Dell Networking SONiC AAA -todennus RADIUS-palvelimen avulla

摘要: Tässä artikkelissa selitetään, miten AAA-todennus määritetään RADIUS-palvelimen avulla asennetussa Dell SONiC -kytkimessä.

本文章適用於 本文章不適用於 本文無關於任何特定產品。 本文未識別所有產品版本。
查看其他資源

說明

HUOMAUTUS: Tässä artikkelissa käytetään Dell SONiC 4.1 -kytkintä.

 


Tämän artikkelin edellytykset

Artikkelissa oletetaan, että
  • Dell Networking Sonic- ja Radius-palvelinta käyttävä kytkin on liitetty.
  • Radius-palvelimessa on käyttäjän tiedot, joiden MPL (Management-Privilege-Level) -määrite on määritetty valmiiksi.


Indeksi

AAA radius -todennus Dell SONiC
:ssaToiminta
Käyttäjäroolit ja MPL-arvot
Kokoonpano
Esimerkkimääritys
Tarkastus            

 

AAA radius -todennus Dell SONiC:ssa


Todennus-, valtuutus- ja kirjanpitopalvelut (AAA) suojaavat verkkoja luvattomalta pääsyltä.

Enterprise SONiC tukee näitä asiakas-/palvelintodennusjärjestelmiä
● RADIUS (etätodennuksen dial-in-user service)
● TACACS+ (terminal access controller access control system)
● LDAP (lightweight directory access protocol)

Tässä artikkelissa keskitytään AAA RADIUS -todennuksen määrittämiseen Dell SONiC -kytkintä varten.

 

Toiminta

RADIUS-todennuksen aikana kytkin toimii asiakkaana ja lähettää todennuspyyntöjä palvelimeen. Pyyntö sisältää kaikki käyttäjän todennuksen ja verkkopalvelun käyttötiedot. Radius-palvelin vastaa hyväksymällä tai hylkäämällä käyttäjäpyynnön.
Jos palvelin lähettää Accept-arvon, se sisältää myös määritetyn MPL-arvon.
Jos MPL-arvoa ei ole, käyttäjälle määritetään operaattorin rooli. Käyttäjätunnuksen järjestelmänvalvoja voi saada järjestelmänvalvojan oikeudet ilman MPL:ää.
Enterprise SONiC edellyttää, että arvolla 15 varustettu Management-Privilege-Level (MPL) -määrite myöntää valtuutetulle käyttäjälle luku-/kirjoitusoikeuden. 

Radius-todennus
 

Saat lisätietoja käyttäjärooleista napsauttamalla alla olevaa linkkiä.
Dell Networking SONiC -käyttäjäroolipohjainen käytönvalvonta

 

Käyttäjäroolit ja MPL-arvot

Seuraavassa taulukossa kerrotaan monenlaisia käyttäjärooleja ja niitä vastaavat Radius-palvelimeen määritettävät MPL-arvot. Tämä on testattu Dell SONiC 4.1 -versiossa

                 Käyttäjän rooli                              MPL-arvo                 
admin 15
operator Ei arvoa tai 1
netadmin 14
secadmin 13


 

Määritys


Radius-palvelinten tietojen määrittäminen kytkimessä

Kokoonpanon syntaksi
 
Määritys Selitys
admin@DELLSONiC:~$ sonic-cli Avaa Dell sonic-cli
DELLSONiC# configure (DELLSONiC# -määritys) Siirry määritystilaan
DELLSONiC(config)# radius-server host auth-port auth-type key priority retransmit source-interface aikakatkaisu vrf Radius-palvelimen IP-osoitteen/isäntänimen ja määritteiden määrittäminen
DELLSONiC(config)# radius-server auth-type authentication-type> (valinnainen) Todennustyypin määrittäminen Tämän voi määrittää erikseen myös radius-palvelinisännälle.

Määritä RADIUS-palvelimen tiedot kytkimessä kirjoittamalla sen isäntänimi (enintään 63 merkkiä), IP- tai IPv6-osoite ja seuraavat valinnaiset arvot:
● auth-port UDP -portin numero palvelimessa (1–65535; oletus 1812)
● Lähetyksen aikakatkaisu sekunteina (1–60; oletus 5)
● RADIUS-palvelimelle lähetetään uudelleen todennuspyyntö usein (0–10; oletus 3)
● RADIUS-palvelimen ja kytkimen välillä jaettu salainen avainteksti (enintään 65 merkkiä). Järjestelmä salaa avaimen.
● Todennuksen tyyppi – chap, pap tai mschapv2; oletusarvoinen pap; Kytkimen ja RADIUS-palvelimen välillä lähetettyjen ja vastaanotettujen tietojen salaus/salaus puretaan todennusalgoritmin avulla.
● Prioriteetti, jolla useita RADIUS-palvelimia käytetään todennukseen (1–prioriteetti 64; oletus 1).
● Määritä VRF-nimi, jonka avulla SAADAAN yhteys RADIUS-palvelimeen.
 


Ota todennustilaus käyttöön

Kytkin määrittää todennustyypit ja niiden järjestystavan todennusmenetelmien luettelon avulla. Vain paikallista todennustapaa käytetään oletusarvoisesti käyttäjien todennukseen paikallisen käyttäjän tietokannassa. RADIUS voidaan määrittää ensisijaiseksi tai toissijaiseksi todennusmenetelmäksi paikallisella todennuksella.

Kokoonpanon syntaksi
 
Määritys Selitys
DELLSONiC(config)# aaa authentication login default radius local (englanninkielinen)     Todennusjärjestyksen konfigurointi   
DELLSONiC(config)#no aaa authentication -kirjautumisen oletuskirjautuminen Tämä poistaa määritetyt todennustavat ja palaa vain paikalliseen todennukseen
 


Enable fail-through for RADIUS authentication (valinnainen)

Käytä fail-through-vaihtoehtoa, jos RADIUS-pohjainen todennus on määritettävä useassa etäpalvelimessa. Jos todennuspyyntö epäonnistuu yhdessä palvelimessa, se käyttää edelleen jokaista menetelmäluettelon palvelinta. 

Kokoonpanon syntaksi
 
Määritys Selitys
DELLSONiC(config)# aaa-todennuksen vikasietoisuus käytössä      Enable fail through (Ota vika käyttöön)      
DELLSONiC(config)# aaa-todennus epäonnistuu Disable fail through (Poista käytöstä) -virhe 
 
 

Esimerkkimääritys

Oletetaan, että käytössä on kaksi palvelinta 10.0.0.100 ja 10.0.0.130 , ja käytämme avainta 123

esittelyä varten, jotta seuraavat käyttäjät on määritetty valmiiksi Radius-palvelimeen.
 
käyttäjätunnus                  Salasana         Käyttäjän rooli                     MPL (Management-Privilege-Level)
admin admin@123 admin 15
käyttäjä 1        operator1@123       operator 1
 
  
admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# radius-server host 10.0.0.100 key 123
DELLSONiC(config)# radius-server host 10.0.0.130 key 123
DELLSONiC(config)# radius-server auth-type pap
DELLSONiC(config)# aaa authentication login default local group radius
DELLSONiC(config)# aaa authentication failthrough enable


Määritettyjen RADIUS-palvelinten tarkasteleminen

Voit tarkastella määritettyjä RADIUS-palvelimia käyttämällä määritettyä show radius-server -komentoa ja näyttäen running-configuration -komennon | grep radius
  
DELLSONiC# show running-configuration | grep radius
radius-server timeout 5
radius-server auth-type pap
radius-server host 10.0.0.100 auth-port 1812 key XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX= encrypted
radius-server host 10.0.0.130 auth-port 1812 key XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX= encrypted
 
DELLSONiC# show radius-server
---------------------------------------------------------
RADIUS Global Configuration
---------------------------------------------------------
timeout        : 5
auth-type      : pap
key configured : No
--------------------------------------------------------------------------------
HOST            AUTH-TYPE KEY-CONFIG AUTH-PORT PRIORITY TIMEOUT RTSMT VRF   SI
--------------------------------------------------------------------------------
10.0.0.100      -         Yes        1812      -        -       -     -     -
10.0.0.130      -         Yes        1812      -        -       -     -     -
DELLSONiC#


 

Vahvistus


AAA-todennuksen tarkasteleminen

AAA-todennuksen määrityskomennon tarkasteleminen : running-configuration | grep aaa ja show aaa
  
DELLSONiC# show running-configuration | grep aaa
aaa authentication login default local group radius
aaa authentication failthrough enable
 
DELLSONiC# show aaa
---------------------------------------------------------
AAA Authentication Information
---------------------------------------------------------
failthrough  : True
login-method : local, radius


Kirjaudu sisään järjestelmänvalvojana, jolla on järjestelmänvalvojan rooli

Käyttäjä, jolla on järjestelmänvalvojan rooli, kirjautuu komentotulkkiin. Järjestelmänvalvojan roolikäyttäjällä on käyttöoikeus määritystilaan (kirjoituskäyttö) 
DELLSONiC login: admin
Password:
Last login: Wed Sep 13 00:04:08 UTC 2023 on ttyS0
Linux DELLSONiC 5.10.0-8-2-amd64 #1 SMP Debian 5.10.46-5 (2021-09-23) x86_64
You are on
  ____   ___  _   _ _  ____
/ ___| / _ \| \ | (_)/ ___|
\___ \| | | |  \| | | |
  ___) | |_| | |\  | | |___
|____/ \___/|_| \_|_|\____|

-- Software for Open Networking in the Cloud --

Unauthorized access and/or use are prohibited.
All access and/or use are subject to monitoring.

Help:    http://azure.github.io/SONiC/

admin@DELLSONiC:~$
admin@DELLSONiC:~$ sonic-cli
DELLSONiC#
DELLSONiC# configure
DELLSONiC(config)#


Kirjaudu sisään operaattorina 1 operaattorin roolilla

Käyttäjä, jolla on operaattorin rooli, siirtyy suoraan sonic-cli-komentorivikäyttöliittymään komentotulkin sijasta. Lisäksi operaattori ei voi siirtyä määritystilaan (vain luku).
  
DELLSONiC login: operator1
Password:
Last login: Tue Sep 12 18:29:02 UTC 2023 on ttyS0
Linux DELLSONiC 5.10.0-8-2-amd64 #1 SMP Debian 5.10.46-5 (2021-09-23) x86_64
You are on
  ____   ___  _   _ _  ____
/ ___| / _ \| \ | (_)/ ___|
\___ \| | | |  \| | | |
  ___) | |_| | |\  | | |___
|____/ \___/|_| \_|_|\____|

-- Software for Open Networking in the Cloud --

Unauthorized access and/or use are prohibited.
All access and/or use are subject to monitoring.

Help:    http://azure.github.io/SONiC/

DELLSONiC#
DELLSONiC# conf
             ^
% Error: Invalid input detected at "^" marker.
DELLSONiC#


Vianmääritys

Tarkista RADIUS-palvelun virheenkorjaus tarkistamalla /var/log/auth.log-kansion lokitiedostot, ja lokitiedostot näkyvät in-memory-lokitiedostoissa ja lokitiedostoissa näkyy SONiC CLI -komennon tuloste.
Jos haluat lisätietoja lokiinkirjaamisesta, määritä virheenkorjauskentän arvoksi True CONFIG_DB databasen AAA-taulukon todennusavaimessa tai ota yhteys tekniseen tukeen.

受影響的產品

PowerSwitch E3200-ON Series, Dell EMC Networking N3200-ON, PowerSwitch S5212F-ON, PowerSwitch S5224F-ON, PowerSwitch S5232F-ON, PowerSwitch S5248F-ON, PowerSwitch S5296F-ON, PowerSwitch Z9100-ON, PowerSwitch Z9264F-ON, PowerSwitch Z9332F-ON , PowerSwitch Z9432F-ON ...
文章屬性
文章編號: 000217350
文章類型: How To
上次修改時間: 22 9月 2023
版本:  6
向其他 Dell 使用者尋求您問題的答案
支援服務
檢查您的裝置是否在支援服務的涵蓋範圍內。