Cómo configurar AAA para asignar diferentes privilegios para que los usuarios de Radius inicien sesión en Omada Switch
Contenido
Este artículo describe en detalle cómo configurar el método de autenticación de los usuarios que acceden al switch Omada independiente a través de HTTP/SSH/Telnet/Consola a RADIUS, y utiliza FreeRADIUS como ejemplo para presentar cómo configurar diferentes niveles de privilegios de acceso para estos usuarios en el servidor RADIUS.
- Switch Omada (switch L3/L2+, switch Smart)
- FreeRADIUS
En el caso de los switches Omada administrados sin un controlador, el nombre de usuario y la contraseña para acceder al dispositivo a través de HTTP/SSH/Telnet/Consola se almacenan localmente en el dispositivo de forma predeterminada, es decir, el dispositivo mismo autentica a los usuarios a los que se accede. Para cumplir con los requisitos de configuración reales de los diferentes tipos de clientes y los diferentes escenarios de aplicación, Omada Switch admite la configuración del método de autenticación de los usuarios que acceden a él a través de HTTP/SSH/Telnet/Consola como RADIUS, y también permite asignar diferentes privilegios de acceso a estos usuarios en el servidor RADIUS. Además, Omada Switch puede admitir la configuración de contraseñas de escalada de privilegios para permitir que los usuarios con privilegios que no sean de administrador (este privilegio se refiere a Usuario administrativo en FreeRADIUS) aumenten su permiso actual a privilegios de administrador.
Puede configurar esta función según sus propias necesidades en el escenario de aplicación real. En este artículo, FreeRADIUS está instalado en el sistema CentOS como servidor Radius y se describe cómo crear 4 usuarios con 4 niveles de privilegios diferentes en FreeRADIUS para limitar solo el permiso para acceder a Omada Switch a través de SSH.
- CentOS version:centos-release-7-5.1804.el7.centos.×86_64
- Versión de FreeRADIUS: FreeRADIUS versión 3.0.13
Nota : visite Building FreeRADIUS y siga las instrucciones oficiales para descargar e instalar FreeRADIUS.
Paso 1. Cree varios usuarios con diferentes privilegios en FreeRADIUS
Abra el sistema Centos con FreeRADIUS instalado y vaya a la CLI, edite y guarde el archivo de usuarios para agregar 4 usuarios con diferentes niveles de privilegios de acceso como se muestra en la siguiente figura.
En la figura anterior, user001 , poweruser001 , operator001 , admin001 son nombres de usuario personalizados; thisisuser , thisispoweruser , thisisoperator y thisisadmin son sus contraseñas de los cuatro usuarios; Login-User , Framed-User , Outbound-User y Administrative-User son los privilegios de acceso otorgados a estos cuatro usuarios respectivamente. Actualmente, Omada Switch solo admite la configuración de estos cuatro privilegios para usuarios en FreeRADIUS. enable123 es la contraseña personalizada para la escalada de privilegios, al acceder al switch a través de un usuario que no sea Administrative-User , puede ingresar esta contraseña para elevar el privilegio del usuario actual a Administrative-User .
- Usuario iniciado sesión : Los usuarios pueden ver la configuración de funciones sin permiso para modificarlas.
- Usuario enmarcado : los usuarios pueden ver y modificar configuraciones de funciones limitadas.
- Usuario saliente : los usuarios pueden ver y modificar la mayoría de las configuraciones de funciones.
- Usuario administrativo : los usuarios pueden ver y modificar todas las configuraciones de funciones.
Paso 2. Reinicie FreeRADIUS
Después de editar y guardar el archivo de usuario , ejecute los siguientes dos comandos en la CLI para reiniciar FreeRADIUS y asegurarse de que la configuración surta efecto:
service radiusd stop
radiusd –X
Nota: Los comandos CLI específicos que debe ingresar en este paso varían según el sistema Linux que esté instalando. Los dos comandos anteriores se aplican únicamente al entorno de configuración de este artículo.
Paso 3. Inicie sesión en Omada Switch ingresando su dirección IP en el navegador, vaya a SEGURIDAD > Seguridad de acceso > Configuración SSH para habilitar SSH y configurar el puerto , y luego haga clic en el botón Aplicar .
Paso 4. Vaya a SEGURIDAD > AAA > Configuración RADIUS y haga clic en Agregar . Luego, configure el servidor RADIUS como se muestra en la siguiente figura. A continuación, se incluye la descripción de cada parámetro de este paso:
- IP del servidor : la dirección IP del host donde está instalado FreeRADIUS.
- Clave compartida : la cadena de clave personalizada en el archivo clients.conf en FreeRADIUS. El servidor RADIUS y el switch utilizan la cadena de clave para cifrar contraseñas e intercambiar respuestas.
- Puerto de autenticación : el puerto de destino UDP en el servidor RADIUS para solicitudes de autenticación. La configuración predeterminada es 1812.
- Puerto de contabilidad : el puerto de destino UDP en el servidor RADIUS para solicitudes de contabilidad. La configuración predeterminada es 1813. Por lo general, se utiliza en la función 802.1X, por lo que no es necesario configurarlo en este artículo.
- Retransmitir : la cantidad de veces que se reenvía una solicitud al servidor si este no responde.
- Tiempo de espera : el intervalo de tiempo que el switch espera a que el servidor responda antes de volver a enviar.
- Identificador NAS : el nombre del NAS (servidor de acceso a la red) que se incluirá en los paquetes RADIUS para su identificación. Puede tener entre 1 y 31 caracteres. El valor predeterminado es la dirección MAC del switch. Generalmente, el NAS hace referencia al propio switch, por lo que no es necesario configurarlo en este artículo.
Paso 5. Vaya a SEGURIDAD > AAA > Grupo de servidores y haga clic en Agregar . Luego, configure el Grupo de servidores como se muestra en la siguiente figura. A continuación, se incluye la descripción de cada parámetro de este paso:
- Grupo de servidores : especifique un nombre para el grupo de servidores.
- Tipo de servidor : seleccione el tipo de servidor para el grupo.
- Dirección IP del servidor : seleccione la dirección IP del servidor creado en el último paso. Si se agregan varios servidores al grupo de servidores, el servidor que se agrega primero al grupo tiene la máxima prioridad y autentica a los usuarios que intentan acceder al switch; los demás actúan como servidores de respaldo en caso de que el primero deje de funcionar.
Nota : En esta configuración, asegúrese de seleccionar el Tipo de servidor como RADIUS .
Paso 6. Vaya a SEGURIDAD > AAA > Configuración de método para hacer clic en Agregar en la lista Configuración de método de inicio de sesión de autenticación y en la lista Configuración de método de habilitación de autenticación , luego configúrelos; la descripción de cada parámetro en este paso de configuración se detalla a continuación:
- Lista de métodos Nombre : el nombre personalizado para el método.
- Pri1-Pri4 : Los métodos de autenticación en orden. El método con Pri1 autentica primero a un usuario, el método con Pri2 se prueba si el método anterior no responde, y así sucesivamente. En mi configuración, seleccionaré el grupo de servidores creado por mí mismo en Pri1 .
- Local : la base de datos local en el switch para la autenticación.
- Ninguno : no se utiliza ninguna autenticación.
- Radio : el servidor o grupos de servidores RADIUS remotos para autenticación.
- Tacacs : El TACACS+ remoto
- Otros grupos de servidores definidos por el usuario : Los grupos de servidores definidos por el usuario creados en el paso anterior para la autenticación
Nota : Local/Ninguno/Radio/Tacacs son cuatro modos de autenticación integrados.
Una lista de métodos describe los métodos de autenticación y su secuencia para autenticar a los usuarios. El switch admite la lista de métodos de inicio de sesión para que los usuarios de todos los tipos obtengan acceso al switch y la lista de métodos habilitados para que los usuarios que no son administradores obtengan privilegios administrativos. Puede editar los métodos predeterminados o agregar un nuevo método en esta página.
Paso 7. Vaya a SEGURIDAD > AAA > Configuración global para seleccionar la forma de acceso según sus necesidades y seleccione el Método de inicio de sesión y el Método de habilitación configurados en el paso anterior. Luego, haga clic en el botón Aplicar y Guardar en la esquina superior derecha. En este punto, la configuración está completa .
Paso 1. Abra una herramienta de conexión SSH como Putty en una PC en la misma LAN que el Switch, ingrese la IP y el puerto SSH del Switch en Host Name (or IP address) y Port respectivamente, seleccione Connection type como SSH , luego haga clic en el botón Open.
Paso 2. Ingrese el nombre de usuario y su contraseña en la terminal emergente. Aquí, usamos un usuario (su nombre de usuario y contraseña son user001 y thisisuser , respectivamente) con privilegio Login-User como ejemplo para verificar que la configuración se pueda aplicar con normalidad. Ahora podemos ingresar al modo EXEC de usuario con éxito.
Paso 3. Ingrese enable para ingresar al modo EXEC privilegiado.
Paso 4. Ingrese a configure para ingresar al modo de configuración global y aparecerá un mensaje de " Error: comando incorrecto ", que indica que los permisos del usuario actual son, de hecho, Login-User .
Paso 5. Ingrese enable-admin y la contraseña (es enable123 en esta configuración) para el privilegio elevado para obtener el privilegio de usuario administrativo.
Nota : Para mejorar la seguridad, la contraseña ingresada aquí no se mostrará en la terminal.
Paso 6. Ingresamos nuevamente configure y resulta que ingresamos exitosamente al modo de configuración global. Al ingresar ? , podemos ver que podemos configurar todas las funciones y módulos en este momento.
Hasta el momento hemos comprobado que las configuraciones anteriores en el Switch y FreeRADIUS son correctas y efectivas. De la misma forma, también puedes utilizar SSH para acceder al Switch con varios usuarios con diferentes niveles de privilegios para comprobar su efectividad.
En este punto, hemos completado toda la configuración y verificación de esta función. Podemos acceder a nuestro Switch a través de varios métodos de acceso (HTTP/Telnet/SSH/Consola) mediante usuarios con diferentes niveles de privilegios.
Para conocer más detalles de cada función y configuración, vaya al Centro de Descargas para descargar el manual de su producto.
¿Cuántas formas hay de acceder a un switch Omada? ¿Todas ellas aplican el proceso de configuración descrito en este artículo?
Re: Existen hasta 4 métodos de acceso, que son HTTP/Telnet/SSH/Consola, pero como algunos modelos no tienen un puerto de consola, solo se puede acceder a ellos a través de HTTP/Telnet/SSH. Siempre que el método de acceso sea compatible con el switch, se aplica al proceso de configuración de este artículo.