使用 RADIUS 伺服器進行 Dell Networking SONiC AAA 驗證
Summary: 本文說明如何在 Dell SONiC 安裝的交換器上使用 RADIUS 伺服器設定 AAA 驗證。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
注意:本文使用執行 Dell SONiC 4.1 的交換器。
本文先決條件
本文假設以下內容
- 我們在執行 Dell Networking Sonic 和 Radius 伺服器的交換器之間擁有連線能力。
- Radius 伺服器的使用者詳細資料已預先設定所需的管理許可權層級 (MPL) 屬性。
指數
Dell SONiC
中的 AAA 半徑驗證操作
使用者角色和 MPL 值
配置
範例組態
驗證
Dell SONiC 中的 AAA 半徑驗證
驗證、授權和會計 (AAA) 服務可保護網路不受未經授權的存取。
企業 SONiC 支援這些用戶端/伺服器驗證系統
● RADIUS (遠端驗證撥號使用者服務)
● TACACS+ (終端機存取控制器存取控制系統)
● LDAP (輕量型目錄存取通訊協定)。
本文著重于在執行 Dell SONiC 的交換器上進行 AAA RADIUS 驗證的組態。
在 RADIUS 驗證期間,交換器可作為用戶端,並將驗證要求傳送至伺服器。此要求包含所有使用者驗證和網路服務存取訊號。Radius 伺服器回應使用者要求時會接受或拒絕。
如果伺服器傳送 Accept,也會包含其設定的 MPL 值。
如果沒有 MPL 值,則使用者會被指派為操作員角色。沒有 MPL,使用者名稱管理員即可取得管理員許可權。
企業 SONiC 需要值 15 的管理許可權層級 (MPL) 屬性,才能授予授權使用者讀/寫存取權。
如需深入瞭解使用者角色,請按一下以下連結。
Dell Networking SONiC 使用者角色型存取控制
使用者角色和 MPL 值
下表提到在 Radius 伺服器上要設定的各種使用者角色及其對應的 MPL 值。這項測試已在 Dell SONiC 4.1 中進行測試
| 使用者角色 | MPL 值 |
|---|---|
| admin | 15 |
| operator | 無值或 1 |
| netadmin | 14 |
| 秒管理員 | 13 |
組態
設定交換器上的 Radius 伺服器詳細資料。
組態語法
| 組態 | 說明 |
|---|---|
| admin@DELLSONiC:~$ sonic-cli | 進入 Dell sonic-cli |
| DELLSONiC# 設定 | 進入組態模式 |
| DELLSONiC(config)# radius-server host auth-port auth-type key priority 重新傳輸來源介面逾時 vrf | 設定半徑伺服器 IP 位址/主機名稱和屬性 |
| DELLSONiC(config)# radius-server auth-type authentication-type> | (選配)設定驗證類型。您也可以使用 radius-server 主機個別設定此設定。 |
若要在交換器上設定 RADIUS 伺服器詳細資料,請輸入其主機名稱 (最多 63 個字元)、IP 或 IPv6 位址,以及這些選用值:
● 伺服器上的 auth-port UDP 埠號碼 (1 至 65535; 預設值 1812)
● 傳輸逾時 (以秒為單位) (1 至 60; 預設值 5)
● 使用者驗證要求對 RADIUS 伺服器的重複次數 (0 到 10; 預設值 3)
● RADIUS 伺服器和交換器之間共用的密碼金鑰文字 (最多 65 個字元)。系統會加密此金鑰。
● 驗證類型 — chap、pap 或 mschapv2; 預設 pap;驗證演算法可用來加密/解密交換器和 RADIUS 伺服器之間傳送和接收的資料。
● 優先順序用於存取多個 RADIUS 伺服器來驗證使用者 (1 至最高優先順序 64; 預設值 1)。
● 輸入 VRF 名稱以指定要用來連線 RADIUS 伺服器的 VRF。
啟用驗證順序
交換器會使用驗證方法清單來定義驗證的類型及其套用的順序。根據預設,僅使用本機驗證方法來使用本機使用者資料庫來驗證使用者。我們可以使用本機驗證將 RADIUS 設定為主要或次要驗證方法。
組態語法
| 組態 | 說明 |
|---|---|
| DELLSONiC (config)# aaa 驗證登入預設半徑本機 | 設定驗證順序 |
| DELLSONiC (config)#no aaa 驗證登入預設值 | 這會移除設定的驗證方法,並僅返回本機驗證 |
ENABLE FAIL-Through for RADIUS 驗證 (選用)
如果需要使用多個遠端伺服器設定 RADIUS 式驗證,請使用容錯移轉選項。如果一個伺服器上的驗證要求失敗,容錯移轉功能會繼續存取方法清單中的每個伺服器。
組態語法
| 組態 | 說明 |
|---|---|
| 啟用 DELLSONiC (config)# aaa 驗證失敗 | Enable fail through (啟用失敗通過) |
| DELLSONiC (config)# aaa 驗證失敗節點停用 | 停用失敗通過 |
範例組態
試想我們擁有兩個10.0.0.100和10.0.0.130伺服器,為了示範目的,我們在Radius Server 中預先設定了下列使用者。
| 使用者名稱 | 密碼 | 使用者角色 | MPL (管理許可權層級) |
|---|---|---|---|
| admin | admin@123 | admin | 15 |
| 操作員 1 | operator1@123 | operator | 1 |
admin@DELLSONiC:~$ sonic-cli DELLSONiC# configure DELLSONiC(config)# radius-server host 10.0.0.100 key 123 DELLSONiC(config)# radius-server host 10.0.0.130 key 123 DELLSONiC(config)# radius-server auth-type pap DELLSONiC(config)# aaa authentication login default local group radius DELLSONiC(config)# aaa authentication failthrough enable |
若要檢視已設定的 RADIUS 伺服器
若要檢視已設定的 RADIUS 伺服器,請使用已設定的show radius-server,並顯示 running-configuration | grep 半徑
DELLSONiC# show running-configuration | grep radius radius-server timeout 5 radius-server auth-type pap radius-server host 10.0.0.100 auth-port 1812 key XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX= encrypted radius-server host 10.0.0.130 auth-port 1812 key XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX= encrypted |
DELLSONiC# show radius-server --------------------------------------------------------- RADIUS Global Configuration --------------------------------------------------------- timeout : 5 auth-type : pap key configured : No -------------------------------------------------------------------------------- HOST AUTH-TYPE KEY-CONFIG AUTH-PORT PRIORITY TIMEOUT RTSMT VRF SI -------------------------------------------------------------------------------- 10.0.0.100 - Yes 1812 - - - - - 10.0.0.130 - Yes 1812 - - - - - DELLSONiC# |
驗證
檢視 AAA 驗證
若要檢視 AAA 驗證組態使用者命令show running-configuration | grep aaa並顯示 aaa
DELLSONiC# show running-configuration | grep aaa aaa authentication login default local group radius aaa authentication failthrough enable |
DELLSONiC# show aaa --------------------------------------------------------- AAA Authentication Information --------------------------------------------------------- failthrough : True login-method : local, radius |
以管理員角色的管理員使用者身分登入
具有管理員角色的使用者登入 Shell。管理員角色使用者可存取組態模式 (寫入存取)
DELLSONiC login: admin Password: Last login: Wed Sep 13 00:04:08 UTC 2023 on ttyS0 Linux DELLSONiC 5.10.0-8-2-amd64 #1 SMP Debian 5.10.46-5 (2021-09-23) x86_64 You are on ____ ___ _ _ _ ____ / ___| / _ \| \ | (_)/ ___| \___ \| | | | \| | | | ___) | |_| | |\ | | |___ |____/ \___/|_| \_|_|\____| -- Software for Open Networking in the Cloud -- Unauthorized access and/or use are prohibited. All access and/or use are subject to monitoring. Help: http://azure.github.io/SONiC/ admin@DELLSONiC:~$ admin@DELLSONiC:~$ sonic-cli DELLSONiC# DELLSONiC# configure DELLSONiC(config)# |
以操作員角色的操作員 1 身分登入
具有操作員角色的使用者直接輸入 sonic-cli,而非 Shell。此外,操作員無法進入組態模式 (僅讀)。
DELLSONiC login: operator1 Password: Last login: Tue Sep 12 18:29:02 UTC 2023 on ttyS0 Linux DELLSONiC 5.10.0-8-2-amd64 #1 SMP Debian 5.10.46-5 (2021-09-23) x86_64 You are on ____ ___ _ _ _ ____ / ___| / _ \| \ | (_)/ ___| \___ \| | | | \| | | | ___) | |_| | |\ | | |___ |____/ \___/|_| \_|_|\____| -- Software for Open Networking in the Cloud -- Unauthorized access and/or use are prohibited. All access and/or use are subject to monitoring. Help: http://azure.github.io/SONiC/ DELLSONiC# DELLSONiC# conf ^ % Error: Invalid input detected at "^" marker. DELLSONiC# |
故障 排除
若要偵錯 RADIUS 服務,請檢查 /var/log/auth.log 資料夾中的記錄檔,以及顯示記憶體內記錄中的記錄檔,並顯示記錄 SONiC CLI 命令輸出。
如需更詳細的記錄,請在 CONFIG_DB redis 資料庫的 AAA 表格的驗證金鑰中,將偵錯欄位設為 True,或聯絡技術支援部門。
Affected Products
PowerSwitch E3200-ON Series, Dell EMC Networking N3200-ON, PowerSwitch S5212F-ON, PowerSwitch S5224F-ON, PowerSwitch S5232F-ON, PowerSwitch S5248F-ON, PowerSwitch S5296F-ON, PowerSwitch Z9100-ON, PowerSwitch Z9264F-ON, PowerSwitch Z9332F-ON
, PowerSwitch Z9432F-ON
...
Article Properties
Article Number: 000217350
Article Type: How To
Last Modified: 22 Sep 2023
Version: 6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.