(!) Пример настройки AAA и внешнего RADIUS-сервера

Как настроить Ethernet-коммутатор MGS-3712 и внешний RADIUS-сервер, если нужно использовать учетную запись с уровнем привилегий 13 для подключения к коммутатору, а внешний RADIUS-сервер будет использоваться для аутентификации, авторизации и учета (AAA)


Покажем на примере, как настроить Eternet-коммутатор MGS-3712 и внешний RADIUS-сервер для реализации возможности аутентификации, авторизации и учета (AAA) учетной записи.


Аутентификацией называется процесс идентификации пользователя и проверки его прав доступа к коммутатору. Данный коммутатор позволяет проводить аутентификацию пользователей с использованием учетных записей, настроенных в самом коммутаторе. Кроме того, коммутатор позволяет использовать внешний сервер аутентификации в целях аутентификации большого количества пользователей.
Авторизацией называется процесс определения действий, которые допустимо выполнять пользователю. Различным пользовательским учетным записям могут быть назначены более высокие или более низкие уровни привилегий. Например, у пользователя A может быть право на создание новых учетных записей на коммутаторе, тогда как у пользователя B такого права не будет. Авторизация пользователей может осуществляться коммутатором с использованием учетных записей, настроенных на самом коммутаторе, или с использованием внешнего сервера в целях авторизации большого количества пользователей.
Учетом называется процесс регистрации действий пользователей. Данный коммутатор позволяет отслеживать вход пользователей, выход пользователей, выполняемые ими команды и другие действия с использованием внешнего сервера. В рамках учета могут также регистрироваться системные действия, такие как время загрузки и выключения коммутатора.
Внешние серверы, выполняющие функции аутентификации, авторизации и учета, сокращенно называются серверами AAA. В качестве внешних серверов аутентификации, авторизации и учета данный коммутатор поддерживает серверы RADIUS (Remote Authentication Dial-In User Service) и TACACS+ (Terminal Access Controller Access-Control System Plus).


Каждая команда имеет уровень привилегий (0-14). В настоящий момент команды имеют уровень привилегий 0, 3, 13 или 14. Пользователь имеет доступ только к тем командам, у которых уровень привилегий меньше или равен уровню привилегий учетной записи пользователя. Например, если для учетной записи установлен уровень привилегий 13, пользователь с этой учетной записью может использовать все команды с уровнями привилегий от 0 до 13. Команды с уровнем привилегий 0 доступны для всех учетных записей. 
Если для аутентификации пользователей задействован внешний сервер RADIUS, для определения уровня привилегий учетной записи на сервере RADIUS можно использовать специальный атрибут производителя VSA (Vendor Specific Attribute).


В руководстве пользователя или в справочнике командного интерфейса Ethernet-коммутатора вы можете узнать какие команды к какому уровню привилегий относятся (например, создавать новые учетные записи, изменять пароль учетной записи администратора и привилегированного режима Enable, устанавливать методы аутентификации может только пользователь с уровнем привилегий 14).


Предположим, что имеется следующая схема:



Настройка AAA на MGS-3712

1) Подключитесь к веб-конфигуратору коммутатора, зайдите в меню Advanced Application > AAA и нажмите RADIUS Server Setup.



2) Укажите IP-адрес внешнего RADIUS-сервера в поле IP Address и в поле Shared Secret укажите пароль (до 32 алфавитно-цифровых символов), который будет
служить общим ключом для внешнего сервера RADIUS и коммутатора. Этот ключ не пересылается по сети. Ключ должен быть одинаковым на внешнем RADIUS-сервере и коммутаторе. В поле UDP Port оставьте значение по умолчанию (аутентификация на RADIUS-сервере производится через порт 1812). Изменять это значение не рекомендуется.



3) Затем вернитесь в меню Advanced Application > AAA и нажмите AAA Setup.



4) Настройте разделы Authentication и Authorization в меню AAA Setup.
В разделе Authentication в полях Privilege Enable можно определить, к какой базе данных должен обращаться коммутатор (в первую, вторую и третью очередь) для аутентификации уровня привилегий учетных записей администраторов (пользователей, управляющих коммутатором). Для аутентификации привилегий доступа администраторов на коммутаторе можно указать до трех методов. Данный коммутатор пытается использовать каждый из методов в том порядке, в котором они указаны (сначала Method 1, затем Method 2 и, наконец, Method 3). В поле Method 1 обязательно должен быть выбран один из методов. Если коммутатор должен обращаться и к другим источникам для проверки привилегий доступа, их необходимо указать в полях Method 2 и Method 3.
В случае выбора значения local для проверки уровня привилегий коммутатор будет обращаться к настроенным на нем записям. В случае выбора значения radius проверка уровня привилегий будет осуществляться коммутатором с помощью внешнего RADIUS-сервера.


В полях Login можно определить, к какой базе данных должен обращаться коммутатор (в первую, вторую и третью очередь) для аутентификации учетных записей администраторов (пользователей, управляющих коммутатором).
В случае выбора значения local для проверки учетных записей администраторов коммутатор будет обращаться к записям, настроенным в меню Access Control > Logins. В случае выбора значения radius для проверки учетных записей администраторов коммутатор будет обращаться к серверам RADIUS, настроенным в меню RADIUS Server Setup.


В разделе Authorization установите переключатель в поле Active, чтобы активировать функцию учета для типов событий Exec и Dot1x.
Exec – в случае выбора данного варианта коммутатор будет передавать информацию о входе и выходе администратора системы через консольный порт, Telnet или SSH.
Dot1x – в случае выбора данного варианта коммутатор будет передавать информацию о начале клиентами сеансов IEEE 802.1x (аутентификация на коммутаторе), завершении сеансов, а также промежуточных обновлениях о состоянии сеансов.
В поле Method выберите метод radius для учета событий определенного типа.



Настройка RADIUS-сервера

В нашем примере будем использовать сервер FreeRADIUS Linux Edition (существует также версия и для ОС Windows, см. Приложение) для аутентификации и авторизации учетной записи.

1) Отредактируйте файл clients.conf, указав в качестве клиента RADIUS-сервера коммутатор MGS-3712.

vim /etc/raddb/clients.conf




2) Добавьте словарь ZyXEL dictionary.zyxel.

vim /etc/raddb/dictionary




3) Настройте словарь ZyXEL и добавьте новый атрибут в файл dictionary.zyxel.

vim /usr/share/freeradius/dictionary.zyxel




4) Добавьте учетную запись (например, cso) с уровнем привилегий 13 в /etc/raddb/users.

vim /etc/raddb/users




5) Запустите RADIUS-сервер FreeRADIUS.




Проверка


Для проверки настройки Ehternet-коммутатора MGS-3712 и внешнего RADIUS-сервера выполните подключение к коммутатору, используя учетную запись cso с паролем 1234.

C:\Documents and Settings\Harry>telnet 172.25.27.150


 


После успешного подключения с помощью команды show privilege можно посмотреть уровень привилегий текущей учетной записи. В нашем примере уровень привилегий 13 назначен для учетной записи cso.






Приложение


Как отмечалось выше, существует RADIUS-сервер версии FreeRADIUS Windows Edition для работы в ОС Windows.
В этом приложении мы приведем пример создания учетной записи с уровнем привилегий 13 в FreeRADIUS Windows Edition для Ethernet-коммутатора MGS-3712.

1) После установки FreeRADIUS Windows Edition нужно отредактировать некоторые конфигурационные файлы. Для редактирования рекомендуется использовать текстовый редактор Wordpad.

2) Отредактируйте и затем сохраните файл C:\FreeRADIUS.net\etc\raddb\clients.conf. В данном файле нужно указать в качестве клиента RADIUS-сервера коммутатор MGS-3712.


client 172.25.27.180 {
secret = 1234
shortname = MGS-3712
nastype = other
}

3) Измените C:\FreeRADIUS.net\etc\raddb\dictionary. Добавьте словарь ZyXEL в этот конфигурационный файл.


$INCLUDE ../share/freeradius/dictionary.zyxel

4) Настройте C:\FreeRADIUS.net\share\freeradius\dictionary.zyxel. Нужно добавить специальный атрибут Vendor в этот файл.


VENDOR Zyxel 890

BEGIN-VENDOR Zyxel

ATTRIBUTE Zyxel-Privilege-AVPair 3 string
ATTRIBUTE Zyxel-Callback-Option 192 integer
ATTRIBUTE Zyxel-Callback-Phone-Source 193 integer

END-VENDOR Zyxel

5) Добавьте учетную запись в конфигурационный файл C:\FreeRADIUS.net\etc\raddb\users.conf. В нашем примере на RADIUS-сервере создадим учетную запись cso с паролем 1234 и с уровнем привилегий 13.


cso User-Password == "1234"
Service-Type = Login-User,
NAS-IP-Address = 172.25.27.180,
Zyxel-Privilege-AVPair = "shell:priv-lvl=13"


Таким образом, был настроен RADIUS-сервер версии FreeRADIUS Windows Edition для создания учетной записи с уровнем привилегий 13.

Для проверки щелкните правой кнопкой мышки по ярлыку FreeRADIUS на Панели задач Windows и выберите Start FreeRADIUS.net Server. Затем выполните подключение к коммутатору MGS-3712 (172.25.27.180) через telnet, используя для авторизации учетную запись cso с паролем 1234. После успешного подключения с помощью команды show privilege можно посмотреть уровень привилегий текущей учетной записи. В нашем примере уровень привилегий 13 будет назначен для учетной записи cso. 

Вы также можете запустить FreeRADIUS.net Server в режиме DEBUG для получения отладочной информации в случае неправильной настройки на сервере. Журнал ошибок (Error log) будет сохранен в C:\FreeRADIUS.net\var\log\radius.

KB-2026

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 0