Comment configurer AAA pour attribuer différents privilèges aux utilisateurs Radius pour se connecter sur Omada Switch

Knowledgebase
Configuration Guide
Authentication
07-25-2024
97

Contenu

Objectif

Exigences

Introduction

Configuration

Vérification

Conclusion

FAQ

 

Objectif

Cet article décrit en détail comment définir la méthode d'authentification des utilisateurs qui accèdent au commutateur autonome Omada via HTTP/SSH/Telnet/Console sur RADIUS, et utilise FreeRADIUS comme exemple pour présenter comment définir différents niveaux de privilèges d'accès pour ces utilisateurs dans le serveur RADIUS.

Exigences

  • Commutateur Omada (commutateur L3/L2+, commutateur intelligent)
  • RADIUS gratuit

Introduction

Pour les commutateurs Omada gérés sans contrôleur, le nom d'utilisateur et le mot de passe permettant d'accéder à l'appareil via HTTP/SSH/Telnet/Console sont stockés localement sur l'appareil par défaut, c'est-à-dire que l'appareil lui-même authentifie les utilisateurs auxquels il accède. Pour répondre aux exigences de configuration réelles de différents types de clients et de différents scénarios d'application, Omada Switch prend en charge la définition de la méthode d'authentification des utilisateurs y accédant via HTTP/SSH/Telnet/Console comme RADIUS, et il permet également d'attribuer différents privilèges d'accès à ces utilisateurs dans le serveur RADIUS. De plus, Omada Switch est capable de prendre en charge la définition de mots de passe d'escalade de privilèges pour permettre aux utilisateurs disposant de privilèges non-administrateurs (ce privilège fait référence à l'utilisateur administratif dans FreeRADIUS) d'élever leur autorisation actuelle aux privilèges d'administrateur.

Vous pouvez configurer cette fonction en fonction de vos propres besoins dans le scénario d'application réel. Dans cet article, FreeRADIUS est installé sur le système CentOS en tant que serveur Radius. Il décrit comment créer 4 utilisateurs avec 4 niveaux de privilèges différents dans FreeRADIUS pour limiter uniquement l'autorisation d'accès au commutateur Omada via SSH.

  • Version CentOS:centos-release-7-5.1804.el7.centos.×86_64
  • Version de FreeRADIUS : Version 3.0.13 de FreeRADIUS

Remarque : veuillez visiter Building FreeRADIUS et suivre les instructions officielles pour télécharger et installer FreeRADIUS.

Configuration

Étape 1. Créez plusieurs utilisateurs avec des privilèges différents dans FreeRADIUS

Ouvrez le système Centos avec FreeRADIUS installé et accédez à la CLI, modifiez et enregistrez le fichier des utilisateurs pour ajouter 4 utilisateurs avec différents niveaux de privilèges d'accès, comme indiqué dans la figure suivante.

 

Dans la figure ci-dessus, user001 , poweruser001 , operator001 , admin001 sont des noms d'utilisateur personnalisés ; thisisuser , thisispoweruser , thisisoperator et thisisadmin sont les mots de passe des quatre utilisateurs ; Login-User , Framed-User , Outbound-User et Administrative-User sont les privilèges d'accès accordés respectivement à ces quatre utilisateurs. Actuellement, Omada Switch ne prend en charge que la configuration de ces quatre privilèges pour les utilisateurs dans FreeRADIUS. enable123 est le mot de passe personnalisé pour l'escalade des privilèges. Lorsque vous accédez au commutateur via un utilisateur non administratif , vous pouvez saisir ce mot de passe pour élever le privilège de l'utilisateur actuel à Administrative-User .

  • Utilisateur connecté : les utilisateurs peuvent afficher les paramètres de fonction sans avoir l'autorisation de les modifier.
  • Utilisateur encadré : les utilisateurs peuvent afficher et modifier des paramètres de fonctions limités.
  • Utilisateur sortant : les utilisateurs peuvent afficher et modifier la plupart des paramètres de fonction.
  • Utilisateur administratif : les utilisateurs peuvent afficher et modifier tous les paramètres de fonction.

Étape 2. Redémarrez FreeRADIUS

Après avoir modifié et enregistré le fichier utilisateur , exécutez les deux commandes suivantes sur la CLI pour redémarrer FreeRADIUS afin de garantir que la configuration prend effet :

rayon de service d'arrêt

rayond –X

Remarque : les commandes CLI spécifiques que vous devez saisir à cette étape varient en fonction du système Linux que vous installez. Les deux commandes précédentes s'appliquent uniquement à l'environnement de configuration de cet article.

Étape 3. Connectez- vous sur Omada Switch en saisissant son adresse IP dans le navigateur, accédez à SÉCURITÉ > Sécurité d'accès > Configuration SSH pour activer SSH et configurer le port , puis cliquez sur le bouton Appliquer .

Étape 4. Accédez à SÉCURITÉ > AAA > Configuration RADIUS pour cliquer sur Ajouter , puis configurez le serveur RADIUS comme indiqué ci-dessous. La description de chaque paramètre de cette étape est répertoriée ci-dessous :

  • IP du serveur : l'adresse IP de l'hôte sur lequel FreeRADIUS est installé.
  • Shared Key: The key string customized in clients.conf file in FreeRADIUS, the RADIUS server and the switch use the key string to encrypt passwords and exchange responses.
  • Authentication Port: The UDP destination port on the RADIUS server for authentication requests. The default setting is 1812.
  • Accounting Port: The UDP destination port on the RADIUS server for accounting requests. The default setting is 1813. Usually, it is used in the 802.1X feature, no need to configure it in this article.
  • Retransmit: The number of times a request is resent to the server if the server does not respond.
  • Timeout: The time interval that the switch waits for the server to reply before resending.
  • NAS Identifier: The name of the NAS (Network Access Server) to be contained in RADIUS packets for identification. It can range from 1 to 31 characters. The default value is the MAC address of the switch. Generally, the NAS refers to the switch itself, no need to configure it in this article.

Step 5. Go to SECURITY > AAA > Server Group to click Add, then configure Server Group as the figure below. The description of each parameter in this step is listed below:

  • Server Group: Specify a name for the server group.
  • Server Type: Select the server type for the group.
  • Server IP: Select the IP address of the server created in last step. If multiple servers are added to the server group, the server that is first added to the group has the highest priority and authenticates the users trying to access the switch, the others act as backup servers in case the first one breaks down.

Note: In this configuration, please be sure to select the Server Type as RADIUS.

Step 6. Go to SECURITY > AAA > Method Config to click Add in the Authentication Login Method Config list and Authentication Enable Method Config list, then configure them, the description of each parameter in this configuration step is listed below:

  • Method list Name: The custom name for the method.
  • Pri1-Pri4: The authentication methods in order. The method with Pri1 authenticates a user first, the method with Pri2 is tried if the previous method does not respond, and so on. In my configuration, I will select the server group created by myself in Pri1.
    • Local: The local database in the switch for authentication.
    • None: No authentication is used.
    • Rayon : le serveur/les groupes de serveurs RADIUS distants pour l'authentification.
    • Tacacs : Le TACACS+ à distance
    • Autres groupes de serveurs définis par l'utilisateur : les groupes de serveurs définis par l'utilisateur créés à l'étape précédente pour l'authentification

Remarque : Local/Aucun/Radius/Tacacs sont quatre modes d’authentification intégrés.

Une liste de méthodes décrit les méthodes d'authentification et leur séquence pour authentifier les utilisateurs. Le commutateur prend en charge la liste des méthodes de connexion pour que les utilisateurs de tous types puissent accéder au commutateur et la liste des méthodes d'activation pour que les utilisateurs non administrateurs obtiennent des privilèges administratifs. Vous pouvez modifier les méthodes par défaut ou ajouter une nouvelle méthode sur cette page.

 

Étape 7. Accédez à SÉCURITÉ > AAA > Configuration globale pour sélectionner le mode d'accès en fonction de vos besoins, puis sélectionnez la méthode de connexion et la méthode d'activation définies à l'étape précédente, puis cliquez sur le bouton Appliquer et Enregistrer dans le coin supérieur droit. À ce stade, la configuration est terminée .

Vérification

Étape 1. Ouvrez un outil de connexion SSH tel que Putty sur un PC dans le même réseau local que le commutateur, entrez l'IP du commutateur et le port SSH dans Nom d'hôte (ou adresse IP) et Port respectivement, sélectionnez le type de connexion comme SSH , puis cliquez sur le bouton Ouvrir .

Étape 2. Entrez le nom d'utilisateur et son mot de passe dans le terminal contextuel. Ici, nous utilisons un utilisateur (son nom d'utilisateur et son mot de passe sont respectivement user001 et thisisuser ) avec le privilège Login-User comme exemple pour vérifier que la configuration peut prendre effet normalement. Nous pouvons maintenant entrer avec succès en mode EXEC utilisateur.

Étape 3. Entrez enable pour accéder au mode EXEC privilégié.

Étape 4. Entrez configure pour accéder au mode de configuration globale, et une invite « Erreur : commande incorrecte » s'affiche, ce qui indique que les autorisations de l'utilisateur actuel sont en effet Login-User .

Étape 5. Saisissez enable-admin et le mot de passe (il s'agit de enable123 dans cette configuration) pour obtenir un privilège élevé afin d'obtenir le privilège d'utilisateur administratif.

Remarque : Pour améliorer la sécurité, le mot de passe saisi ici ne sera pas affiché dans le terminal.

Étape 6. Entrez à nouveau configure et il s'avère que nous sommes entrés avec succès dans le mode de configuration globale. En entrant ? , on peut constater que nous pouvons configurer toutes les fonctions et tous les modules à ce stade.

Jusqu'à présent, nous avons pu vérifier avec succès que les configurations précédentes sur le Switch et FreeRADIUS sont correctes et efficaces. De la même manière, vous pouvez également utiliser SSH pour accéder au Switch avec plusieurs autres utilisateurs avec différents niveaux de privilèges pour vérifier leur efficacité.

Conclusion

À ce stade, nous avons terminé toute la configuration et la vérification de cette fonction. Nous pouvons accéder à notre Switch via différentes méthodes d'accès (HTTP/Telnet/SSH/Console) via des utilisateurs avec différents niveaux de privilèges.

Pour connaître plus de détails sur chaque fonction et configuration, veuillez consulter le Centre de téléchargement pour télécharger le manuel de votre produit.

FAQ

De combien de façons existe-t-il pour accéder à un commutateur Omada ? Est-ce qu'ils appliquent tous le processus de configuration décrit dans cet article ?

Re : Il existe jusqu'à 4 méthodes d'accès, à savoir HTTP/Telnet/SSH/Console, mais comme certains modèles ne disposent pas de port de console, ils ne sont accessibles que via HTTP/Telnet/SSH. Tant que la méthode d'accès est prise en charge par le commutateur, elle est applicable au processus de configuration décrit dans cet article.

Veuillez noter ce document

Documents connexes