使用 RADIUS 伺服器進行 Dell Networking SONiC AAA 驗證
摘要: 本文說明如何在 Dell SONiC 安裝的交換器上使用 RADIUS 伺服器設定 AAA 驗證。
本文章適用於
本文章不適用於
本文無關於任何特定產品。
本文未識別所有產品版本。
說明
注意:本文使用執行 Dell SONiC 4.1 的交換器。
本文先決條件
本文假設以下內容
- 我們在執行 Dell Networking Sonic 和 Radius 伺服器的交換器之間擁有連線能力。
- Radius 伺服器的使用者詳細資料已預先設定所需的管理許可權層級 (MPL) 屬性。
指數
Dell SONiC
中的 AAA 半徑驗證操作
使用者角色和 MPL 值
配置
範例組態
驗證
Dell SONiC 中的 AAA 半徑驗證
驗證、授權和會計 (AAA) 服務可保護網路不受未經授權的存取。
企業 SONiC 支援這些用戶端/伺服器驗證系統
● RADIUS (遠端驗證撥號使用者服務)
● TACACS+ (終端機存取控制器存取控制系統)
● LDAP (輕量型目錄存取通訊協定)。
本文著重于在執行 Dell SONiC 的交換器上進行 AAA RADIUS 驗證的組態。
在 RADIUS 驗證期間,交換器可作為用戶端,並將驗證要求傳送至伺服器。此要求包含所有使用者驗證和網路服務存取訊號。Radius 伺服器回應使用者要求時會接受或拒絕。
如果伺服器傳送 Accept,也會包含其設定的 MPL 值。
如果沒有 MPL 值,則使用者會被指派為操作員角色。沒有 MPL,使用者名稱管理員即可取得管理員許可權。
企業 SONiC 需要值 15 的管理許可權層級 (MPL) 屬性,才能授予授權使用者讀/寫存取權。
如需深入瞭解使用者角色,請按一下以下連結。
Dell Networking SONiC 使用者角色型存取控制
使用者角色和 MPL 值
下表提到在 Radius 伺服器上要設定的各種使用者角色及其對應的 MPL 值。這項測試已在 Dell SONiC 4.1 中進行測試
| 使用者角色 | MPL 值 |
|---|---|
| admin | 15 |
| operator | 無值或 1 |
| netadmin | 14 |
| 秒管理員 | 13 |
組態
設定交換器上的 Radius 伺服器詳細資料。
組態語法
| 組態 | 說明 |
|---|---|
| admin@DELLSONiC:~$ sonic-cli | 進入 Dell sonic-cli |
| DELLSONiC# 設定 | 進入組態模式 |
| DELLSONiC(config)# radius-server host auth-port auth-type key priority 重新傳輸來源介面逾時 vrf | 設定半徑伺服器 IP 位址/主機名稱和屬性 |
| DELLSONiC(config)# radius-server auth-type authentication-type> | (選配)設定驗證類型。您也可以使用 radius-server 主機個別設定此設定。 |
若要在交換器上設定 RADIUS 伺服器詳細資料,請輸入其主機名稱 (最多 63 個字元)、IP 或 IPv6 位址,以及這些選用值:
● 伺服器上的 auth-port UDP 埠號碼 (1 至 65535; 預設值 1812)
● 傳輸逾時 (以秒為單位) (1 至 60; 預設值 5)
● 使用者驗證要求對 RADIUS 伺服器的重複次數 (0 到 10; 預設值 3)
● RADIUS 伺服器和交換器之間共用的密碼金鑰文字 (最多 65 個字元)。系統會加密此金鑰。
● 驗證類型 — chap、pap 或 mschapv2; 預設 pap;驗證演算法可用來加密/解密交換器和 RADIUS 伺服器之間傳送和接收的資料。
● 優先順序用於存取多個 RADIUS 伺服器來驗證使用者 (1 至最高優先順序 64; 預設值 1)。
● 輸入 VRF 名稱以指定要用來連線 RADIUS 伺服器的 VRF。
啟用驗證順序
交換器會使用驗證方法清單來定義驗證的類型及其套用的順序。根據預設,僅使用本機驗證方法來使用本機使用者資料庫來驗證使用者。我們可以使用本機驗證將 RADIUS 設定為主要或次要驗證方法。
組態語法
| 組態 | 說明 |
|---|---|
| DELLSONiC (config)# aaa 驗證登入預設半徑本機 | 設定驗證順序 |
| DELLSONiC (config)#no aaa 驗證登入預設值 | 這會移除設定的驗證方法,並僅返回本機驗證 |
ENABLE FAIL-Through for RADIUS 驗證 (選用)
如果需要使用多個遠端伺服器設定 RADIUS 式驗證,請使用容錯移轉選項。如果一個伺服器上的驗證要求失敗,容錯移轉功能會繼續存取方法清單中的每個伺服器。
組態語法
| 組態 | 說明 |
|---|---|
| 啟用 DELLSONiC (config)# aaa 驗證失敗 | Enable fail through (啟用失敗通過) |
| DELLSONiC (config)# aaa 驗證失敗節點停用 | 停用失敗通過 |
範例組態
試想我們擁有兩個10.0.0.100和10.0.0.130伺服器,為了示範目的,我們在Radius Server 中預先設定了下列使用者。
| 使用者名稱 | 密碼 | 使用者角色 | MPL (管理許可權層級) |
|---|---|---|---|
| admin | admin@123 | admin | 15 |
| 操作員 1 | operator1@123 | operator | 1 |
admin@DELLSONiC:~$ sonic-cli DELLSONiC# configure DELLSONiC(config)# radius-server host 10.0.0.100 key 123 DELLSONiC(config)# radius-server host 10.0.0.130 key 123 DELLSONiC(config)# radius-server auth-type pap DELLSONiC(config)# aaa authentication login default local group radius DELLSONiC(config)# aaa authentication failthrough enable |
若要檢視已設定的 RADIUS 伺服器
若要檢視已設定的 RADIUS 伺服器,請使用已設定的show radius-server,並顯示 running-configuration | grep 半徑
DELLSONiC# show running-configuration | grep radius radius-server timeout 5 radius-server auth-type pap radius-server host 10.0.0.100 auth-port 1812 key XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX= encrypted radius-server host 10.0.0.130 auth-port 1812 key XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX= encrypted |
DELLSONiC# show radius-server --------------------------------------------------------- RADIUS Global Configuration --------------------------------------------------------- timeout : 5 auth-type : pap key configured : No -------------------------------------------------------------------------------- HOST AUTH-TYPE KEY-CONFIG AUTH-PORT PRIORITY TIMEOUT RTSMT VRF SI -------------------------------------------------------------------------------- 10.0.0.100 - Yes 1812 - - - - - 10.0.0.130 - Yes 1812 - - - - - DELLSONiC# |
驗證
檢視 AAA 驗證
若要檢視 AAA 驗證組態使用者命令show running-configuration | grep aaa並顯示 aaa
DELLSONiC# show running-configuration | grep aaa aaa authentication login default local group radius aaa authentication failthrough enable |
DELLSONiC# show aaa --------------------------------------------------------- AAA Authentication Information --------------------------------------------------------- failthrough : True login-method : local, radius |
以管理員角色的管理員使用者身分登入
具有管理員角色的使用者登入 Shell。管理員角色使用者可存取組態模式 (寫入存取)
DELLSONiC login: admin Password: Last login: Wed Sep 13 00:04:08 UTC 2023 on ttyS0 Linux DELLSONiC 5.10.0-8-2-amd64 #1 SMP Debian 5.10.46-5 (2021-09-23) x86_64 You are on ____ ___ _ _ _ ____ / ___| / _ \| \ | (_)/ ___| \___ \| | | | \| | | | ___) | |_| | |\ | | |___ |____/ \___/|_| \_|_|\____| -- Software for Open Networking in the Cloud -- Unauthorized access and/or use are prohibited. All access and/or use are subject to monitoring. Help: http://azure.github.io/SONiC/ admin@DELLSONiC:~$ admin@DELLSONiC:~$ sonic-cli DELLSONiC# DELLSONiC# configure DELLSONiC(config)# |
以操作員角色的操作員 1 身分登入
具有操作員角色的使用者直接輸入 sonic-cli,而非 Shell。此外,操作員無法進入組態模式 (僅讀)。
DELLSONiC login: operator1 Password: Last login: Tue Sep 12 18:29:02 UTC 2023 on ttyS0 Linux DELLSONiC 5.10.0-8-2-amd64 #1 SMP Debian 5.10.46-5 (2021-09-23) x86_64 You are on ____ ___ _ _ _ ____ / ___| / _ \| \ | (_)/ ___| \___ \| | | | \| | | | ___) | |_| | |\ | | |___ |____/ \___/|_| \_|_|\____| -- Software for Open Networking in the Cloud -- Unauthorized access and/or use are prohibited. All access and/or use are subject to monitoring. Help: http://azure.github.io/SONiC/ DELLSONiC# DELLSONiC# conf ^ % Error: Invalid input detected at "^" marker. DELLSONiC# |
故障 排除
若要偵錯 RADIUS 服務,請檢查 /var/log/auth.log 資料夾中的記錄檔,以及顯示記憶體內記錄中的記錄檔,並顯示記錄 SONiC CLI 命令輸出。
如需更詳細的記錄,請在 CONFIG_DB redis 資料庫的 AAA 表格的驗證金鑰中,將偵錯欄位設為 True,或聯絡技術支援部門。
受影響的產品
PowerSwitch E3200-ON Series, Dell EMC Networking N3200-ON, PowerSwitch S5212F-ON, PowerSwitch S5224F-ON, PowerSwitch S5232F-ON, PowerSwitch S5248F-ON, PowerSwitch S5296F-ON, PowerSwitch Z9100-ON, PowerSwitch Z9264F-ON, PowerSwitch Z9332F-ON
, PowerSwitch Z9432F-ON
...
文章屬性
文章編號: 000217350
文章類型: How To
上次修改時間: 22 9月 2023
版本: 6
向其他 Dell 使用者尋求您問題的答案
支援服務
檢查您的裝置是否在支援服務的涵蓋範圍內。