使用 RADIUS 服务器的 Dell Networking SONiC AAA 身份验证
摘要: 本文介绍如何在 Dell SONiC 安装的交换机上使用 RADIUS 服务器配置 AAA 身份验证。
本文章適用於
本文章不適用於
本文無關於任何特定產品。
本文未識別所有產品版本。
說明
提醒:本文使用运行 Dell SONiC 4.1 的交换机。
本文的前提条件
本文假定以下内容
- 我们在运行 Dell Networking Sonic 和 Radius 服务器的交换机之间建立连接。
- Radius 服务器具有预配置了所需管理权限级别 (MPL) 属性的用户详细信息。
指数
Dell SONiC
中的 AAA radius 身份验证操作
用户角色和 MPL 值
配置
配置
示例验证
Dell SONiC 中的 AAA radius 身份验证
身份验证、授权和核算 (AAA) 服务可保护网络免遭未经授权的访问。
Enterprise SONiC 支持这些客户端/服务器身份验证系统
} RADIUS(远程身份验证拨入用户服务)
} TACACS+(终端访问控制器访问控制系统)
} LDAP(轻量级目录访问协议)
本文重点介绍在运行 Dell SONiC 的交换机上配置 AAA RADIUS 身份验证。
在 RADIUS 身份验证期间,交换机充当客户端并将身份验证请求发送到服务器。此请求包含所有用户身份验证和网络服务访问信息。Radius 服务器对用户请求进行“接受”或“拒绝”响应。
如果服务器发送接受,它还将包括其配置的 MPL 值。
如果没有 MPL 值,则将为用户分配一个操作员角色。用户名管理员可能会在没有 MPL 的情况下获得管理员权限。
Enterprise SONiC 需要值为 15 的管理权限级别 (MPL) 属性才能授予授权用户的读/写访问权限。
要了解有关用户角色的更多信息,请单击下面的链接。
Dell Networking SONiC 基于角色的访问控制
用户角色和 MPL 值
下表提到了要在 Radius 服务器上配置的各种用户角色及其相应的 MPL 值。这是在 Dell SONiC 4.1 中测试的
| 用户角色 | MPL 价值 |
|---|---|
| admin | 15 |
| operator | 无值或 1 |
| netadmin | 14 |
| 秒管理员 | 13 |
配置
在交换机上配置 Radius 服务器详细信息。
配置语法
| 配置 | 说明 |
|---|---|
| admin@DELLSONiC:~$ sonic-cli | 输入 Dell sonic-cli |
| DELLSONiC# 配置 | 进入配置模式 |
| DELLSONiC(config)# radius-server host auth-port auth-type key priority retransmit source-interface 超时 vrf | 配置 radius 服务器 IP 地址/主机名和属性 |
| DELLSONiC(config)# radius-server auth-type authentication-type> | (可选)配置身份验证类型。这也可以单独配置 radius-server 主机。 |
要在交换机上配置 RADIUS 服务器详细信息,请输入其主机名(最多 63 个字符)、IP 或 IPv6 地址以及这些可选值:
} 服务器上的 auth-port UDP 端口号(1 到 65535; 默认值 1812)
● 传输超时(以秒为单位)(1 到 60; 默认值 5)
● 用户身份验证请求重新发送到 RADIUS 服务器的次数(0 到 10; 默认值 3)
● RADIUS 服务器与交换机之间共享的密钥文本(最多 65 个字符)。此密钥由系统加密。
● 身份验证类型 — chap、pap 或 mschapv2; 默认 pap;身份验证算法用于加密/解密交换机与 RADIUS 服务器之间发送和接收的数据。
● 用于访问多个 RADIUS 服务器以对用户进行身份验证的优先级(1 到最高优先级 64; 默认值 1)。
● 输入 VRF 名称以指定用于访问 RADIUS 服务器的 VRF。
启用身份验证顺序
交换机使用身份验证方法列表来定义身份验证类型及其应用顺序。默认情况下,仅使用本地身份验证方法来使用本地用户数据库对用户进行身份验证。我们可以使用本地身份验证将 RADIUS 配置为主要或辅助身份验证方法。
配置语法
| 配置 | 说明 |
|---|---|
| DELLSONiC(config)# aaa 身份验证登录默认 radius local | 配置身份验证顺序 |
| DELLSONiC(config)#无 aaa 身份验证登录默认值 | 这将删除配置的身份验证方法,并仅返回到本地身份验证 |
为 RADIUS 身份验证启用故障切换(可选)
如果需要使用多个远程服务器配置基于 RADIUS 的身份验证,请使用故障切换选项。如果一台服务器上的身份验证请求失败,则故障切换功能将继续访问方法列表中的每个服务器。
配置语法
| 配置 | 说明 |
|---|---|
| DELLSONiC(config)# aaa 身份验证故障切换启用 | 启用故障通过 |
| DELLSONiC(config)# aaa 身份验证故障切换禁用 | 禁用故障通过 |
示例配置
假设我们有两台服务器 10.0.0.100 和 10.0.0.130 ,并且我们使用的是 key 123,为了进行演示,我们在 Radius 服务器中预配置了以下用户。
| 用户名 | 密码 | 用户角色 | MPL(管理权限级别) |
|---|---|---|---|
| admin | admin@123 | admin | 15 |
| 运算符 1 | operator1@123 | operator | 1 |
admin@DELLSONiC:~$ sonic-cli DELLSONiC# configure DELLSONiC(config)# radius-server host 10.0.0.100 key 123 DELLSONiC(config)# radius-server host 10.0.0.130 key 123 DELLSONiC(config)# radius-server auth-type pap DELLSONiC(config)# aaa authentication login default local group radius DELLSONiC(config)# aaa authentication failthrough enable |
要查看已配置的 RADIUS 服务器
要查看已配置的 RADIUS 服务器,请使用已配置的 show radius-server 和 show running-configuration | grep radius
DELLSONiC# show running-configuration | grep radius radius-server timeout 5 radius-server auth-type pap radius-server host 10.0.0.100 auth-port 1812 key XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX= encrypted radius-server host 10.0.0.130 auth-port 1812 key XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX= encrypted |
DELLSONiC# show radius-server --------------------------------------------------------- RADIUS Global Configuration --------------------------------------------------------- timeout : 5 auth-type : pap key configured : No -------------------------------------------------------------------------------- HOST AUTH-TYPE KEY-CONFIG AUTH-PORT PRIORITY TIMEOUT RTSMT VRF SI -------------------------------------------------------------------------------- 10.0.0.100 - Yes 1812 - - - - - 10.0.0.130 - Yes 1812 - - - - - DELLSONiC# |
验证
查看 AAA 身份验证
要查看 AAA 身份验证配置,用户命令 显示 running-configuration | grep aaa 并显示 aaa
DELLSONiC# show running-configuration | grep aaa aaa authentication login default local group radius aaa authentication failthrough enable |
DELLSONiC# show aaa --------------------------------------------------------- AAA Authentication Information --------------------------------------------------------- failthrough : True login-method : local, radius |
以具有管理员角色的管理员用户身份
登录具有管理员角色的用户登录 shell。管理员角色用户有权访问配置模式(写入访问权限)
DELLSONiC login: admin Password: Last login: Wed Sep 13 00:04:08 UTC 2023 on ttyS0 Linux DELLSONiC 5.10.0-8-2-amd64 #1 SMP Debian 5.10.46-5 (2021-09-23) x86_64 You are on ____ ___ _ _ _ ____ / ___| / _ \| \ | (_)/ ___| \___ \| | | | \| | | | ___) | |_| | |\ | | |___ |____/ \___/|_| \_|_|\____| -- Software for Open Networking in the Cloud -- Unauthorized access and/or use are prohibited. All access and/or use are subject to monitoring. Help: http://azure.github.io/SONiC/ admin@DELLSONiC:~$ admin@DELLSONiC:~$ sonic-cli DELLSONiC# DELLSONiC# configure DELLSONiC(config)# |
以操作员角色作为运算符 1 登录
具有操作员角色的用户直接输入 sonic-cli,而不是 shell。此外,操作员无法进入配置模式(只读)。
DELLSONiC login: operator1 Password: Last login: Tue Sep 12 18:29:02 UTC 2023 on ttyS0 Linux DELLSONiC 5.10.0-8-2-amd64 #1 SMP Debian 5.10.46-5 (2021-09-23) x86_64 You are on ____ ___ _ _ _ ____ / ___| / _ \| \ | (_)/ ___| \___ \| | | | \| | | | ___) | |_| | |\ | | |___ |____/ \___/|_| \_|_|\____| -- Software for Open Networking in the Cloud -- Unauthorized access and/or use are prohibited. All access and/or use are subject to monitoring. Help: http://azure.github.io/SONiC/ DELLSONiC# DELLSONiC# conf ^ % Error: Invalid input detected at "^" marker. DELLSONiC# |
故障 排除
要调试 RADIUS 服务,请检查 /var/log/auth.log 文件夹中的日志文件,以及 show in-memory-logging 和 show logging SONiC CLI 命令输出中的日志文件。
有关更详细的日志记录,请在CONFIG_DB redis 数据库中 AAA 表的身份验证密钥中将调试字段设置为 True ,或联系技术支持。
受影響的產品
PowerSwitch E3200-ON Series, Dell EMC Networking N3200-ON, PowerSwitch S5212F-ON, PowerSwitch S5224F-ON, PowerSwitch S5232F-ON, PowerSwitch S5248F-ON, PowerSwitch S5296F-ON, PowerSwitch Z9100-ON, PowerSwitch Z9264F-ON, PowerSwitch Z9332F-ON
, PowerSwitch Z9432F-ON
...
文章屬性
文章編號: 000217350
文章類型: How To
上次修改時間: 22 9月 2023
版本: 6
向其他 Dell 使用者尋求您問題的答案
支援服務
檢查您的裝置是否在支援服務的涵蓋範圍內。