Аутентифікація Dell Networking SONiC AAA за допомогою сервера RADIUS

ПРИМІТКА: У цій статті використовується перемикач під керуванням Dell SONiC 4.1.

 

Передумови цієї статті

Ця стаття передбачає наступне

• У нас є зв'язок між комутатором, на якому працює Dell Networking Sonic, і сервером Radius.
• Сервер Radius має дані користувача з попередньо налаштованим атрибутом Management-Privilege-Level (MPL).

Індекс

Аутентифікація AAA radius в Dell SONiC
Операція
Ролі користувачів та значення
MPLКонфігурації
Зразок конфігурації
Верифікація            

 

Аутентифікація AAA radius в Dell SONiC

Служби автентифікації, авторизації та обліку (AAA) захищають мережі від несанкціонованого доступу.

Enterprise SONiC підтримує ці системи
аутентифікації клієнт/сервер● RADIUS (віддалена автентифікація dial-in user service)● TACACS+ (система контролю доступу контролера доступу до терміналів)● LDAP (полегшений протокол доступу до каталогів)

У

цій статті мова піде про конфігурацію аутентифікації AAA RADIUS на комутаторі під керуванням Dell SONiC.

 

Операція

Під час аутентифікації RADIUS комутатор виступає в ролі клієнта і відправляє запити аутентифікації на сервер. Цей запит містить всю інформацію про автентифікацію користувача та доступ до мережевих послуг. Сервер Radius відповідає на запит користувача «Прийняти» або «Відхилити».
Якщо сервер надсилає Accept, він також включатиме налаштоване значення MPL.
Якщо значення MPL відсутнє, то користувачеві призначається роль оператора. Адміністратор імені користувача може отримати права адміністратора без MPL.
Enterprise SONiC вимагає атрибут Management-Privilege-Level (MPL) зі значенням 15, щоб надати авторизованому користувачеві доступ до читання/запису. 


 

Щоб дізнатися більше про ролі користувачів, натисніть посилання нижче.
Dell Networking SONiC Керування рольовим доступом користувачів

 

Ролі користувачів та значення MPL

Нижче в таблиці згадуються різні ролі користувачів і відповідні значення MPL, які будуть налаштовані на сервері Radius. Це перевірено в Dell SONiC 4.1

Роль користувача	Значення MPL
Адміністратора	15
Оператор	Немає значення або 1
netadmin	14
Секадмін	13

 

Конфігурації

Налаштуйте деталі Radius Servers на комутаторі.

Синтаксис конфігурації
 

Конфігурації	Пояснення
admin@DELLSONiC:~$ sonic-cli	Введіть звуковий клі Dell
DELLSONiC# налаштувати	Увійдіть у режим конфігурації
DELLSONiC(config)# radius-server хост ім'я хоста | ip-адреса | ipv6-адреса> auth-port порту> auth-type тип автентифікації> ключ пріоритет значення> передати номер> вихідний інтерфейс слот/порт eth[/breakout-port][.підінтерфейс] | Номер зворотного ходу | Управління 0 | Номер каналу порту[.subinterface] | Vlan vlan-id> тайм-аут vrf	Налаштуйте IP-адресу/ім'я хоста та атрибути сервера Radius
DELLSONiC(config)# radius-server auth-type тип аутентифікації>	(Необов'язково) Настроювання типу автентифікації. Це також можна налаштувати за допомогою хоста radius-server окремо.

Щоб налаштувати деталі сервера RADIUS на комутаторі, введіть його ім'я хоста (максимум 63 символи), IP або IPv6-адресу та такі необов'язкові значення:
● номер порту UDP auth-port на сервері (від 1 до 65535; за замовчуванням 1812)
● Тайм-аут передачі в секундах (від 1 до 60; за замовчуванням 5)
● Кількість повторних надсилань запиту на аутентифікацію користувача на сервер RADIUS (від 0 до 10; за замовчуванням 3)
● Секретний ключовий текст, який спільно використовується між сервером RADIUS і комутатором (до 65 символів). Цей ключ зашифрований системою.
● Тип аутентифікації — chap, pap або mschapv2; за замовчуванням PAP; алгоритм аутентифікації використовується для шифрування/дешифрування даних, які надсилаються та приймаються між комутатором та сервером RADIUS.
● Пріоритет, який використовується для доступу до декількох серверів RADIUS для аутентифікації користувачів (від 1 до найвищого пріоритету 64; за замовчуванням 1).
● Введіть ім'я VRF, щоб вказати VRF, який використовуватиметься для зв'язку з сервером RADIUS.
 

Увімкнення порядку автентифікації

Комутатор використовує список методів автентифікації для визначення типів автентифікації та послідовності, у якій вони застосовуються. За промовчанням для автентифікації користувачів із локальною базою даних користувачів використовується лише метод локальної автентифікації. Ми можемо налаштувати RADIUS як основний або вторинний метод аутентифікації з локальною аутентифікацією.

Синтаксис конфігурації
 

Конфігурації	Пояснення
DELLSONiC(config)# aaa аутентифікація вхід за замовчуванням radius local	Настроювання порядку автентифікації
DELLSONiC(config)#no aaa аутентифікації вхід за замовчуванням	Це видаляє налаштовані методи автентифікації та повертається лише до локальної автентифікації

 

Увімкнути відмову для аутентифікації RADIUS (необов'язково)

Використовуйте відмовну опцію, якщо нам потрібно налаштувати автентифікацію на основі RADIUS з більш ніж одним віддаленим сервером. Функція відмови продовжує отримувати доступ до кожного сервера у списку методів, якщо запит автентифікації не вдається виконати на одному сервері. 

Синтаксис конфігурації
 

Конфігурації	Пояснення
DELLSONiC(config)# aaa аутентифікації через помилку ввімкнути	Увімкнути відмову через
DELLSONiC(config)# aaa аутентифікації failthrough disable	Відключення помилки через

 
 

Зразок конфігурації

Врахуйте, що у нас є два сервери 10.0.0.100 і 10.0.0.130, і ми використовуємо ключ 123

З метою демонстрації у нас є наступні користувачі, попередньо налаштовані в Radius Server .

Ім'я користувача	Пароль	Роль користувача	MPL (управління-рівень привілеїв)
Адміністратора	admin@123	Адміністратора	15
оператор1	operator1@123	Оператор	1

 
 

admin@DELLSONiC:~$ sonic-cli DELLSONiC# configure DELLSONiC(config)# radius-server host 10.0.0.100 key 123 DELLSONiC(config)# radius-server host 10.0.0.130 key 123 DELLSONiC(config)# radius-server auth-type pap DELLSONiC(config)# aaa authentication login default local group radius DELLSONiC(config)# aaa authentication failthrough enable

Перегляд настроєних серверів

RADIUSДля перегляду налаштованих серверів RADIUS використовуйте configured show radius-server і show running-configuration | grep radius
 

DELLSONiC# show running-configuration | grep radius radius-server timeout 5 radius-server auth-type pap radius-server host 10.0.0.100 auth-port 1812 key XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX= encrypted radius-server host 10.0.0.130 auth-port 1812 key XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX= encrypted

DELLSONiC# show radius-server --------------------------------------------------------- RADIUS Global Configuration --------------------------------------------------------- timeout        : 5 auth-type      : pap key configured : No -------------------------------------------------------------------------------- HOST            AUTH-TYPE KEY-CONFIG AUTH-PORT PRIORITY TIMEOUT RTSMT VRF   SI -------------------------------------------------------------------------------- 10.0.0.100      -         Yes        1812      -        -       -     -     - 10.0.0.130      -         Yes        1812      -        -       -     -     - DELLSONiC#

 

Верифікація

Перегляд автентифікації

AAAДля перегляду конфігурації аутентифікації AAA команда користувача show running-configuration | grep aaa і show aaa
 

DELLSONiC# show running-configuration | grep aaa aaa authentication login default local group radius aaa authentication failthrough enable

DELLSONiC# show aaa --------------------------------------------------------- AAA Authentication Information --------------------------------------------------------- failthrough  : True login-method : local, radius

Увійдіть як користувач адміністратора за допомогою ролі

адміністратораКористувач з роллю адміністратора входить в оболонку. Користувач ролі адміністратора має доступ до режиму конфігурації (доступ на записування)

DELLSONiC login: admin Password: Last login: Wed Sep 13 00:04:08 UTC 2023 on ttyS0 Linux DELLSONiC 5.10.0-8-2-amd64 #1 SMP Debian 5.10.46-5 (2021-09-23) x86_64 You are on   ____   ___  _   _ _  ____ / ___| / _ \| \ | (_)/ ___| \___ \| | | |  \| | | |   ___) | |_| | |\  | | |___ |____/ \___/|_| \_|_|\____| -- Software for Open Networking in the Cloud -- Unauthorized access and/or use are prohibited. All access and/or use are subject to monitoring. Help:    http://azure.github.io/SONiC/ admin@DELLSONiC:~$ admin@DELLSONiC:~$ sonic-cli DELLSONiC# DELLSONiC# configure DELLSONiC(config)#

Увійти як оператор1 з роллю

оператораКористувач з роллю оператора входить безпосередньо в sonic-cli, а не в оболонку. Крім того, оператор не може увійти в режим конфігурації (тільки для читання).
 

DELLSONiC login: operator1 Password: Last login: Tue Sep 12 18:29:02 UTC 2023 on ttyS0 Linux DELLSONiC 5.10.0-8-2-amd64 #1 SMP Debian 5.10.46-5 (2021-09-23) x86_64 You are on   ____   ___  _   _ _  ____ / ___| / _ \| \ | (_)/ ___| \___ \| | | |  \| | | |   ___) | |_| | |\  | | |___ |____/ \___/|_| \_|_|\____| -- Software for Open Networking in the Cloud -- Unauthorized access and/or use are prohibited. All access and/or use are subject to monitoring. Help:    http://azure.github.io/SONiC/ DELLSONiC# DELLSONiC# conf              ^ % Error: Invalid input detected at "^" marker. DELLSONiC#

Виправлення неполадок

Щоб налагодити службу RADIUS, перевірте файли журналу в папці /var/log/auth.log, а файли журналу в показують журналювання в пам'яті та показують вихід команди SONiC CLI.
Для докладнішого журналювання встановіть для поля налагодження значення True у ключі автентифікації таблиці AAA бази даних CONFIG_DB redis або зверніться до служби технічної підтримки.

PowerSwitch E3200-ON Series, Dell EMC Networking N3200-ON, PowerSwitch S5212F-ON, PowerSwitch S5224F-ON, PowerSwitch S5232F-ON, PowerSwitch S5248F-ON, PowerSwitch S5296F-ON, PowerSwitch Z9100-ON, PowerSwitch Z9264F-ON, PowerSwitch Z9332F-ON , PowerSwitch Z9432F-ON ... View More about warranties View Less about warranties