tray-arrow-down
magnify

TN: Настройка административного доступа по протоколу RADIUS с использованием FreeRADIUS/daloRADIUS

1. Описание

Документ описывает процесс настройки аутентификации и авторизации удаленного доступа к коммутатору Aquarius с установленным AqNOS версии 7.3.1.

В качестве сервера аутентификации и авторизации используется сервер FreeRADIUS с графической оболочкой web-управления daloRADIUS и базой данных MySQL/MariaDB.

2. Настройки на коммутаторе:

 2.1 Настройка ААА

Для включения новой модели AAA и определения источников аутентификации и авторизации необходимо выполнить следующие команды:

Switch(config)# aaa new-model Switch(config)# aaa authentication login default radius local Switch(config)# aaa authorization exec default radius local Switch(config)# aaa accounting commands default none Switch(config)# aaa accounting exec default none

 2.2 Настройка параметров сервера RADIUS

Предполагается, что сервер RADIUS доступен на порте управления (management) коммутатора. Команда ниже задает IP-адрес сервера, а также ключ (shared secret):

Настройка параметров сервера RADIUS, находящегося за интерфейсом управления (mgmt-if).

Switch(config)# radius-server host mgmt-if 10.0.64.247 key Aquarius123

 2.3 Настройка линий VTY

Для включения аутентификации и авторизации на виртуальных терминальных линиях (VTY):

Настройка линий VTY

Switch(config)# line vty 0 7 Switch(config-line)# login authentication default Switch(config-line)# authorization exec default

3. Настройка FreeRADIUS

3.1 Добавление VSA (Vendor Specific Attribute) для устройств Aquarius

Для поддержки авторизации сервером нужно в файл словаря сервера FreeRADIUS, находящийся в папке:

/etc/freeradius/3.0/dictionary

добавить поддержку вендора – VSA (Vendor Specific Attribute) для Aquarius.
Для этого добавляем в файл словаря следующие строки:

VENDOR Aquarius 54928 BEGIN-VENDOR Aquarius ATTRIBUTE Aq-Exec-Priv 51 integer END-VENDOR Aquarius

Где:

  • 54928 – идентификатор производителя (Vendor Id) для Aquarius.
  • Aq-Exec-Priv – название атрибута.
  • 51 – номер вендор-специфичного типа (Vendor Specific Type).
  • integer – тип данных атрибута.

3.2. Перезапуск сервера и импорт словаря в daloRADIUS

После внесения изменений необходимо перезапустить FreeRADIUS:

systemctl restart freeradius

После перезапуска сервера нужно импортировать словарь.

Для импорта словаря в daloRADIUS:

  1. Перейти в Management → Attributes → Import Vendor Dictionary.
  2. Ввести Aquarius в поле Vendor Name.
  3. Нажать Apply.

На рисунке 1 изображен процесс импорта словаря в daloRADIUS.

 Рисунок 1 - Окно импорта словаря в daloRADIUS

3.3. Создание группы и добавление атрибута Aq-Exec-Priv

Теперь можно создать группу, добавив в нее новый атрибут для Aquarius.

Для этого в интерфейсе daloRADIUS:

  • Перейти в Management → Profiles → New Profile.
  • Ввести имя профиля (группы).
  • В строке Quick Locate attribute with autocomplete input ввести Aq-Exec-Priv.
  • Нажать Add Attribute.

На рисунке 2 показан процесс создания нового профиля и добавления атрибута Aq-Exec-Priv.

Рисунок 2 - Создание профиля и добавление атрибута Aq-Exec-Priv

В появившемся дополнительном окне необходимо заполнить параметры атрибута:

  • Ввести значение атрибута, которое сервер будет возвращать в сообщении Access-Accept.
  • Это значение влияет на уровень привилегий, получаемый пользователем после аутентификации.
  • Выбрать оператор (Op)=.
  • Установить Targetreply.

На рисунке 3 показан процесс настройки параметров атрибута.

Рисунок 3 - Настройка параметров атрибута Aq-Exec-Priv

3.4. Соответствие значений Aq-Exec-Priv уровням привилегий коммутатора

Значение возвращаемого атрибута переводится в значение уровня привилегии коммутатора с помощью команды:

aaa privilege mapping

Значения по умолчанию для соответствия возвращаемых параметров привилегии и привилегии коммутатора:

Значение привилегии, возвращаемое сервером RADIUSЗначение привилегии коммутатора
01
12
2-103
11-154

После заполнения параметров атрибута нажимаем кнопку Apply в окне New Profile.

После создания группы необходимо добавить ее в настройки пользователя.

На рисунке 4 показан процесс добавления профиля AquariusProfile в настройки пользователя.

 Рисунок 4 - Добавление группы в настройки пользователя

4.Тестирование

Для тестирования выполним удаленное подключение по Telnet к коммутатору и перехватим трафик с помощью Wireshark.

4.1. Запрос Access-Request

При попытке аутентификации коммутатор отправляет Access-Request на сервер RADIUS. Пример перехваченного запроса:

Frame 1: 101 bytes on wire (808 bits), 101 bytes captured (808 bits) on interface bridge_vlan64, id 0 Ethernet II, Src: PCAquari_1d:52:87 (00:58:3f:1d:52:87), Dst: RealtekU_69:2a:ee (52:54:00:69:2a:ee) Internet Protocol Version 4, Src: 10.0.64.7, Dst: 10.0.64.247 User Datagram Protocol, Src Port: 40978, Dst Port: 1812 RADIUS Protocol     Code: Access-Request (1)     Packet identifier: 0x21 (33)     Length: 59     Authenticator: fe89590e0666f5f1f36db05f62586922     [The response to this request is in frame 2]     Attribute Value Pairs         AVP: t=User-Name(1) l=7 val=user2             Type: 1             Length: 7             User-Name: user2         AVP: t=User-Password(2) l=18 val=Encrypted             Type: 2             Length: 18             User-Password (encrypted): 09f7e70ddbbde9ca6bf598a4e2c76b35         AVP: t=NAS-Identifier(32) l=8 val=P3-SW1             Type: 32             Length: 8             NAS-Identifier: P3-SW1         AVP: t=Framed-IP-Address(8) l=6 val=10.1.3.31             Type: 8             Length: 6             Framed-IP-Address: 10.1.3.31


4.2. Ответ Access-Accept

если аутентификация успешна, сервер RADIUS возвращает ответ Access-Accept с необходимыми атрибутами, включая Aq-Exec-Priv. 

Frame 2: 74 bytes on wire (592 bits), 74 bytes captured (592 bits) on interface bridge_vlan64, id 0 Ethernet II, Src: RealtekU_69:2a:ee (52:54:00:69:2a:ee), Dst: PCAquari_1d:52:87 (00:58:3f:1d:52:87) Internet Protocol Version 4, Src: 10.0.64.247, Dst: 10.0.64.7 User Datagram Protocol, Src Port: 1812, Dst Port: 40978 RADIUS Protocol     Code: Access-Accept (2)     Packet identifier: 0x21 (33)     Length: 32     Authenticator: e9821aff614dfcd439aecedebd3f0238     [This is a response to a request in frame 1]     [Time from request: 0.004556468 seconds]     Attribute Value Pairs         AVP: t=Vendor-Specific(26) l=12 vnd=Aquarius Production Company(54928)             Type: 26             Length: 12             Vendor ID: Aquarius Production Company (54928)             VSA: t=Unknown-Attribute(51) l=6 val=0000000f                 Type: 51                 Length: 6                 Unknown-Attribute: 0000000f


4.3. Анализ полученных данных

В ответе сервера RADIUS содержится VSA (Vendor-Specific Attribute):

  • Vendor ID: Aquarius Production Company (54928).
  • Атрибут: Unknown-Attribute типа 51.
  • Значение: 0000000f (15 в десятичной системе).

Коммутатор интерпретирует значение атрибута типа 51 как уровень привилегий пользователя в соответствии с настройкой aaa privilege mapping. В приведенном примере значение 15 соответствует максимальному уровню привилегий (см. таблицу в разделе 3.4).

если в ответе Access-Accept отсутствует ожидаемый атрибут, рекомендуется проверить следующее:

  • корректность профиля и назначения групп в daloRADIUS;

  • наличие соответствующего атрибута в конфигурации FreeRADIUS;

  • содержимое логов FreeRADIUS по пути: /var/log/freeradius/radius.log.

5. Заключение

Настройка аутентификации и авторизации удаленного доступа с использованием FreeRADIUS и daloRADIUS позволяет централизованно управлять доступом к коммутатору Aquarius.

Преимущества данного подхода:

  • Централизованное управление учетными записями и группами пользователей.
  • Возможность гибкой настройки атрибутов доступа.
  • Повышенный уровень безопасности за счет использования RADIUS-сервера.

В случае возникновения проблем с аутентификацией или авторизацией рекомендуется:

  • Проверить логи FreeRADIUS (/var/log/freeradius/radius.log) на наличие ошибок.
  • Убедиться, что в daloRADIUS настроены корректные профили и атрибуты.
  • Использовать Wireshark для диагностики и анализа RADIUS-запросов.

При необходимости дополнительной информации обратитесь к связанным документам или официальной документации FreeRADIUS.

6. Связанные документы

  1. Официальная документация FreeRADIUS
    Подробные руководства и справочные материалы по установке, настройке и использованию FreeRADIUS.​

  2. Официальный сайт daloRADIUS
    Информация о daloRADIUS, включая руководство пользователя и виртуальную машину с предустановленным daloRADIUS и FreeRADIUS.​

  3. Документация по Wireshark
    Руководства и справочные материалы по использованию Wireshark для анализа сетевого трафика.​

  4. Wireshark Wiki
    Сообщество пользователей Wireshark, где можно найти дополнительные материалы и обсуждения.​

  5. Настройка RADIUS в AqNOS
    Руководство по настройке RADIUS-сервера в операционной системе AqNOS для коммутаторов серии Aquarius.









Аквариус
Портал технической документации
Адрес Аквариус
смотреть на карте
+7 (495) 729-51-50
question@aq.ru
Техническая поддержка
8 800 250-26-00
Следите за нами в социальных сетях
Инструкции
AqNOS. Руководство
AqNOS. Справочник
Поддержка
О поддержке
Горячая линия
Загрузки
Контакты
Контакты компании
Сервис «Аквариус»
© 2024 ПК «Аквариус»
Условия работы с сайтом

Поиск по сайту

magnify