Autenticação Dell Networking SONiC AAA usando o servidor RADIUS
摘要: Este artigo explica como configurar a autenticação AAA usando o servidor RADIUS em um comutador Dell SONiC instalado.
本文章適用於
本文章不適用於
本文無關於任何特定產品。
本文未識別所有產品版本。
說明
Nota: Este artigo usa um comutador que executa o Dell SONiC 4.1.
Pré-requisitos deste artigo
Este artigo pressupõe o seguinte
- Temos conectividade entre o switch que está executando o servidor Dell Networking Sonic e Radius.
- O servidor Radius tem os detalhes do usuário com o atributo MPL (Management-Privilege-Level, nível de privilégio de gerenciamento) pré-configurado.
Índice
Autenticação AAA radius no Dell SONiC
Operação
Funções de usuário e valores de MPL
Configuração
Exemplo de configuração
Verificação
Autenticação AAA radius no Dell SONiC
Os serviços de autenticação, autorização e contabilidade (AAA) protegem as redes contra acesso não autorizado.
O Enterprise SONiC dá suporte a esses sistemas de autenticação client/servidor
● RADIUS (remote authentication dial-in user service)
● TACACS+ (sistema de controle de acesso do controlador de acesso do terminal)
● LDAP (lightweight directory access protocol)
Este artigo se concentra na configuração da autenticação AAA RADIUS em um switch que executa o Dell SONiC.
Durante a autenticação do RADIUS, o comutador atua como um client e envia solicitações de autenticação a um servidor. Essa solicitação contém todas as informações de acesso ao serviço de rede e autenticação de usuário. O servidor Radius responde com uma aceitação ou rejeição para a solicitação do usuário.
Se o servidor enviar um Accept, ele também incluirá seu valor de MPL configurado.
Se não houver nenhum valor de MPL, o usuário será atribuído a uma função de operador. O administrador de nome de usuário pode obter privilégio de administrador sem um MPL.
O Enterprise SONiC exige o atributo Management-Privilege-Level (MPL) com valor 15 para conceder acesso de leitura/gravação a um usuário autorizado.
Para entender mais sobre funções de usuário, clique no link abaixo.
Controle de acesso baseado em função do usuário do Dell Networking SONiC
Funções de usuário e valores de MPL
A tabela abaixo menciona várias funções de usuário e seus valores MPL correspondentes a serem configurados no servidor Radius. Isso é testado no Dell SONiC 4.1
| Função do usuário | Valor de MPL |
|---|---|
| admin | 15 |
| operator | Nenhum valor ou 1 |
| 100 mín. | 14 |
| secadmin | 13 |
Configuração
Configure os detalhes dos servidores Radius no switch.
Sintaxe de configuração
| Configuração | Explicação |
|---|---|
| admin@DELLSONiC: ~$ sonic-cli | Digite Dell sonic-cli |
| Configuração do DELLSONiC # | Entrar no modo de configuração |
| DELLSONiC(config)# radius-server host auth-port auth-type Tipo de autenticação> chave prioridade retransmitir interface de origem timeout vrf | Configurar o endereço IP/hostname e atributos do servidor radius |
| DELLSONiC(config)# radius-server auth-type authentication-type> | (Opcional) Configurar o tipo de autenticação. Isso também pode ser configurado com o host do servidor radius separadamente. |
Para configurar um detalhe do servidor RADIUS no switch, digite seu nome de host (máximo de 63 caracteres), endereço IP ou IPv6 e estes valores opcionais:
● número da porta UDP da porta auth no servidor (1 a 65535; padrão 1812)
● Timeout de transmissão em segundos (1 a 60; padrão 5)
● Número de vezes que uma solicitação de autenticação de usuário é ressente a um servidor RADIUS (0 a 10; padrão 3)
● Texto de chave secreta compartilhado entre um servidor RADIUS e o switch (até 65 caracteres). Essa chave é criptografada pelo sistema.
● Tipo de autenticação — chap, pap ou mschapv2; padrão: o algoritmo de autenticação é usado para criptografar/descriptografar dados enviados e recebidos entre o switch e o servidor RADIUS.
● Prioridade usada para acessar vários servidores RADIUS para autenticar usuários (1 a prioridade mais alta 64; padrão 1).
● Digite um nome VRF para especificar o VRF a ser usado para acessar o servidor RADIUS.
Habilitar ordem de autenticação
Um switch usa uma lista de métodos de autenticação para definir os tipos de autenticação e a sequência em que eles se aplicam. Por padrão, somente o método de autenticação local é usado para autenticar usuários com o banco de dados do usuário local. Podemos configurar o RADIUS como método de autenticação primário ou secundário com autenticação local.Sintaxe de configuração
| Configuração | Explicação |
|---|---|
| DELLSONiC(config)# aaa authentication login default radius local | Configurar ordem de autenticação |
| DELLSONiC(config)#no aaa authentication login default | Isso remove os métodos de autenticação configurados e retorna à autenticação local apenas |
Habilitar fail-through para autenticação do RADIUS (opcional)
Use a opção fail-through se precisarmos configurar a autenticação baseada em RADIUS com mais de um servidor remoto. O recurso de fail-through continua a acessar cada servidor na lista de métodos se uma solicitação de autenticação falhar em um servidor. Sintaxe de configuração
| Configuração | Explicação |
|---|---|
| DELLSONiC(config)# aaa authentication failthrough enable | Habilitar fail through |
| DELLSONiC(config)# aaa authentication failthrough disable | Desabilitar fail-through |
Exemplo de configuração
Considere que estamos tendo dois servidores 10.0.0.100 e 10.0.0.130 e estamos usando a chave 123Para fins de demonstração, temos os seguintes usuários pré-configurados no servidor Radius.
| Nome de usuário | Senha | Função do usuário | MPL (nível de privilégio de gerenciamento) |
|---|---|---|---|
| admin | admin@123 | admin | 15 |
| operador1 | operator1@123 | operator | 1 |
admin@DELLSONiC:~$ sonic-cli DELLSONiC# configure DELLSONiC(config)# radius-server host 10.0.0.100 key 123 DELLSONiC(config)# radius-server host 10.0.0.130 key 123 DELLSONiC(config)# radius-server auth-type pap DELLSONiC(config)# aaa authentication login default local group radius DELLSONiC(config)# aaa authentication failthrough enable |
Para visualizar os servidores RADIUS configurados
Para visualizar os servidores RADIUS configurados, use show radius-server configurado e mostre running-configuration | grep radius
DELLSONiC# show running-configuration | grep radius radius-server timeout 5 radius-server auth-type pap radius-server host 10.0.0.100 auth-port 1812 key XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX= encrypted radius-server host 10.0.0.130 auth-port 1812 key XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX= encrypted |
DELLSONiC# show radius-server --------------------------------------------------------- RADIUS Global Configuration --------------------------------------------------------- timeout : 5 auth-type : pap key configured : No -------------------------------------------------------------------------------- HOST AUTH-TYPE KEY-CONFIG AUTH-PORT PRIORITY TIMEOUT RTSMT VRF SI -------------------------------------------------------------------------------- 10.0.0.100 - Yes 1812 - - - - - 10.0.0.130 - Yes 1812 - - - - - DELLSONiC# |
Verificação
Para visualizar a autenticação AAA
Para exibir o comando do usuário de configuração de autenticação AAA show running-configuration | grep aaa e show aaa
DELLSONiC# show running-configuration | grep aaa aaa authentication login default local group radius aaa authentication failthrough enable |
DELLSONiC# show aaa --------------------------------------------------------- AAA Authentication Information --------------------------------------------------------- failthrough : True login-method : local, radius |
Faça log-in como usuário administrador com a função de administrador
Um usuário com função de administrador faz log-in no shell. O usuário da função de administrador tem acesso ao modo de configuração (acesso de gravação)
DELLSONiC login: admin Password: Last login: Wed Sep 13 00:04:08 UTC 2023 on ttyS0 Linux DELLSONiC 5.10.0-8-2-amd64 #1 SMP Debian 5.10.46-5 (2021-09-23) x86_64 You are on ____ ___ _ _ _ ____ / ___| / _ \| \ | (_)/ ___| \___ \| | | | \| | | | ___) | |_| | |\ | | |___ |____/ \___/|_| \_|_|\____| -- Software for Open Networking in the Cloud -- Unauthorized access and/or use are prohibited. All access and/or use are subject to monitoring. Help: http://azure.github.io/SONiC/ admin@DELLSONiC:~$ admin@DELLSONiC:~$ sonic-cli DELLSONiC# DELLSONiC# configure DELLSONiC(config)# |
Faça log-in como operator1 com função de operador
Um usuário com função de operador entra diretamente no sonic-cli, e não no shell. Além disso, um operador não pode entrar no modo de configuração (somente leitura).
DELLSONiC login: operator1 Password: Last login: Tue Sep 12 18:29:02 UTC 2023 on ttyS0 Linux DELLSONiC 5.10.0-8-2-amd64 #1 SMP Debian 5.10.46-5 (2021-09-23) x86_64 You are on ____ ___ _ _ _ ____ / ___| / _ \| \ | (_)/ ___| \___ \| | | | \| | | | ___) | |_| | |\ | | |___ |____/ \___/|_| \_|_|\____| -- Software for Open Networking in the Cloud -- Unauthorized access and/or use are prohibited. All access and/or use are subject to monitoring. Help: http://azure.github.io/SONiC/ DELLSONiC# DELLSONiC# conf ^ % Error: Invalid input detected at "^" marker. DELLSONiC# |
Solucionando problemas
Para depurar o serviço RADIUS, verifique os arquivos de log na pasta /var/log/auth.log e os arquivos de log em show in-memory-logging e show logging SONiC CLI command output.
Para obter registros mais detalhados, defina o campo de depuração como True na chave de autenticação da tabela AAA no banco de dados CONFIG_DB redis ou entre em contato com o suporte técnico.
受影響的產品
PowerSwitch E3200-ON Series, Dell EMC Networking N3200-ON, PowerSwitch S5212F-ON, PowerSwitch S5224F-ON, PowerSwitch S5232F-ON, PowerSwitch S5248F-ON, PowerSwitch S5296F-ON, PowerSwitch Z9100-ON, PowerSwitch Z9264F-ON, PowerSwitch Z9332F-ON
, PowerSwitch Z9432F-ON
...
文章屬性
文章編號: 000217350
文章類型: How To
上次修改時間: 22 9月 2023
版本: 6
向其他 Dell 使用者尋求您問題的答案
支援服務
檢查您的裝置是否在支援服務的涵蓋範圍內。