...
Процедура настройки RADIUS и TACACS+ на OLT рассмотрена в статье [LTP-N, LTX, MA5160] Настройка AAA, поэтому в рамках данной статьи будет рассмотрена только настройка со стороны NAICE, а именно последовательность действий, которая позволяет настроить авторизацию пользователя из внутренней БД по политике, основанной на IP-адресе NAS-устройства.
...
Настройка
Добавление группы пользователей
Перед созданием самих пользователей, для их разграничения, можно создать группы, к которым они будут принадлежать. НапримерДля разграничения групп, можно изпользовать признак протокола доступа, например: Администраторы RADIUS и Администраторы TACACS+. Добавление группы пользователей доступно в разделе Администрирование → Управление идентификацией на странице Группы пользователей сети.
Окно добавления группы пользователей выглядит следующим образом.
После добавления группы, она будет отображена в списке групп пользователей:
Добавление пользователя
Для прохождения процесса аутентификации клиенту требуется указать учетные данные пользователя. Предварительно этот пользователь должен быть добавлен в NAICE. Доступно создание пользователя в самой системе, а также интеграция с внешними источниками идентификации при помощи MS Active Directory или OpenLDAP. Ниже рассмотрено создание внутреннего пользователя. Добавление пользователя доступно в разделе Администрирование → Управление идентификацией на странице Пользователи сети. При необходимости один пользователь может быть отнесен к разным группам. Примеры создания пользователей:
Создание профиля сетевого устройства
Профиль сетевого устройства позволяет настроить параметры, общие для нескольких NAS-устройств, и затем . Далее при их настройке устройств возможно указывать данный профиль для применения настроенных параметров. В общем случае целесообразно создавать данный профиль имеет смысл создавать для устройств одного производителя или одной модели устройств, однако это не строгое правило. Несколько профилей уже предустановлены в системе. Создание Создание профиля сетевого устройства доступно в разделе Администрирование → Сетевые ресурсы на странице Профили устройств.
...
На данном шаге необходимо описать создать NAS-устройство (в нашем случае OLT), сформировать описание и настроить параметры взаимодействия с ним. Создание Создание сетевого устройства доступно в разделе Администрирование → Сетевые ресурсы на вкладке Устройства.
- Секретный ключ (RADIUS, TACACS+ secret) - ключ для взаимодействия с сетевым устройством по протоколу RADIUSсоответствующим протоколам. Должен совпадать с ключом, настроенным на самом устройстве.
...
Набор политик аутентификации и авторизации позволяет настроить различную обработку RADIUS-/TACACS+ запросов от суппликантов в зависимости от указанных условий, и определять различные результаты аутентификации и авторизации. В В качестве примера приведена настройка простого набора политик с условием применения NAS-IP-Address = NAS IP устройства. Создание службы доступных протоколов доступно в разделе Политика → Наборы политик.
...
В разделе Мониторинг → RADIUS можно просматривать статистику по авторизациям на оборудовании:
В разделе Мониторинг → TACACS+ также можно просматривать статистику по авторизациям на оборудовании:
Также доступен учет действий пользователей (accounting):
На главной странице, можно добавить различные дашборды варианты дашбордов для отображения.
TACACS+
Настройка NAICE
...
Теперь, после настройки aaa на OLT и настройки профиля оборудования и юзеров в NAICE, можно проводить авторизацию по заведённым локальным пользователям в NAICE в "Администраторах TACACS".
Мониторинг
В разделе Мониторинг → TACACS+ можно просматривать статистику по авторизациям на оборудовании:
И просматривать учет команд (accounting):
На главной странице, можно добавить дашборды для отображения: