內容
這篇文章詳細描述如何設定在獨立模式下使用的 Omada 交換器,讓透過 HTTP、SSH、Telnet 或 Console 登入的使用者使用 RADIUS 驗證方式。並以 FreeRADIUS 為例,介紹如何在 RADIUS 伺服器上設定不同的存取特權等級給這些使用者。
- Omada 交換器(L3/L2+ 交換器、智慧型交換器)
- FreeRADIUS
對於沒有控制器管理的 Omada 交換器,透過 HTTP/SSH/Telnet/Console 來存取設備的使用者名稱和密碼預設儲存在設備本地,即設備自行對存取的使用者進行驗證。滿足不同類型客戶、不同應用場景的實際設定需求,Omada 交換器支援將透過 HTTP/SSH/Telnet/Console 存取它的使用者的驗證方式設定為 RADIUS,並且還允許在 RADIUS 伺服器中為這些使用者指派不同的存取權限。此外,Omada 交換器還可以支援設定特權密碼,讓非管理員權限的使用者(此權限指 FreeRADIUS 中的 Administrative-User)將目前權限提升至管理員權限。
您可以在實際應用場景中依據自己的需求設定該功能。本文在 CentOS 系統上安裝 FreeRADIUS 作為 Radius Server,介紹如何在 FreeRADIUS 中建立 4 個不同權限等級的 4 個用戶,限制僅能透過 SSH 來存取 Omada 交換器的權限。
- CentOS 版本:centos-release-7-5.1804.el7.centos.×86_64
- FreeRADIUS 版本:FreeRADIUS Version 3.0.13
說明:請前往 建立 FreeRADIUS 說明 並按照官方說明下載並安裝 FreeRADIUS。
步驟 1. 在 FreeRADIUS 中建立多個擁有不同權限的用戶
開啟安裝了 FreeRADIUS 的 Centos 系統,進入 CLI,編輯並儲存 users 檔案,新增 4 個不同存取權限等級的用戶,如下圖所示。
上圖中,user001、poweruser001、operator001、admin001 為自訂使用者名稱;tthisisuser、thisispoweruser、thisisoperator 、thisisadmin 是這四個使用者的密碼;Login-User、Framed-User、Outbound-User、Administrative-User 分別是授予這四個使用者的存取權限。目前,Omada 交換器僅支援 FreeRADIUS 中使用者設定這四種權限。enable123 是自訂的提升為特權權限之密碼,當使用非 Administrative-User 用戶存取交換器時,可以輸入此密碼將目前使用者的權限提升為 Administrative-User 用戶。
- Login-User:使用者可以查看功能設定,但沒有修改權限。
- Framed-User:用戶可以查看和修改有限的功能設定。
- Outbound-User:使用者可以查看和修改大多數功能設定。
- Administrative-User:使用者可以查看和修改所有功能設定。
步驟 2. 重新啟動 FreeRADIUS
編輯並儲存 users 檔案後,在 CLI 中執行下列兩個指令重新啟動 FreeRADIUS,使設定生效:
service radiusd stop
radiusd –X
說明:此步驟中需要輸入的特定 CLI 命令會因您要安裝的 Linux 系統而異。上述兩條指令僅適用於本文的設定環境。
步驟 3. 透過在瀏覽器中輸入 Omada 交換器的 IP 位址登入 Omada 交換器,前往 SECURITY > Access Security > SSH Config 來啟用 SSH 和設定 Port,然後點擊 Apply 按鈕。
步驟 4. 前往 SECURITY > AAA > RADIUS Config 然後點擊 Add,然後設定 RADIUS Server,如下圖所示,本步驟各參數說明如下:
- Server IP:安裝 FreeRADIUS 的主機的 IP 位址。
- Shared Key:FreeRADIUS 中的 clients.conf 檔案中自訂的金鑰字串,RADIUS 伺服器和交換器使用該金鑰字串來加密密碼和交換回應。
- Authentication Port:RADIUS 伺服器上用於驗證請求的 UDP 目的埠。預設為 1812。
- Accounting Port:RADIUS 伺服器用於帳戶記錄請求的 UDP 目的埠。預設設定為1813。通常在 802.1X 功能中使用,這篇文章不需要設定這個設定。
- Retransmit:如果伺服器沒有回應,則向伺服器重新發送請求的次數。
- Timeout:交換器在重新發送之前等待伺服器回覆的時間間隔。
- NAS Identifier:NAS(網路存取伺服器)的名稱包含在 RADIUS 封包中以供辨識。它的範圍可以是 1 到 31 個字元。預設值為交換器的 MAC 位址。一般情況下,NAS 指的是交換器本身,本文無需對其進行設定。
步驟 5. 前往 SECURITY > AAA > Server Group 接著點擊 Add,然後設定 Server Group,如下圖所示。本步驟各參數說明如下:
- Server Group:指定伺服器群組的名稱。
- Server Type:選擇群組的伺服器類型。
- Server IP:選擇上一步驟建立的伺服器的 IP 位址。如果伺服器群組中新增了多台伺服器,則最先新增至群組中的伺服器擁有最高優先權,並對嘗試存取交換器的使用者進行身份驗證,其他伺服器則作為備援伺服器,來防止第一台伺服器發生故障。
筆記:在此設定中,請務必選擇 Server Type 為 RADIUS。
步驟 6. 前往 SECURITY > AAA > Method Config 在 Authentication Login Method 清單和 Authentication Enable Method Config 清單中點擊 Add,接著進行設定,本次設定步驟中各參數的說明如下:
- Method list Name:method 的自訂名稱。
- Pri1-Pri4:驗證 method 按順序排列。Pri1 的 method 首先對使用者進行身份驗證,如果前一個 method 沒有回應,則嘗試 Pri2 的方式,依此類推。在我的設定中,我將選擇我自己在 Pri1 中建立的伺服器群組。
- Local:交換器本地資料庫用於身份驗證。
- None:不使用任何身份驗證。
- Radius:用於身份驗證的遠端 RADIUS 伺服器/伺服器群組。
- Tacacs:遠端 TACACS+
- Other user-defined server groups:上一個步驟建立的用於驗證的自訂伺服器群組
注意:Local/None/Radius/Tacacs 是四種內建驗證模式。
Method List 描述了對使用者進行身份驗證的身份驗證方式及其順序。交換器支援登入 Method List,讓所有類型的使用者取得交換器的存取權限,並支援啟用 Method List,讓非管理員使用者取得管理權限。您可以在此頁面上編輯 default method 或新增 method。
步驟 7. 前往 SECURITY > AAA > Global Config,依據需要選擇 access 方式,並選擇上一步設定的 Login Method 和 Enable Method,然後點擊右上角的 Apply 和 Save 按鈕。至此,設定完成。
步驟 1. 在與交換器同一個區域網路的 PC 上開啟 Putty 等等 SSH 連線工具,在 Host Name(or IP address)和通訊埠中分別輸入交換器的 IP 和 SSH 埠號,選擇 Connection Type 為 SSH,然後按一下 Open 按鈕。
步驟 2. 在彈出的終端機中輸入使用者名稱及其密碼。這裡使用擁有 Login-User 權限的使用者(使用者名稱和密碼分別為 user001 和 thisisuser)為範例,驗證設定是否可以正常生效。現在我們可以成功進入使用者 EXEC 模式了。
步驟 3. 輸入 enable 進入特權 EXEC 模式。
步驟 4. 輸入 configure 進入全域設定模式,出現「Error: Bad Command」提示訊息,表示目前使用者的權限確實是 Login-User。
步驟 5. 輸入 enable-admin 和密碼(在此設定中為 enable123)提升權限來取得 Administrative-User 特權權限。
說明:為了提高安全性,此處輸入的密碼不會顯示在終端機中。
步驟 6. 再次輸入 configure,事實證明,我們成功進入了全域設定模式。透過輸入 ?,可以發現此時我們可以設定所有的功能和模組。
至此,我們已經成功驗證了先前在交換器和 FreeRADIUS 上的設定是正確且有效的。同樣,您也可以使用 SSH 與其他幾個不同權限等級的使用者一起存取交換器,來驗證其有效性。
至此,我們就完成了該功能的整個設定和驗證。我們可以使用不同權限等級的使用者並透過各種存取方式(HTTP/Telnet/SSH/Console)存取我們的交換器。
要了解各項功能和設定的更多詳細資訊,請前往 檔案下載 下載您的產品的手冊。
有多少種方式可以存取 Omada 交換器?都是適用本文章的設定流程嗎?
回覆:存取方式最多有 4 種,分別是 HTTP/Telnet/SSH/Console,但由於部分機型沒有 Console 埠,只能透過 HTTP/Telnet/SSH 存取。只要交換器支援的存取方式,都適用於本文章的設定流程。