В данной статье мы рассмотрим интеграцию OLT Eltex, а именно моделей LTP-8/16N и LTX-8/16, с установленной системой Eltex-NAICE.
| Подсказка |
|---|
Ознакомиться c системой и её возможностями можно по ссылке. |
Eltex-NAICE рассмотрен пример настройки системы контроля сетевого доступа Eltex NAICE (Network Access and Information Control Engine) для взаимодействия с OLT. Eltex NAICE является NAC-системой (network access control, система контроля доступа к сети), реализующей контроль доступа в корпоративную сеть на основании условий и политик доступа: аутентификации и авторизации
- Аутентификации;
- Авторизации пользователей сети и администраторов сетевого оборудования
...
- ;
- Регистрации событий доступа.
Ознакомиться c системой Eltex NAICE и её возможностями можно по ссылке. Руководство по установке доступно в статье v0.9_NAICE.
Cо стороны OLT реализована поддержка взаимодействия AAA по протоколамВ частности, нас интересует настройка комплексной системы контроля доступа на основе протоколов RADIUS и TACACS+.
RADIUS
Настройка устройства на примере LTP-8N
Настройка аутентификатора заключается в базовой настройке aaa. Рассмотрим команды для настройки на примере LTP-8N.
Включить глобально aaa:
Блок кода language bash LTP-8N# configure terminal LTP-8N(configure)# aaa LTP-8N(config)(aaa)# enableНастроить взаимодействие с NAICE:
Блок кода language bash LTP-8N(config)(aaa)# radius-server host <IP-адрес NAICE> key <RADIUS secret>Указать метод проверки подлинности на aaa интерфейсах -
radius:Блок кода language bash LTP-8N(config)(aaa)# authentication radius- Задайте порт, используемый для обмена с сервером (при необходимости):
Блок кода language bash LTP-8N(config)(aaa)# radius-server host <IP-адрес NAICE> key <RADIUS secret> port <RADIUS port>
Настройка NAICE
Далее описана Процедура настройки RADIUS и TACACS+ на OLT рассмотрена в статьях [LTP-N, LTX, MA5160] Настройка AAA и [LTP-X, MA4000] Настройка AAA, поэтому в рамках данной статьи будет рассмотрена только настройка со стороны NAICE, а именно последовательность действий, которая позволяет настроить авторизацию пользователя из внутренней БД по политике, основанной на IP-адресе NAS-устройства.
Настройка
Добавление группы пользователей
Перед созданием самих пользователей, для разганичения пользователейих разграничения, можно создать группы, куда к которым они будут входить. Напримерпринадлежать. Для разграничения групп, можно использовать признак протокола доступа, например: Администраторы RADIUS и Администраторы TACACS+. Добавление группы пользователей доступно в разделе Администрирование → Управление идентификацией на странице Группы пользователей сети.
Окно добавления группы пользователей выглядит следующим образом.
После добавления группы, она будет отображена в списке групп пользователей:
Добавление пользователя
Для прохождения процесса аутентификации клиенту требуется указать учетные данные пользователя. Предварительно этот пользователь должен быть добавлен в NAICE. Доступно создание пользователя в самой системе, а также интеграция с внешними источниками идентификации по протоколу LDAP, такими как при помощи MS Active Directory или OpenLDAP. Ниже рассмотрено создание внутреннего пользователя. Добавление пользователя доступно в разделе Администрирование → Управление идентификацией на странице Пользователи сети. При необходимости один пользователь может быть отнесен к разным группам. Примеры создания пользователей:
Создание профиля сетевого устройства
Профиль сетевого устройства позволяет настроить параметры, общие для нескольких NAS-устройств, и затем . Далее при их настройке устройств возможно указывать данный профиль для применения настроенных параметров. В общем случае целесообразно создавать данный профиль имеет смысл создавать для устройств одного производителя или одной модели устройств, однако это не строгое правило. Несколько профилей уже предустановлены в системе. Создание профиля сетевого устройства доступно в разделе Администрирование → Сетевые ресурсы на странице Профили устройств.
Добавление сетевого устройства
На данном шаге нужно описать необходимо создать NAS-устройство, в нашем случае OLT, сформировать описание и настроить параметры взаимодействия с ним.. Для примера добавим сетевое устройство OLT LTP-8N. По такому же принципу, можно добавить другие модели OLT, такие как LTP-4(8)X, MA4000, LTP-16N, LTX-8(16), LTX-8(16)C, MA5160. Создание сетевого устройства доступно в разделе Администрирование → Сетевые ресурсы на странице вкладке Устройства.
- Секретный ключ (RADIUS, TACACS+ secret) - ключ для взаимодействия с сетевым устройством по протоколу RADIUSсоответствующим протоколам. Должен совпадать с ключом, настроенным на самом устройстве.
Настройка политик сетевых устройств
Набор политик аутентификации и авторизации позволяет настроить различную обработку RADIUS-запросов от суппликантов в зависимости от указанных условий, и определять различные результаты аутентификации и авторизации.
...
Создание логических условий
Логические условия позволяют задать условия, при которых политику или правило политики необходимо применять. Создание логического условия с последующим его сохранением в библиотеку условий доступно в разделе Политика → Элементы на странице Условия.
В качестве примера для работы с RADIUS составим условие - "NAS-IP-Address
...
словаря RADIUS равен IPv4-адресу NAS-устройства". В редакторе условия в поле Атрибут необходимо нажать на 
и в окне выбора атрибута найти RADIUS-атрибут NAS-IP-Address:
В качестве примера для работы с TACACS составим условие - "User identity·Identity Group Равно Администраторы TACACS":
Создание службы доступных протоколов доступно в разделе Политика → Наборы политик.
...
Создание набора политик аутентификации и авторизации
Набор политик аутентификации и авторизации позволяет настроить различную обработку RADIUS-запросов или TACACS-запросов от суппликантов (суппликант (supplicant) – оконечное сетевое оборудование, которое используется для подключения к сети через устройство-аутентификатор и проходит аутентификацию и авторизацию) в зависимости от указанных условий, и определять различные результаты аутентификации и авторизации.
Настроим простой набор В качестве примера для работы с RADIUS приведена настройка набора политик с условием применения Создание службы доступных протоколов доступно в разделе применения NAS-IP-Address = NAS IP устройства. Создание наборов политик доступно в разделе Политика → Наборы политик.
Пример настроенной политики:
Мониторинг
В разделе Мониторинг → RADIUS можно просматривать статистику по авторизациям на оборудовании:
На главной странице, можно добавить дашборды для отображения:
TACACS+
Настройка устройства на примере LTP-8N
Настройка аутентификатора заключается в базовой настройке aaa. Рассмотрим команды для настройки на примере LTP-8N.
Включить глобально aaa:
Блок кода language bash LTP-8N# configure terminal LTP-8N(configure)# aaa LTP-8N(config)(aaa)# enableНастроить взаимодействие с NAICE:
Блок кода language bash LTP-8N(config)(aaa)# tacacs-server host <IP-адрес NAICE> key <TACACS secret>Выберите метод аутентификации:
Блок кода language bash LTP-8N(config)(aaa)# authentication tacacs+- Выберите метод авторизации:
Блок кода language bash LTP-8N(config)(aaa)# authorization tacacs+ - Выберите метод учета вводимых команд и метод учета начала и окончания CLI-сессий:
Блок кода language bash LTP-8N(config)(aaa)# accounting tacacs+ start-stop commands - Задайте порт, используемый для обмена с сервером (при необходимости):
Блок кода language bash LTP-8N(config)(aaa)# tacacs-server host <IP-адрес NAICE> key <TACACS secret> port <TACACS port>
Настройка NAICE
Добавление группы пользователей
Перейти в раздел Администрирование → Управление идентификацией → Группы пользователей сети. Добавить группу с названием "Администраторы TACACS":
Добавление пользователя во внутренний источник идентификации
Перейти в раздел Администрирование → Управление идентификацией → Пользователи сети. Добавить пользователя, указав его имя и пароль:
| Примечание |
|---|
Профиль устройства Eltex OLT и самое сетевое устройство OLT LTP-8N мы добавили ранее, при настройке RADIUS. Будем использовать его. |
Настройка политик сетевых устройств
Теперь, после настройки AAA на OLT и настройки профиля оборудования, NAS устройство (OLT) с адресом, указанным в условии, может обращаться к RADIUS-серверу.
В качестве примера для работы с TACACS приведена настройкаПерейти в раздел набора политик с условием применения "User identity·Identity Group Равно Администраторы TACACS". Настройка политик для TACACS проводится в другом разделе Контроль сетевых устройств → Политики сетевых устройств. После установки в наборе есть только одна политика по умолчанию Default. Её нельзя удалить и она всегда будет последней в списке политик.
В данной политике можно изменить или добавить политика аутентификации и авторизации, или же создать новую. Нажать в политике справа 
и провалиться в политику.
Политика аутентификации по умолчанию используется цепочку Default sequence, в которую по умолчанию добавлен внутренний источник идентификации Internal DB.
В блоке "Политика авторизации" задать условие: "User identity·Identity Group Равно Администраторы TACACS" и нажать Использовать внизу в правой части окна. После этого модальное окно закроется, а условия появится в колонке Условия*.
Итоговая настройка будетвыглядеть так:
В итоге будет настроена политика авторизации, которая позволяет выполнять подключение с максимальным уровнем привилегий к сетевым устройствам пользователей из внутреннего источника идентификации, которые находятся в группе "Администраторы TACACS", и разрешает для них выполнение любой команды.
Теперь, после настройки aaa AAA на OLT и настройки профиля оборудования и юзеров пользователей в NAICE, можно проводить авторизацию по заведённым существующим локальным пользователям в NAICE, созданным в разделе "Администраторах Администраторы TACACS".
Мониторинг
В разделе Мониторинг → RADIUS можно просматривать статистику по авторизациям на оборудовании:
В разделе Мониторинг → TACACS+ также можно просматривать статистику по авторизациям на оборудовании:
И просматривать учет команд Также доступен учет действий пользователей (accounting):
На главной странице, можно добавить дашборды различные варианты дашбордов для отображения:.
