Kontrola dostępu oparta na rolach użytkownika Dell Networking SONiC

Podsumowanie: W tym artykule wyjaśniono kwestię kontroli dostępu opartej na rolach w systemie Dell Networking SONiC.

Ten artykuł dotyczy Ten artykuł nie dotyczy Ten artykuł nie jest powiązany z żadnym konkretnym produktem. Nie wszystkie wersje produktu zostały zidentyfikowane w tym artykule.
Sprawdź inne zasoby

Instrukcje

Co to jest kontrola dostępu oparta na rolach?

Kontrola dostępu oparta na rolach (RBAC) zapewnia kontrolę dostępu i autoryzacji. Użytkownicy otrzymują uprawnienia na podstawie zdefiniowanych ról. Administrator może tworzyć role użytkowników oparte na funkcjach zadań, aby umożliwić użytkownikom odpowiedni dostęp do systemu.

Kontrola dostępu oparta na rolach nakłada ograniczenia na uprawnienia każdej roli, aby umożliwić partycjonowanie zadań.
Rola użytkownika uwierzytelnia i autoryzuje użytkownika przy logowaniu oraz przełącza użytkownika w tryb EXEC.
Każda rola użytkownika przypisuje uprawnienia, które określają polecenia, które użytkownik może wprowadzać, oraz akcje, które użytkownik może wykonywać. Kontrola dostępu oparta na rolach zapewnia efektywny sposób administrowania prawami użytkowników.



Role użytkowników dostępne w systemie Dell Networking SONiC

Role Permission
Admin Administrator ma pełny dostęp do odczytu/zapisu w systemie. Oznacza to, że ma pełny dostęp do wszystkich poleceń show, powłoki Linuksa i konfiguracji. 
Operator Operator ma jedynie ograniczony dostęp do odczytu systemu. Oznacza to, że ma dostęp do niektórych poleceń show, ale nie może wykonywać żadnej konfiguracji w przełączniku.
 
UWAGA: W wersji 4.1 systemu operacyjnego Dell SONiC wprowadzono dwie nowe role użytkowników, przy czym ten sam użytkownik może mieć wiele ról.
 
Role Permission
Secadmin (Secadmin) Użytkownik secadmin ma dostęp do wszystkich poleceń związanych z zabezpieczeniami w systemie.
Administracja sieciowa Użytkownik netadmin ma dostęp do funkcji konfiguracji, które zarządzają ruchem przepływającym przez przełącznik.



Składnia konfiguracji:

Konfiguracja Objaśnienie
admin@DELLSONiC:~$ sonic-cli Otwórz interfejs wiersza poleceń Dell SONiC
Konfiguracja terminala DELLSONiC# Uruchomienie trybu konfiguracji.
DELLSONiC(config)# nazwa użytkownika<, nazwa użytkownika>, hasło<, hasło>, rola<: admin/operator/secadmin/netadmin>. Skonfiguruj nazwę użytkownika, hasło i rolę. 


Aby zweryfikować rolę skonfigurowanego użytkownika, użyj polecenia show users configured. To polecenie pokazuje użytkowników skonfigurowanych lokalnie i zdalnych, którzy zalogowali się do przełącznika. Przełącznik nie będzie przechowywał hasła użytkowników zdalnych.
 
Przykładowe dane wyjściowe 
DELLSONiC # show users configured
----------------------------------------------------------------------
User                              Role(s)
----------------------------------------------------------------------
admin1                            admin
oper                              operator

W systemie Dell SONiC 4.1 można skonfigurować wiele ról dla jednego użytkownika. Poniżej przedstawiono przykład konfiguracji wielu ról dla jednego użytkownika: 
DELLSONiC (config)# username testuser password testuser role operator,netadmin,secadmin
DELLSONiC(config)# exit

DELLSONiC # show users configured
----------------------------------------------------------------------
User                              Role(s)
----------------------------------------------------------------------
testuser                          netadmin,operator,secadmin


 

Przykład

Aby wyjaśnić role użytkowników, tworzymy dwóch użytkowników z różnymi rolami:

  • Użytkownik oper ma przypisaną rolę operatora
  • Użytkownik admin1 ma przypisaną rolę administratora

Przykładowa konfiguracja 
admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# username oper password oper role operator
DELLSONiC(config)# username admin1 password admin1 role admin
 


Zaloguj się za pomocą oper, która jest rolą operatora.

UWAGA: Po zalogowaniu się jako operator, secadmin lub netadmin następuje przejście do wiersza poleceń programu Dell Management Framework.

Zalogujmy się do przełącznika jako użytkownik oper, który pełni rolę operatora. Możemy użyć " ? ", aby wyświetlić polecenia obsługiwane przez rolę użytkownika w określonym trybie.

Przykładowe dane wyjściowe 
sonic login: oper
Password:
Linux sonic 5.10.0-8-2-amd64 #1 SMP Debian 5.10.46-5 (2021-09-23) x86_64
You are on
  ____   ___  _   _ _  ____
/ ___| / _ \| \ | (_)/ ___|
\___ \| | | |  \| | | |
  ___) | |_| | |\  | | |___
|____/ \___/|_| \_|_|\____|

-- Software for Open Networking in the Cloud --

Unauthorized access and/or use are prohibited.
All access and/or use are subject to monitoring.

Help:    http://azure.github.io/SONiC/

sonic# ?
  copy         Perform file operations
  delete       Delete the file from local filesystem
  dir          Show folder contents
  exit         Exit from the CLI
  ls           Show folder contents
  ping         Send ICMP ECHO_REQUEST to network hosts
  ping6        Send ICMPv6 ECHO_REQUEST to network hosts
  show         Display running system information
  terminal     Set terminal settings
  traceroute   Print the route packets take to the host
  traceroute6  Print the route packets take to the IPv6 host
User oper ma rolę operatora. Operator ma tylko dostęp do odczytu systemu; W związku z tym user oper nie może wykonać żadnej konfiguracji. Ponadto operator nie może uruchamiać wszystkich poleceń show, tak jak użytkownik administrator.

 
UWAGA: W systemie Dell Networking SONiC 4.0.5 i starszych użytkownik z rolą operatora może przejść do trybu konfiguracji. Jednak każde polecenie wykonane w trybie konfiguracji jest odrzucane.

Przykładowe dane wyjściowe

Poniższe przykładowe dane wyjściowe pokazują, że tryb konfiguracji jest dostępny dla użytkownika z rolą operatora w wersji 4.0.5. Użytkownik nie może jednak dokonać żadnych zmian konfiguracji 
DELLSONiC# show version | grep Soft
Software Version  : 4.0.5-Enterprise_Base

DELLSONiC# configure
DELLSONiC(config)# interface-naming standard 
% Error: Client is not authorized to perform this operation
DELLSONiC(config)# hostname test
% Error: Client is not authorized to perform this operation
DELLSONiC(config)# exit
DELLSONiC# clear logging 
DELLSONiC# show logging count

DELLSONiC# show users
oper     ttyS0        2023-08-02 21:03

 

To zachowanie zostało zmodyfikowane w wersji 4.1, w której użytkownik roli operatora nie może przejść do trybu konfiguracji.

DELLSONiC# show version | grep Soft
Software Version  : 4.1.0-Enterprise_Base

DELLSONiC# configure
         ^
% Error: Invalid input detected at "^" marker.

DELLSONiC# show users 
oper ttyS0 2023-08-02 22:10



Zaloguj się za pomocą konta admin1, który jest rolą administratora.

UWAGA: Podczas logowania jako użytkownik admin zostajemy umieszczeni w powłoce Linuksa. Monit to admin@sonic:~$. Aby uzyskać dostęp do interfejsu wiersza poleceń Dell Management Framework, należy użyć polecenia sonic-cli .

Przykładowe dane wyjściowe 
Debian GNU/Linux 10 DELLSONiC ttyS0

DELLSONiC login: admin1
Password: 
admin1@DELLSONiC:~$ sonic-cli
DELLSONiC# show version | grep Soft
Software Version  : 4.0.5-Enterprise_Base

DELLSONiC# show audit-log
Aug 02 21:06:01.052692+00:00 2023 DELLSONiC INFO mgmt-framework#clish[146]: User "admin1" command "startup" status - success
Aug 02 21:05:53.366544+00:00 2023 DELLSONiC INFO login[27960]: pam_unix(login:session): session opened for user admin1 by LOGIN(uid=0)
Aug 02 21:05:46.787657+00:00 2023 DELLSONiC INFO systemd[1]: Stopped Serial Getty on ttyS0.
Aug 02 21:05:46.203662+00:00 2023 DELLSONiC INFO login[4203]: pam_unix(login:session): session closed for user oper
Aug 02 21:05:45.855977+00:00 2023 DELLSONiC INFO mgmt-framework#clish[134]: User "oper" command "exit" status - success
Aug 02 21:05:09.966551+00:00 2023 DELLSONiC INFO mgmt-framework#clish[134]: User "oper" command "show users" status - success
Aug 02 21:04:52.730615+00:00 2023 DELLSONiC INFO mgmt-framework#clish[134]: User "oper" command "show audit-log" status - failure
Aug 02 21:04:46.843617+00:00 2023 DELLSONiC INFO mgmt-framework#clish[134]: User "oper" command "show logging count" status - success
Aug 02 21:04:43.031486+00:00 2023 DELLSONiC INFO mgmt-framework#clish[134]: User "oper" command "clear logging" status - success
Aug 02 21:04:39.074016+00:00 2023 DELLSONiC INFO mgmt-framework#clish[134]: User "oper" command "exit" status - success
Aug 02 21:04:26.504755+00:00 2023 DELLSONiC INFO mgmt-framework#clish[134]: User "oper" command "hostname DeLLSoNiC" status - failure
Aug 02 21:04:11.674915+00:00 2023 DELLSONiC INFO mgmt-framework#clish[134]: User "oper" command "interface-naming standard" status - failure



Zaloguj się przy użyciu nieprawidłowych poświadczeń:

Teraz zalogujmy się przy użyciu nieprawidłowych poświadczeń dla użytkownika admin1 z rolą administratora.

Przykładowe dane wyjściowe 
DELLSONiC login: admin1
Password:                            ==========>Wrong password is given

Login incorrect
DELLSONiC login: admin1
Password: 
Last login: Wed Aug  2 21:05:53 UTC 2023 on ttyS0
Linux DELLSONiC 4.19.0-9-2-amd64 #1 SMP Debian 4.19.118-2+deb10u1 (2020-06-07) x86_64
You are on
  ____   ___  _   _ _  ____
/ ___| / _ \| \ | (_)/ ___|
\___ \| | | |  \| | | |
  ___) | |_| | |\  | | |___
|____/ \___/|_| \_|_|\____|

-- Software for Open Networking in the Cloud --

Unauthorized access and/or use are prohibited.
All access and/or use are subject to monitoring.

Help:    http://azure.github.io/SONiC/
**Note the login failure for admin1
admin1@DELLSONiC:~$ sonic-cli

DELLSONiC# show audit-log
Aug 02 21:07:28.896480+00:00 2023 DELLSONiC INFO mgmt-framework#clish[155]: User "admin1" command "startup" status - success
Aug 02 21:07:20.219496+00:00 2023 DELLSONiC INFO login[7169]: pam_unix(login:session): session opened for user admin1 by LOGIN(uid=0)
Aug 02 21:07:12.635575+00:00 2023 DELLSONiC NOTICE login[7169]: FAILED LOGIN (1) on '/dev/ttyS0' FOR 'admin1', Authentication failure
Aug 02 21:07:08.763918+00:00 2023 DELLSONiC NOTICE login[7169]: pam_unix(login:auth): authentication failure; logname=LOGIN uid=0 euid=0 tty=/dev/ttyS0 ruser= rhost=  user=admin1

Dodatkowe informacje

Zapoznaj się z niniejszym filmem:

Kontrola dostępu oparta na rolach (RBAC) SONiC

Czas trwania: 00:03:27 (gg:mm:ss)
Jeśli to możliwe, ustawienia języka napisów kodowanych można wybrać za pomocą ikony CC w tym odtwarzaczu wideo.

Ten film można również obejrzeć w serwisie YouTube.

 

Produkty, których dotyczy problem

Enterprise SONiC Distribution, PowerSwitch E3200-ON Series, Dell EMC Networking N3200-ON, PowerSwitch S5212F-ON, PowerSwitch S5224F-ON, PowerSwitch S5232F-ON, PowerSwitch S5248F-ON, PowerSwitch S5296F-ON, PowerSwitch Z9100-ON, PowerSwitch Z9264F-ON , PowerSwitch Z9332F-ON, PowerSwitch Z9432F-ON ...
Właściwości artykułu
Numer artykułu: 000216535
Typ artykułu: How To
Ostatnia modyfikacja: 05 sty 2026
Wersja:  9
Znajdź odpowiedzi na swoje pytania u innych użytkowników produktów Dell
Usługi pomocy technicznej
Sprawdź, czy Twoje urządzenie jest objęte usługą pomocy technicznej.