reddet ile yanıt verir.
Sunucu Bir Kabul Et gönderirse yapılandırılmış MPL değerini de içerir.
MPL değeri yoksa kullanıcıya bir operatör rolü atanmıştır. Kullanıcı adı yöneticisi, MPL olmadan yönetici ayrıcalığına sahip olabilir.
Enterprise SONiC, yetkili bir kullanıcıya okuma/yazma erişimi izni için değer 15 olan Yönetim Ayrıcalık Düzeyi (MPL) özniteliğini gerektirir. 


 

Kullanıcı rolleri hakkında daha fazla bilgi edinmek için aşağıdaki bağlantıya tıklayın.
Dell Networking SONiC Kullanıcı Rol Tabanlı Erişim Denetimi

 

Kullanıcı Rolleri ve MPL değerleri

Aşağıdaki tabloda, Radius sunucusu üzerinde yapılandırılan çeşitli kullanıcı rolleri ve buna karşılık gelen MPL değerleri belirtilmiştir. Bu, Dell SONiC 4.1'de test edilmiştir

Kullanıcı Rolü	MPL değeri
admin	15
operator	Değer yok veya 1
netadmin	14
secadmin	13

 

Yapılandırma

Anahtarda Radius Sunucuları ayrıntılarını yapılandırın.

Yapılandırma Söz Dizimi
 

Yapılandırma	Açıklama
admin@DELLSONiC:~$ sonic-cli	Dell sonic-cli'ya girin
DELLSONiC# yapılandırma	Yapılandırma Moduna Girin
DELLSONiC(config)# radius-server host auth-port auth-type < metin> priority retransmit source-interface zaman aşımı vrf	Radius sunucusu IP Adresi/Ana Bilgisayar adı ve özniteliklerini yapılandırma
DELLSONiC(config)# radius-server auth-type authentication-type>	(İsteğe bağlı) Kimlik doğrulama türünü yapılandırır. Bu, radius-server ana bilgisayarı ile ayrı olarak da yayılılabilir.

Anahtarda bir RADIUS sunucusu ayrıntısını yapılandırmak için ana bilgisayar adını (maksimum 63 karakter), IP veya IPv6 adresini ve bu isteğe bağlı değerleri girin:
● sunucudaki kimlik doğrulama bağlantı noktası UDP bağlantı noktası numarasını (1 ila 65535; varsayılan 1812)
● İletim zaman aşımı saniye (1 ila 60; varsayılan 5)
● Bir RADIUS sunucusuna kullanıcı kimlik doğrulaması isteği gönderme sayısı (0 ila 10; varsayılan 3)
● RADIUS sunucusu ve anahtar arasında paylaşılan gizli anahtar metni (65 karaktere kadar). Bu anahtar sistem tarafından şifrelenir.
● Kimlik doğrulama türü — chap, pap veya mschapv2; varsayılan pap; kimlik doğrulama algoritması, anahtar ile RADIUS sunucusu arasında gönderilen ve alınan verileri şifrelemek/şifresini çözmek için kullanılır.
● Kullanıcıların kimlik doğrulaması için birden fazla RADIUS sunucusuna erişmek için kullanılan öncelik (1 ila en yüksek öncelik 64; varsayılan 1).
● RADIUS sunucusuna ulaşmak için kullanılan VRF'i belirtmek için bir VRF adı girin.
 

Kimlik doğrulama siparişlerini etkinleştir

Anahtar, kimlik doğrulama türlerini ve bunların geçerli olduğu sırayı tanımlamak için kimlik doğrulama yöntemlerinin bir listesini kullanır. Varsayılan olarak, kullanıcıların kimlik doğrulamasını yerel kullanıcı veritabanıyla doğrulamak için yalnızca yerel kimlik doğrulama yöntemi kullanılır. RADIUS'yi yerel kimlik doğrulama ile birincil veya ikincil kimlik doğrulama yöntemi olarak yapılandıracağız.

Yapılandırma Söz Dizimi
 

Yapılandırma	Açıklama
DELLSONiC(config)# aaa authentication login default radius local (DELLSONiC(yapılandır)# aaa kimlik doğrulama varsayılan radius yerel)	Kimlik doğrulama sırası yapılandırma
DELLSONiC(config)#no aaa authentication login default (DELLSONiC(yapılandırma)#aaa kimlik doğrulaması yok varsayılan oturum açma)	Bu, yapılandırılmış kimlik doğrulama yöntemlerini kaldırır ve yalnızca yerel kimlik doğrulamaya geri dön

 

RADIUS kimlik doğrulaması için etkinleştirme (İsteğe bağlı)

RADIUS tabanlı kimlik doğrulamayı birden fazla uzak sunucuyla yapılandırmaya ihtiyacımız varsa, yük devretme seçeneğini kullanın. Bir sunucuda bir kimlik doğrulama isteği başarısız olursa, hata oluşturma özelliği yöntem listesinde yer alan her sunucuya erişmeye devam eder. 

Yapılandırma Söz Dizimi
 

Yapılandırma	Açıklama
DELLSONiC(config)# aaa authentication failthrough enable (DELLSONiC(yapılandırma)# aaa kimlik doğrulama yük geçişi etkin)	Başarısızlığı etkinleştir
DELLSONiC(config)# aaa authentication failthrough disable (DELLSONiC(yapılandırma)# aaa kimlik doğrulama yük geçişi devre dışı bırak)	Devre dışı bırakma işlemi

 
 

Örnek Yapılandırma

10.0.0.100 ve 10.0.0.130 olmak üzere iki sunucuya sahip olduğunu ve 123

numaralı anahtarı kullanıyoruz. Gösterim amacıyla Radius Server'da önceden yapılandırılmış aşağıdaki kullanıcılara sahip oluruz.

Kullanıcı Adı	Parola	Kullanıcı Rolü	MPL (Yönetim-Ayrıcalık Düzeyi)
admin	admin@123	admin	15
operatör1	operator1@123	operator	1

 
 

admin@DELLSONiC:~$ sonic-cli DELLSONiC# configure DELLSONiC(config)# radius-server host 10.0.0.100 key 123 DELLSONiC(config)# radius-server host 10.0.0.130 key 123 DELLSONiC(config)# radius-server auth-type pap DELLSONiC(config)# aaa authentication login default local group radius DELLSONiC(config)# aaa authentication failthrough enable

Yapılandırılmış RADIUS sunucularını görüntülemek için

Yapılandırılmış RADIUS sunucularını görüntülemek için yapılandırılmış show radius-server ve show running-configuration | grep radius kullanın
 

DELLSONiC# show running-configuration | grep radius radius-server timeout 5 radius-server auth-type pap radius-server host 10.0.0.100 auth-port 1812 key XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX= encrypted radius-server host 10.0.0.130 auth-port 1812 key XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX= encrypted

DELLSONiC# show radius-server --------------------------------------------------------- RADIUS Global Configuration --------------------------------------------------------- timeout        : 5 auth-type      : pap key configured : No -------------------------------------------------------------------------------- HOST            AUTH-TYPE KEY-CONFIG AUTH-PORT PRIORITY TIMEOUT RTSMT VRF   SI -------------------------------------------------------------------------------- 10.0.0.100      -         Yes        1812      -        -       -     -     - 10.0.0.130      -         Yes        1812      -        -       -     -     - DELLSONiC#

 

Doğrulama

AAA Kimlik Doğrulamasını Görüntülemek için

AAA kimlik doğrulama yapılandırması kullanıcı komutunu görüntülemek için çalışan yapılandırmayı göster | grep aaa ve aaa'yı göster
 

DELLSONiC# show running-configuration | grep aaa aaa authentication login default local group radius aaa authentication failthrough enable

DELLSONiC# show aaa --------------------------------------------------------- AAA Authentication Information --------------------------------------------------------- failthrough  : True login-method : local, radius

Yönetici rolüne sahip yönetici kullanıcı olarak oturum açın

Yönetici rolüne sahip bir kullanıcı kabukta oturum açar. Yönetici rolü kullanıcısı yapılandırma moduna (yazma erişimi) erişime sahip

DELLSONiC login: admin Password: Last login: Wed Sep 13 00:04:08 UTC 2023 on ttyS0 Linux DELLSONiC 5.10.0-8-2-amd64 #1 SMP Debian 5.10.46-5 (2021-09-23) x86_64 You are on   ____   ___  _   _ _  ____ / ___| / _ \| \ | (_)/ ___| \___ \| | | |  \| | | |   ___) | |_| | |\  | | |___ |____/ \___/|_| \_|_|\____| -- Software for Open Networking in the Cloud -- Unauthorized access and/or use are prohibited. All access and/or use are subject to monitoring. Help:    http://azure.github.io/SONiC/ admin@DELLSONiC:~$ admin@DELLSONiC:~$ sonic-cli DELLSONiC# DELLSONiC# configure DELLSONiC(config)#

Operatör rolüyle operatör1 olarak oturum açma

Operatör rolüne sahip bir kullanıcı kabuk yerine sonic-cli'ya doğrudan girer. Buna ek olarak, bir operatör yapılandırma moduna (salt okunur) giramaz.
 

DELLSONiC login: operator1 Password: Last login: Tue Sep 12 18:29:02 UTC 2023 on ttyS0 Linux DELLSONiC 5.10.0-8-2-amd64 #1 SMP Debian 5.10.46-5 (2021-09-23) x86_64 You are on   ____   ___  _   _ _  ____ / ___| / _ \| \ | (_)/ ___| \___ \| | | |  \| | | |   ___) | |_| | |\  | | |___ |____/ \___/|_| \_|_|\____| -- Software for Open Networking in the Cloud -- Unauthorized access and/or use are prohibited. All access and/or use are subject to monitoring. Help:    http://azure.github.io/SONiC/ DELLSONiC# DELLSONiC# conf              ^ % Error: Invalid input detected at "^" marker. DELLSONiC#

Sorun giderme

RADIUS hizmetinin hata ayıklamak için /var/log/auth.log klasöründeki günlük dosyalarını ve show in-memory-logging (bellekte günlüğe kaydetme) ve show logging SONiC CLI komut çıktısındaki günlük dosyalarını kontrol edin.
Daha ayrıntılı günlük kaydı için hata ayıklama alanı, CONFIG_DB redis veritabanındaki AAA tablosu kimlik doğrulama anahtarında True (Doğru) olarak ayarlayın veya Teknik Destek ile iletişime geçin.

PowerSwitch E3200-ON Series, Dell EMC Networking N3200-ON, PowerSwitch S5212F-ON, PowerSwitch S5224F-ON, PowerSwitch S5232F-ON, PowerSwitch S5248F-ON, PowerSwitch S5296F-ON, PowerSwitch Z9100-ON, PowerSwitch Z9264F-ON, PowerSwitch Z9332F-ON , PowerSwitch Z9432F-ON ... View More about warranties View Less about warranties