Omada Pro Logo official website Vigi Logo official website
Contact Us
Brasil / Português

Como configurar o AAA para atribuir privilégios diferentes a usuários RADIUS para fazer login no switch Omada

Knowledgebase
Configuration Guide
Autenticação
BookmarksCopiar link
07-25-2024
13969

Conteúdo

Objetivo

Requisitos

Introdução

Configuração

Verificação

Conclusão

FAQ

 

Objetivo

Este artigo descreve detalhadamente como configurar o método de autenticação de usuários que acessam o Omada Switch em modo standalone através de HTTP/SSH/Telnet/Console para RADIUS, utilizando o FreeRADIUS como exemplo para introduzir como definir diferentes níveis de privilégio de acesso para esses usuários no Servidor RADIUS.

Requisitos

  • Omada Switch (Switch L3/L2+, Smart Switch)
  • FreeRADIUS

Introdução

Para switches Omada gerenciados sem um Controlador, o nome de usuário e a senha para acessar o dispositivo via HTTP/SSH/Telnet/Console são armazenados localmente no dispositivo por padrão; ou seja, o próprio dispositivo autentica os usuários acessados. Para atender aos requisitos de configuração de diferentes clientes e cenários de aplicação, o Omada Switch suporta a definição do método de autenticação para RADIUS e também permite que diferentes privilégios de acesso sejam atribuídos a esses usuários no Servidor RADIUS. Além disso, o Omada Switch suporta a definição de senhas de escalonamento de privilégios para permitir que usuários sem privilégio de administrador (referido como Administrative-User no FreeRADIUS) elevem sua permissão atual para privilégios de administrador.

Você pode configurar esta função conforme suas necessidades. Neste artigo, o FreeRADIUS está instalado em um sistema CentOS como o Servidor Radius. Ele descreve como criar 4 usuários com 4 níveis de privilégio diferentes no FreeRADIUS para limitar as permissões de acesso ao Omada Switch via SSH.

  • Versão CentOS: centos-release-7-5.1804.el7.centos.x86_64
  • Versão FreeRADIUS: FreeRADIUS Versão 3.0.13

Nota: Visite Building FreeRADIUS e siga as instruções oficiais para baixar e instalar o FreeRADIUS.

Configuração

Passo 1. Criar múltiplos usuários com privilégios diferentes no FreeRADIUS

Abra o sistema CentOS com FreeRADIUS instalado e vá para o CLI, edite e salve o arquivo users para adicionar 4 usuários com diferentes níveis de privilégio conforme mostrado na imagem abaixo.

 

Na imagem acima, user001, poweruser001, operator001, admin001 são nomes de usuários personalizados; thisisuser, thisispoweruser, thisisoperator e thisisadmin são suas senhas; Login-User, Framed-User, Outbound-User e Administrative-User são os privilégios concedidos respectivamente. Atualmente, o Omada Switch suporta apenas a configuração desses quatro privilégios para usuários no FreeRADIUS. enable123 é a senha personalizada para escalonamento de privilégio; ao acessar o switch via um usuário não-Administrative-User, você pode inserir esta senha para elevar o privilégio do usuário atual para Administrative-User.

  • Login-User: Usuários podem visualizar configurações sem permissão para modificá-las.
  • Framed-User: Usuários podem visualizar e modificar configurações limitadas.
  • Outbound-User: Usuários podem visualizar e modificar a maioria das configurações.
  • Administrative-User: Usuários podem visualizar e modificar todas as configurações.

Passo 2. Reiniciar o FreeRADIUS

Após editar e salvar o arquivo user, execute os dois comandos seguintes no CLI para reiniciar o FreeRADIUS e garantir que a configuração entre em vigor:

service radiusd stop

radiusd –X

Nota: Os comandos específicos de CLI que você precisa inserir neste passo podem variar de acordo com o sistema Linux instalado. Os comandos acima aplicam-se apenas ao ambiente de configuração deste artigo.

Passo 3. Faça login no Omada Switch inserindo seu endereço IP no navegador, vá em SECURITY > Access Security > SSH Config para habilitar o SSH, configure a Porta e clique no botão Apply.

Passo 4. Vá em SECURITY > AAA > RADIUS Config, clique em Add e configure o RADIUS Server conforme a imagem abaixo. A descrição de cada parâmetro é listada a seguir:

  • Server IP: Endereço IP do host onde o FreeRADIUS está instalado.
  • Shared Key: A string da chave personalizada no arquivo clients.conf do FreeRADIUS; o servidor RADIUS e o switch usam esta chave para criptografar senhas e trocar respostas.
  • Authentication Port: A porta UDP de destino no servidor RADIUS para requisições de autenticação. O padrão é 1812.
  • Accounting Port: A porta UDP de destino no servidor RADIUS para requisições de tarifação (accounting). O padrão é 1813. Geralmente usada em recursos 802.1X, não é necessário configurar neste artigo.
  • Retransmit: O número de vezes que uma requisição é reenviada se o servidor não responder.
  • Timeout: O intervalo de tempo que o switch espera pela resposta do servidor antes de reenviar.
  • NAS Identifier: O nome do NAS (Network Access Server) para identificação nos pacotes RADIUS. Pode ter de 1 a 31 caracteres. O valor padrão é o endereço MAC do switch.

Passo 5. Vá em SECURITY > AAA > Server Group, clique em Add e configure o Server Group conforme a imagem abaixo. Parâmetros:

  • Server Group: Especifique um nome para o grupo de servidores.
  • Server Type: Selecione o tipo de servidor para o grupo (RADIUS).
  • Server IP: Selecione o endereço IP do servidor criado no passo anterior.

Nota: Nesta configuração, certifique-se de selecionar o Server Type como RADIUS.

Passo 6. Vá em SECURITY > AAA > Method Config, clique em Add nas listas Authentication Login Method Config e Authentication Enable Method Config. Parâmetros:

  • Method list Name: Nome personalizado para o método.
  • Pri1-Pri4: Métodos de autenticação em ordem. O método em Pri1 autentica primeiro; o Pri2 é tentado se o anterior não responder, e assim por diante.
    • Local: Base de dados local do switch.
    • None: Sem autenticação.
    • Radius: Servidores RADIUS remotos.
    • Tacacs: TACACS+ remoto.

Nota: O switch suporta a Login Method List para acesso inicial e a Enable Method List para que usuários não-admin obtenham privilégios administrativos.

 

Passo 7. Vá em SECURITY > AAA > Global Config para selecionar a forma de acesso, escolha o Login Method e o Enable Method definidos anteriormente, clique em Apply e no botão Save no canto superior direito. Configuração concluída.

Verificação

Passo 1. Abra uma ferramenta de conexão SSH (como Putty) em um PC na mesma LAN que o Switch. Insira o IP e a porta SSH do Switch, selecione SSH e clique em Open.

Passo 2. Insira o usuário e senha no terminal. Aqui usamos o user001 (privilégio Login-User) como exemplo. Acesso bem-sucedido ao Modo User EXEC.

Passo 3. Digite enable para entrar no Modo Privileged EXEC.

Passo 4. Digite configure. O erro “Error: Bad Command” confirma que o usuário possui apenas privilégio de Login-User.

Passo 5. Digite enable-admin e a senha de escalonamento (enable123) para obter privilégio de Administrative-User.

Nota: Por segurança, a senha não será exibida no terminal enquanto você digita.

Passo 6. Digite configure novamente. Agora o acesso ao Modo de Configuração Global é permitido, possibilitando configurar todas as funções.

Verificação concluída com sucesso. Você pode repetir o processo com outros usuários para validar diferentes níveis de permissão.

Conclusão

Concluímos a configuração e verificação. O switch agora pode ser gerenciado via HTTP/Telnet/SSH/Console usando usuários com diferentes privilégios autenticados pelo RADIUS.

Para mais detalhes sobre cada função, visite o Centro de Downloads para baixar o manual do seu produto.

FAQ

Quantas formas existem para acessar um switch Omada? Todas aplicam este processo?

Resp: Existem até 4 métodos: HTTP, Telnet, SSH e Console. No entanto, alguns modelos não possuem porta console. Desde que o método de acesso seja suportado pelo Switch, o processo de configuração descrito neste artigo é aplicável.

Por favor, avalie este documento

Documentos relacionados

Guia de configuração da função PPSK com diferentes servidores RADIUS

Configuration Guide
05-30-2024
22008

Como obter autenticação AAA através do servidor TACACS + no switch

Configuration Guide
11-22-2021
13230

Por que algumas funções são perdidas depois que eu faço login no switch?

Configuration Guide
07-20-2021
4207

Autenticação de hotspot para múltiplas sub-redes com diferentes VLANs.

FAQ
12-18-2015
12654

Guia de configuração na VLAN dinâmica com a função de atribuição de VLAN do RADIUS

Configuration Guide
Vlan
Autenticação
04-23-2023
16205

Este site usa cookies. Ao continuar a navegar no site, você concorda com o uso de cookies. Não mostrar novamente Saiba mais .

Your Privacy Choices

Este site usa cookies. Ao continuar a navegar no site, você concorda com o uso de cookies. Não mostrar novamente Saiba mais .

Cookies básicos

Esses cookies são necessários para o funcionamento do site e não podem ser desativados em seus sistemas.

TP-Link

SESSION, JSESSIONID, accepted_local_switcher, tp_privacy_banner, tp_privacy_base, tp_privacy_marketing, tp_top-banner, tp_popup-bottom, tp_popup-center, tp_popup-right-middle, tp_popup-right-bottom, tp_productCategoryType

Youtube

id, VISITOR_INFO1_LIVE, LOGIN_INFO, SIDCC, SAPISID, APISID, SSID, SID, YSC, __Secure-1PSID, __Secure-1PAPISID, __Secure-1PSIDCC, __Secure-3PSID, __Secure-3PAPISID, __Secure-3PSIDCC, 1P_JAR, AEC, NID, OTZ

Zendesk

OptanonConsent, __cf_bm, __cfruid, _cfuvid, _help_center_session, _pendo___sg__.<container-id>, _pendo_meta.<container-id>, _pendo_visitorId.<container-id>, _zendesk_authenticated, _zendesk_cookie, _zendesk_session, _zendesk_shared_session, ajs_anonymous_id, cf_clearance

Cookies de Marketing e Análise

Os cookies de análise nos permitem analisar suas atividades em nosso site para melhorar e adaptar a funcionalidade do mesmo.

Os cookies de marketing podem ser definidos por meio de nosso site por nossos parceiros publicitários para criar um perfil de seus interesses e exibir anúncios relevantes em outros sites.

Google Analytics & Google Tag Manager

_gid, _ga_<container-id>, _ga, _gat_gtag_<container-id>

Google Ads & DoubleClick

test_cookie, _gcl_au