Документация
Page tree
Skip to end of metadata
Go to start of metadata

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 4 Next »

RADIUS - протокол для реализации аутентификации, авторизации и сбора сведений об использованных ресурсах, разработанный для передачи сведений между центральной платформой и оборудованием. 

С помощью протокола RADIUS можно организовать централизованную систему авторизации и аутентификации сотрудников, которым для проведения диагностики или настройки оборудования необходим доступ на коммутаторы. Таким образом значительно упрощается сопровождение большого количества коммутаторов и постоянно обновляющегося списка пользователей.


Настройка RADIUS

Рассмотрим стандартную настройку функционала:

Для начала необходимо настроить RADIUS-сервер в режиме глобальной конфигурации:

SNR-S5210(config)#radius-server authentication host {ip_addr} key {key} string

Затем настраиваем аутентификацию пользователей через RADIUS-сервер, при доступе через консольный порт (console) и telnet/ssh (remote):

SNR-S5210(config)#aaa authentication login remote group radius
SNR-S5210(config)#aaa authentication login console group radius local
SNR-S5210(config)#aaa authentication enable group radius local

Аутентификация включена, теперь при вводе логина и пароля для доступа на коммутатор, данные отправляются на RADIUS-сервер, который отвечает либо подтверждением доступа, либо запретом. Если RADIUS-сервер не отвечает - используется следующий метод аутентификации (в нашей конфигурации локальный).

Передача привилегий пользователя с помощью Vendor-Specific Attribute

Серия S5210 поддерживает управление уровнем доступа (level 1,10,15) с помощью vendor-specific атрибута.
Рассмотрим настройку данного функционала на примере RADIUS-сервера на основе пакета freeradius:

В директории freeradius создаем файл (словарь) /usr/share/freeradius/dictionary.snr со следующим содержимым:

VENDOR         SNR                40418
BEGIN-VENDOR   SNR
ATTRIBUTE      SNR-User-Priv      240     integer
END-VENDOR     SNR

В конфигурационный файл /etc/share/freeradius/dictionary добавляем созданный нами словарь:

$INCLUDE /usr/share/freeradius/dictionary.snr

В файле /etc/freeradius/users создаем пользователя с необходимым уровнем привилегий (1,10,15):

user Cleartext-Password := "password"
SNR-User-Priv = 10

В данном примере пользователь 'user' будет авторизован с уровнем привилегий - 10 (network-operator)

Важно!

Необходимо добавить local после radius, иначе при недоступности RADIUS-сервера аутентификация будет невозможной даже при наличии локальных учетных записей!
  • No labels