...
Процедура настройки RADIUS и TACACS+ на OLT рассмотрена в статье [LTP-N, LTX, MA5160] Настройка AAA, поэтому в рамках данной статьи будет рассмотрена только настройка со стороны NAICE.
RADIUS
Здесь описана , а именно последовательность действий, которая позволяет настроить авторизацию пользователя из внутренней БД по политике, основанной на IP-адресе NAS-устройства.
RADIUS
Добавление группы пользователей
Перед созданием самих пользователей, для разганичения пользователейих разграничения, можно создать группы, куда к которым они будут входитьпринадлежать. Например: Администраторы RADIUS и Администраторы TACACS+. Добавление группы пользователей доступно в разделе Администрирование → Управление идентификацией на странице Группы пользователей сети.
Добавление пользователя
Для прохождения процесса аутентификации клиенту требуется указать учетные данные пользователя. Предварительно этот пользователь должен быть добавлен в NAICE. Доступно создание пользователя в самой системе, а также интеграция с внешними источниками идентификации по протоколу LDAP, такими как при помощи MS Active Directory или OpenLDAP. Ниже рассмотрено создание внутреннего пользователя. Добавление пользователя доступно в разделе Администрирование → Управление идентификацией на странице Пользователи сети.
Создание профиля сетевого устройства
Профиль сетевого устройства позволяет настроить параметры, общие для нескольких NAS-устройств, и затем при их настройке указывать данный профиль для применения настроенных параметров. В общем случае профиль имеет смысл создавать для устройств одного производителя или одной модели устройств, однако это не строгое правило. Несколько профилей уже предустановлены в системе.Создание Создание профиля сетевого устройства доступно в разделе Администрирование → Сетевые ресурсы на странице Профили устройств.
Добавление сетевого устройства
На данном шаге нужно необходимо описать NAS-устройство (в нашем случае OLT) и параметры взаимодействия с ним.Создание Создание сетевого устройства доступно в разделе Администрирование → Сетевые ресурсы на странице вкладке Устройства.
- Секретный ключ (RADIUS secret) - ключ для взаимодействия с сетевым устройством по протоколу RADIUS. Должен совпадать с ключом, настроенным на самом устройстве.
Настройка политик сетевых устройств
Набор политик аутентификации и авторизации позволяет настроить различную обработку RADIUS-запросов от суппликантов в зависимости от указанных условий, и определять различные результаты аутентификации и авторизации.Настроим простой набор В качестве примера приведена настройка простого набора политик с условием применения NAS-IP-Address = NAS IP устройства. Создание службы доступных протоколов доступно в разделе Политика → Наборы политик.
Создание набора политик аутентификации и авторизации
Набор политик аутентификации и авторизации позволяет настроить различную обработку RADIUS-запросов от суппликантов в зависимости от указанных условий, и определять различные результаты аутентификации и авторизации.Настроим простой набор В качестве примера приведена настройка простого набора политик с условием применения Создание службы доступных протоколов применения. Создание наборов политик доступно в разделе разделе Политика → Наборы политик.
Пример настроенной политики:
Мониторинг
В разделе Мониторинг → RADIUS можно просматривать статистику по авторизациям на оборудовании:
...
На главной странице, можно добавить различные дашборды для отображения:.
TACACS
...
Настройка устройства на примере LTP-8N
Настройка аутентификатора заключается в базовой настройке aaa. Рассмотрим команды для настройки на примере LTP-8N.
...
Включить глобально aaa:
| Блок кода | ||
|---|---|---|
| ||
LTP-8N# configure terminal
LTP-8N(configure)# aaa
LTP-8N(config)(aaa)# enable |
...
Настроить взаимодействие с NAICE:
| Блок кода | ||
|---|---|---|
| ||
LTP-8N(config)(aaa)# tacacs-server host <IP-адрес NAICE> key <TACACS secret> |
Выберите метод аутентификации:
...
| language | bash |
|---|
...
+
...
| Блок кода | ||
|---|---|---|
| ||
LTP-8N(config)(aaa)# authorization tacacs+ |
...
| Блок кода | ||
|---|---|---|
| ||
LTP-8N(config)(aaa)# accounting tacacs+ start-stop commands |
...
| language | bash |
|---|
...
Настройка NAICE
Добавление группы пользователей
...
Теперь, после настройки aaa на OLT и настройки профиля оборудования и юзеров в NAICE, можно проводить авторизацию по заведённым локальным пользователям в NAICE в "Администраторах TACACS".
Мониторинг
В разделе Мониторинг → TACACS+ можно просматривать статистику по авторизациям на оборудовании:
...