В данной статье мы рассмотрим интеграцию OLT Eltex, а именно моделей LTP-8/16N и LTX-8/16, с установленной системой Eltex-NAICE.

Eltex-NAICE (Network Access and Information Control Engine) является NAC-системой (network access control, система контроля доступа к сети), реализующей контроль доступа в корпоративную сеть на основании условий и политик доступа: аутентификации и авторизации пользователей сети и администраторов сетевого оборудования, регистрации событий доступа.

В частности, нас интересует настройка комплексной системы контроля доступа на основе протоколов RADIUS и TACACS+.

RADIUS

Настройка устройства на примере LTP-8N

Настройка аутентификатора заключается в базовой настройке aaa. Рассмотрим команды для настройки на примере LTP-8N.

1. Включить глобально aaa:

   LTP-8N# configure terminal LTP-8N(configure)# aaa LTP-8N(config)(aaa)# enable

2. Настроить взаимодействие с NAICE:

   LTP-8N(config)(aaa)# radius-server host <IP-адрес NAICE> key <RADIUS secret>

3. Указать метод проверки подлинности на aaa интерфейсах - radius:

   LTP-8N(config)(aaa)# authentication radius

4. Задайте порт, используемый для обмена с сервером (при необходимости):
   

   LTP-8N(config)(aaa)# radius-server host <IP-адрес NAICE> key <RADIUS secret> port <RADIUS port>

Настройка NAICE 

Далее описана последовательность действий, которая позволяет настроить авторизацию пользователя из внутренней БД по политике, основанной на IP-адресе NAS-устройства. 

Добавление группы пользователей

Перед созданием самих пользователей, для разганичения пользователей, можно создать группы, куда они будут входить. Например: Администраторы RADIUS и Администраторы TACACS+.

Добавление группы пользователей доступно в разделе Администрирование → Управление идентификацией на странице Группы пользователей сети.

Добавление пользователя

Для прохождения процесса аутентификации клиенту требуется указать учетные данные пользователя. Предварительно этот пользователь должен быть добавлен в NAICE. Доступно создание пользователя в самой системе, а также интеграция с внешними источниками идентификации по протоколу LDAP, такими как MS Active Directory или OpenLDAP. Ниже рассмотрено создание внутреннего пользователя.

Добавление пользователя доступно в разделе Администрирование → Управление идентификацией на странице Пользователи сети.

Создание профиля сетевого устройства

Профиль сетевого устройства позволяет настроить параметры, общие для нескольких NAS-устройств, и затем при их настройке указывать данный профиль для применения настроенных параметров. В общем случае профиль имеет смысл создавать для устройств одного производителя или одной модели устройств, однако это не строгое правило. Несколько профилей уже предустановлены в системе.

Создание профиля сетевого устройства доступно в разделе Администрирование → Сетевые ресурсы на странице Профили устройств.

Добавление сетевого устройства

На данном шаге нужно описать NAS-устройство и параметры взаимодействия с ним.

Создание сетевого устройства доступно в разделе Администрирование → Сетевые ресурсы на странице Устройства.

• Секретный ключ (RADIUS secret) - ключ для взаимодействия с сетевым устройством по протоколу RADIUS. Должен совпадать с ключом, настроенным на самом устройстве.

Настройка политик сетевых устройств

Набор политик аутентификации и авторизации позволяет настроить различную обработку RADIUS-запросов от суппликантов в зависимости от указанных условий, и определять различные результаты аутентификации и авторизации.

Настроим простой набор политик с условием применения NAS-IP-Address = NAS IP устройства. 

Создание службы доступных протоколов доступно в разделе Политика → Наборы политик.

Создание набора политик аутентификации и авторизации 

Набор политик аутентификации и авторизации позволяет настроить различную обработку RADIUS-запросов от суппликантов в зависимости от указанных условий, и определять различные результаты аутентификации и авторизации.

Настроим простой набор политик с условием применения 

Создание службы доступных протоколов доступно в разделе Политика → Наборы политик.

Пример настроенной политики:

Мониторинг

В разделе Мониторинг →  RADIUS можно просматривать статистику по авторизациям на оборудовании:

На главной странице, можно добавить дашборды для отображения:

TACACS+

Настройка устройства на примере LTP-8N

Настройка аутентификатора заключается в базовой настройке aaa. Рассмотрим команды для настройки на примере LTP-8N.

1. Включить глобально aaa:

   LTP-8N# configure terminal LTP-8N(configure)# aaa LTP-8N(config)(aaa)# enable

2. Настроить взаимодействие с NAICE:

   LTP-8N(config)(aaa)# tacacs-server host <IP-адрес NAICE> key <TACACS secret>

3. Выберите метод аутентификации:

   LTP-8N(config)(aaa)# authentication tacacs+

4. Выберите метод авторизации:

   LTP-8N(config)(aaa)# authorization tacacs+

5. Выберите метод учета вводимых команд и метод учета начала и окончания CLI-сессий:
   

   LTP-8N(config)(aaa)# accounting tacacs+ start-stop commands

6. Задайте порт, используемый для обмена с сервером (при необходимости):
   

   LTP-8N(config)(aaa)# tacacs-server host <IP-адрес NAICE> key <TACACS secret> port <TACACS port>

Настройка NAICE

Добавление группы пользователей

Перейти в раздел Администрирование → Управление идентификацией → Группы пользователей сети. Добавить группу с названием "Администраторы TACACS":

Добавление пользователя во внутренний источник идентификации

Перейти в раздел Администрирование → Управление идентификацией → Пользователи сети. Добавить пользователя, указав его имя и пароль:

Настройка политик сетевых устройств

Перейти в раздел Контроль сетевых устройств → Политики сетевых устройств. После установки в наборе есть только одна политика по умолчанию Default. Её нельзя удалить и она всегда будет последней в списке политик.

В данной политике можно изменить или добавить политика аутентификации и авторизации, или же создать новую. Нажать в политике справа  и провалиться в политику.

Политика аутентификации по умолчанию используется цепочку Default sequence, в которую по умолчанию добавлен внутренний источник идентификации Internal DB.

В блоке "Политика авторизации" задать условие: "User identity·Identity Group Равно Администраторы TACACS" и нажать Использовать внизу в правой части окна. После этого модальное окно закроется, а условия появится в колонке Условия*.

Итоговая настройка будетвыглядеть так:

В итоге будет настроена политика авторизации, которая позволяет выполнять подключение с максимальным уровнем привилегий к сетевым устройствам пользователей из внутреннего источника идентификации, которые находятся в группе "Администраторы TACACS", и разрешает для них выполнение любой команды.

Теперь, после настройки aaa на OLT и настройки профиля оборудования и юзеров в NAICE, можно проводить авторизацию по заведённым локальным пользователям в NAICE в "Администраторах TACACS". 

Мониторинг

В разделе Мониторинг →  TACACS+ можно просматривать статистику по авторизациям на оборудовании:

И просматривать учет команд (accounting):

На главной странице, можно добавить дашборды для отображения: