Найти в Дзене
Linux | Network | DevOps
25 подписчиков

Настройка AAA для HWTACACS/RADIUS аутентификации Huawei

199
6 мин

В корпоративных сетях локальная аутентификация администраторов на сетевых устройствах используется достаточно редко.

Штат сотрудников имеющих доступ к оборудованию непостоянен, так же как и права различных сотрудников; число железа переваливат за десятки-сотни, и локальное создание и управление учетными записями для каждого сотрудника на каждом сетевом устройстве – просто гора ручной работы, низка безопастность, отсутствие удобного механизма контроля и так далее.

Используя внешние сервера аутентифкации для администраторов устройст – RADIUS и HWTACACS значительно упрощает данную задачу и повышает безопастность управления устройствами в целом.

В данной статье разберем подход к настройке внешей аутентифкации администраторов устройств: создании необходимы хAuthentication, Authorization, и Accounting (AAA) схем и управление доменами на устройстве.  Прописные истины, но иметь под рукой готовый гайд к настройке, возможно, кому то будет полезным.

Создание учетных записей и настройку внешнего сервера аутентифкации приводить не будем – это может быть любая RADIUS/TACACS система.

Имеем коммутатор Huawei CloudEngine CE6800. Внешний сервер аутентификации где будем создавать учетные записи для администраторов Switch.

Настроим коммутатор СЕ6800:

1.    Настраиваем AAA schemes. Поскольку ААА это Authentication, Authorization, и Accounting, то и схем будет три  (замечание - accounting поддерживается только для HWTACACS, и связано это с ограничением протокола RADIUS).  Прописывать local после внешней аутентификации необязательно, но надо помнить что при потере связи с внешним сервером на свитч надо иметь и доступ по локальной ааа учетке.

<HUAWEI> system-view immediately
Enter system view, return user view with Ctrl+Z.
[HUAWEI] aaa
[HUAWEI-aaa] authentication-scheme authen_scheme1
 Info: Create a new authentication scheme
[HUAWEI-aaa-authen-authen_scheme1] authentication-mode radius none
[HUAWEI-aaa-authen-authen_scheme1] quit
[HUAWEI-aaa] authorization-scheme author_scheme1
 Info: Create a new authorization scheme
[HUAWEI-aaa-author-author_scheme1] authorization-mode hwtacacs local
[HUAWEI-aaa-author-author_scheme1] quit
[HUAWEI-aaa] accounting-scheme accounting1
 Info: Create a new accounting scheme
[HUAWEI-aaa-accounting-accounting1] accounting-mode none
[HUAWEI-aaa-accounting-accounting1] quit
[HUAWEI-aaa] quit

2.     Создаем темплейты для подключения к серверам RADIUS и HWTACACS для последующего использования. Темплейтом может быть несколько, если есть необходимость в разных сценариях использовать различные внешние сервера (именно различные, а не бэкап основного)

[HUAWEI] radius-server template rds_srv1
 Info: Create a new server template
[HUAWEI-radius-rds_srv1] radius-server authentication 10.164.28.171 1645
[HUAWEI-radius-rds_srv1] radius-server accounting 10.164.28.171  1646
[HUAWEI-radius-rds_srv1] radius-server shared-key HUAWEI
[HUAWEI-radius-rds_srv1] quit
[HUAWEI] hwtacacs-server template hwt_srv1
 Info: Create a new HWTACACS-server template
[HUAWEI-hwtacacs-hwt_srv1] hwtacacs-server authentication 10.164.29.238
[HUAWEI-hwtacacs-hwt_srv1] hwtacacs-server authorization 10.164.29.238
[HUAWEI-hwtacacs-hwt_srv1] hwtacacs-server accounting 10.164.29.238
[HUAWEI-hwtacacs-hwt_srv1] hwtacacs-server shared-key HUAWEI
[HUAWEI-hwtacacs-hwt_srv1] quit

3.     Создаем domain на свитче и привязываем домен к схемам AAA.

[HUAWEI-106-aaa] domain dom1
 Info: Success to create a new domain
[HUAWEI-106-aaa-domain-dom1] authentication-scheme authen_scheme1
[HUAWEI-106-aaa-domain-dom1] authorization-scheme author_scheme1
[HUAWEI-106-aaa-domain-dom1] accounting-scheme accounting1
[HUAWEI-106-aaa-domain-dom1] radius-server rds_srv1
[HUAWEI-106-aaa-domain-dom1] hwtacacs-server hwt_srv1
[HUAWEI-aaa-domain-dom1] return

4.     Проверяем созданные AAA схемы и домен используя команды ниже.

<HUAWEI> display authentication-scheme authen_scheme1

  Authentication-scheme-name    : authen_scheme1
  Authentication-method         : RADIUS
  Authentication-method         : None
  Authentication-super method   : Super authentication-super
<HUAWEI> display authorization-scheme author_scheme1
-------------------------------------------------------------------
 Authorization-scheme-name    : author_scheme1
 Authorization-method         : HWTACACS
 Authorization-cmd level 0    : Disabled
 Authorization-cmd level 1    : Disabled
 Authorization-cmd level 2    : Disabled
 Authorization-cmd level 3    : Disabled
 Authorization-cmd level 4    : Disabled
 Authorization-cmd level 5    : Disabled
 Authorization-cmd level 6    : Disabled
 Authorization-cmd level 7    : Disabled
 Authorization-cmd level 8    : Disabled
 Authorization-cmd level 9    : Disabled
 Authorization-cmd level 10   : Disabled
 Authorization-cmd level 11   : Disabled
 Authorization-cmd level 12   : Disabled
 Authorization-cmd level 13   : Disabled
 Authorization-cmd level 14   : Disabled
 Authorization-cmd level 15   : Disabled
 Authorization-cmd no-response-policy    : Online
-------------------------------------------------------------------
<HUAWEI> display accounting-scheme accounting1

  Accounting-scheme-name                : accounting1
  Accounting-method                     : None
  Realtime-accounting-switch            : Disabled
  Realtime-accounting-interval(min)     : -
  Start-accounting-fail-policy          : Offline
  Realtime-accounting-fail-policy       : Online
  Realtime-accounting-failure-retries   : 3

<HUAWEI> display radius-server configuration template rds_srv1
  -------------------------------------------------------------------
  Server-template-name             :  rds_srv1
  Protocol-version                 :  standard
  Traffic-unit                     :  B
  Shared-secret-key                :  HUAWEI
  Timeout-interval(in second)      :  5
  Primary-authentication-server  10.164.28.171; 1645;  LoopBack:NULL

  Primary-accounting-server :  10.164.28.171;    1646;  LoopBack:NULL

  Secondary-authentication-server  :  0.0.0.0;    0;  LoopBack:NULL
  Secondary-accounting-server      :  0.0.0.0;    0;  LoopBack:NULL
  Retransmission                   :  3
  Domain-included                  :  YES
Calling-station-id MAC-format    :  xxxx-xxxx-xxxx  
  -------------------------------------------------------------------
<HUAWEI> display hwtacacs-server template hwt_srv1
  -------------------------------------------------------------------
  HWTACACS-server template name   : hwt_srv1
  Primary-authentication-server   : 10.164.29.238:49
  Primary-authorization-server    : 10.164.29.238:49
  Primary-accounting-server       : 10.164.29.238:49
  Secondary-authentication-server : 0.0.0.0:0
  Secondary-authorization-server  : 0.0.0.0:0
  Secondary-accounting-server      : 0.0.0.0:0
  Current-authentication-server    : 10.164.29.238:49
  Current-authorization-server     : 10.164.29.238:49
  Current-accounting-server        : 10.164.29.238:49
  Source-IP-address                : 0.0.0.0
  Shared-key                       : HUAWEI
  Quiet-interval(min)              : 5
  Response-timeout-Interval(sec)   : 5
  Domain-included                  : Yes
  Traffic-unit                     : B
  -------------------------------------------------------------------
<HUAWEI> display domain name dom1

  Domain-name                        : dom1
  Domain-state                       : Active
  Authentication-scheme-name         : authen_scheme1
  Accounting-scheme-name             : accounting1
  Authorization-scheme-name          : author_scheme1
  Service-scheme-name                : -
  RADIUS-server-group                : rds_srv1
  Hwtacacs-server-template           : hwt_srv1

Конечно, существует достаточно связанных настроек ААА и подключения к внешним серверам, но они лишь дополняют описанный выше "скелет" основных настроек.