Ověření Dell Networking SONiC AAA pomocí serveru RADIUS

POZNÁMKA: Tento článek používá přepínač s nástrojem Dell SONiC 4.1.

 

Přípravné kroky tohoto článku

Tento článek předpokládá následující

• Máme připojení mezi přepínačem, na kterém je spuštěn server Dell Networking Sonic a Radius.
• Server Radius obsahuje podrobnosti o uživateli s předem nakonfigurovaným atributem požadované úrovně oprávnění správy (MPL).

Index

Ověření AAA Radius v nástroji Dell SONiC
Operace
Uživatelské role a hodnoty
MPLKonfigurace
Ukázková konfigurace
Ověření            

 

Ověření AAA Radius v nástroji Dell SONiC

Služby ověřování, autorizace a účtování (AAA) zajišťují sítě proti neoprávněnému přístupu.

Enterprise SONiC podporuje tyto systémy
ověřování klientů/serverů● RADIUS (služba uživatele s vytáčeným připojením k vzdálenému ověřování)
● TACACS+ (systém řízení přístupu řadiče přístupu terminálu)
● LDAP (zjednodušený protokol pro přístup k adresáři).

Tento článek se zaměřuje na konfiguraci ověřování AAA RADIUS na přepínači s nástrojem Dell SONiC.

 

Operace

Během ověřování RADIUS přepínač funguje jako klient a odesílá požadavky na ověření serveru. Tento požadavek obsahuje veškeré ověření uživatele a informace o přístupu k síťové službě. Server Radius zareaguje na požadavek uživatele na přijetí nebo zamítnutí.
Pokud server odešle přijetí, bude obsahovat také nakonfigurovanou hodnotu MPL.
Pokud není k dispozici žádná hodnota MPL, je uživateli přiřazena role operátora. Správce uživatelského jména může získat oprávnění správce bez MPL.
Produkt Enterprise SONiC vyžaduje atribut Management-Privilege-Level (MPL) s hodnotou 15 k udělení přístupu pro čtení a zápis autorizovanému uživateli. 


 

Další informace o uživatelských rolích získáte kliknutím na odkaz níže.
Řízení přístupu na základě rolí uživatele Dell Networking SONiC

 

Uživatelské role a hodnoty MPL

Níže uvedená tabulka obsahuje různé uživatelské role a odpovídající hodnoty MPL konfigurované na serveru Radius. To je testováno v nástroji Dell SONiC 4.1

Role uživatele	Hodnota MPL
admin	15
operator	Bez hodnoty nebo 1
Netadmin	14
secadmin	13

 

Konfigurace

Konfigurace podrobností o serveru Radius na přepínači.

Syntaxe konfigurace
 

Konfigurace	Vysvětlení
admin@DELLSONiC:~$ sonic-cli	Zadejte příkaz Dell sonic-cli.
KONFIGURACE DELLSONiC#	Spuštění konfiguračního režimu
DELLSONiC(config)# radius-server host auth-port auth-type > klíč priorita znovu odeslat timeout vrf	Konfigurace IP adresy/názvu hostitele a atributů serveru Radius
DELLSONiC(config)# radius-server auth-type < typ ověření>	(Volitelné) Konfigurace typu ověřování. To lze také nakonfigurovat samostatně s hostitelem serveru Radius.

Chcete-li na přepínači nakonfigurovat detail serveru RADIUS, zadejte jeho název hostitele (maximum 63 znaků), IP adresu nebo adresu IPv6 a tyto volitelné hodnoty:
● číslo portu UDP s ověřováním na serveru (1 až 65535; výchozí hodnota 1812)
● Časový limit přenosu v sekundách (1 až 60; výchozí hodnota 5)
● Počet opakovaných pokusů o ověření uživatele na server RADIUS (0 až 10; výchozí hodnota 3)
● Text tajného klíče sdílený mezi serverem RADIUS a přepínačem (až 65 znaků). Tento klíč je šifrován systémem.
● Typ ověřování – chap, pap nebo mschapv2; výchozí pap; Ověřovací algoritmus se používá k zašifrování/dešifrování odeslaných a přijatých dat mezi přepínačem a serverem RADIUS.
● Priorita pro přístup k několika serverům RADIUS k ověření uživatelů (1 na nejvyšší prioritu 64; výchozí hodnota 1).
● Zadejte název VRF a specifikujte VRF, který se má použít pro připojení k serveru RADIUS.
 

Povolení pořadí ověřování

Přepínač používá seznam metod ověřování k definování typů ověřování a pořadí, ve kterém se používají. Ve výchozím nastavení se k ověřování uživatelů pomocí místní databáze uživatelů používá pouze místní metoda ověřování. Pomocí místního ověřování můžeme nakonfigurovat protokol RADIUS jako primární nebo sekundární metodu ověřování.

Syntaxe konfigurace
 

Konfigurace	Vysvětlení
Výchozí přihlašovací jméno radius local pro ověření DELLSONiC(config)# aaa	Konfigurace pořadí ověřování
DellSONiC(config)#no aaa authentication login default (Výchozí přihlašovací údaje pro ověření DELLSONiC(config)#no aaa	Tím se odstraní nakonfigurované metody ověřování a vrátí se pouze k místnímu ověřování.

 

Povolení převzetí služeb po selhání pro ověřování RADIUS (volitelné)

Možnost fail-through použijte v případě, že je třeba nakonfigurovat ověřování založené na protokolu RADIUS s více než jedním vzdáleným serverem. Funkce fail-through bude nadále přistupovat ke každému serveru v seznamu metod, pokud selže požadavek na ověření na jednom serveru. 

Syntaxe konfigurace
 

Konfigurace	Vysvětlení
DellSONiC(config)# aaa authentication failthrough enable	Enable Fail through (Povolit selhání prostřednictvím)
DELLSONiC(config)# aaa authentication failthrough disable	Disable fail through (Zakázat selhání prostřednictvím)

 
 

Ukázková konfigurace

Zvažte, že používáme dva servery verze 10.0.0.100 a 10.0.0.130 a pro účely předvedení používáme klíč 123

, kteří mají v serveru Radius předem nakonfigurované následující uživatele.

Uživatelské jméno	Heslo	Role uživatele	MPL (Management-Privilege-Level)
admin	admin@123	admin	15
operátor 1	operator1@123	operator	1

 
 

admin@DELLSONiC:~$ sonic-cli DELLSONiC# configure DELLSONiC(config)# radius-server host 10.0.0.100 key 123 DELLSONiC(config)# radius-server host 10.0.0.130 key 123 DELLSONiC(config)# radius-server auth-type pap DELLSONiC(config)# aaa authentication login default local group radius DELLSONiC(config)# aaa authentication failthrough enable

Zobrazení nakonfigurovaných serverů

RADIUSChcete-li zobrazit nakonfigurované servery RADIUS, použijte nakonfigurované příkazy show radius-server a show running-configuration | grep radius.
 

DELLSONiC# show running-configuration | grep radius radius-server timeout 5 radius-server auth-type pap radius-server host 10.0.0.100 auth-port 1812 key XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX= encrypted radius-server host 10.0.0.130 auth-port 1812 key XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX= encrypted

DELLSONiC# show radius-server --------------------------------------------------------- RADIUS Global Configuration --------------------------------------------------------- timeout        : 5 auth-type      : pap key configured : No -------------------------------------------------------------------------------- HOST            AUTH-TYPE KEY-CONFIG AUTH-PORT PRIORITY TIMEOUT RTSMT VRF   SI -------------------------------------------------------------------------------- 10.0.0.100      -         Yes        1812      -        -       -     -     - 10.0.0.130      -         Yes        1812      -        -       -     -     - DELLSONiC#

 

Ověření

Zobrazení ověřování

AAAChcete-li zobrazit příkaz uživatele konfigurace ověření AAA , zobrazí se příkaz running-configuration | grep aaa a zobrazí se příkaz aaa
 

DELLSONiC# show running-configuration | grep aaa aaa authentication login default local group radius aaa authentication failthrough enable

DELLSONiC# show aaa --------------------------------------------------------- AAA Authentication Information --------------------------------------------------------- failthrough  : True login-method : local, radius

Přihlaste se jako uživatel správce s rolí

správce.Uživatel s rolí správce se přihlásí do prostředí. Uživatel s rolí správce má přístup do režimu konfigurace (přístup pro zápis).

DELLSONiC login: admin Password: Last login: Wed Sep 13 00:04:08 UTC 2023 on ttyS0 Linux DELLSONiC 5.10.0-8-2-amd64 #1 SMP Debian 5.10.46-5 (2021-09-23) x86_64 You are on   ____   ___  _   _ _  ____ / ___| / _ \| \ | (_)/ ___| \___ \| | | |  \| | | |   ___) | |_| | |\  | | |___ |____/ \___/|_| \_|_|\____| -- Software for Open Networking in the Cloud -- Unauthorized access and/or use are prohibited. All access and/or use are subject to monitoring. Help:    http://azure.github.io/SONiC/ admin@DELLSONiC:~$ admin@DELLSONiC:~$ sonic-cli DELLSONiC# DELLSONiC# configure DELLSONiC(config)#

Přihlaste se jako operátor 1 s rolí operátora

.Uživatel s rolí operátora přejde přímo do prostředí sonic-cli, nikoli do prostředí. Operátor navíc nemůže přejít do konfiguračního režimu (pouze pro čtení).
 

DELLSONiC login: operator1 Password: Last login: Tue Sep 12 18:29:02 UTC 2023 on ttyS0 Linux DELLSONiC 5.10.0-8-2-amd64 #1 SMP Debian 5.10.46-5 (2021-09-23) x86_64 You are on   ____   ___  _   _ _  ____ / ___| / _ \| \ | (_)/ ___| \___ \| | | |  \| | | |   ___) | |_| | |\  | | |___ |____/ \___/|_| \_|_|\____| -- Software for Open Networking in the Cloud -- Unauthorized access and/or use are prohibited. All access and/or use are subject to monitoring. Help:    http://azure.github.io/SONiC/ DELLSONiC# DELLSONiC# conf              ^ % Error: Invalid input detected at "^" marker. DELLSONiC#

Řešení potíží

Chcete-li ladit službu RADIUS, zkontrolujte soubory protokolu ve složce /var/log/auth.log a soubory protokolu se zobrazují v protokolu v paměti a zobrazí výstup příkazu SONiC CLI protokolování.
Chcete-li zobrazit podrobnější protokolování, nastavte v ověřovacím klíči tabulky AAA v CONFIG_DB databázi nebo se obraťte na technickou podporu a nastavte pole ladění na hodnotu True.

PowerSwitch E3200-ON Series, Dell EMC Networking N3200-ON, PowerSwitch S5212F-ON, PowerSwitch S5224F-ON, PowerSwitch S5232F-ON, PowerSwitch S5248F-ON, PowerSwitch S5296F-ON, PowerSwitch Z9100-ON, PowerSwitch Z9264F-ON, PowerSwitch Z9332F-ON , PowerSwitch Z9432F-ON ... Visualizza altro about warranties Visualizza meno about warranties