В данной статье рассмотрен пример настройки системы контроля сетевого доступа Eltex NAICE (Network Access and Information Control Engine) для взаимодействия с OLT. Eltex NAICE является NAC-системой (network access control, система контроля доступа к сети), реализующей контроль доступа в корпоративную сеть на основании условий и политик доступа: аутентификации и авторизации пользователей сети и администраторов сетевого оборудования, регистрации событий доступа. Со стороны OLT реализована поддержка взаимодействия AAA по протоколам RADIUS и TACACS+.
Ознакомиться c системой и её возможностями можно по ссылке. Руководство по установке доступно в статье v0.9_NAICE.
Процедура настройки RADIUS и TACACS+ на OLT рассмотрена в статье [LTP-N, LTX, MA5160] Настройка AAA, поэтому в рамках данной статьи будет рассмотрена только настройка со стороны NAICE, а именно последовательность действий, которая позволяет настроить авторизацию пользователя из внутренней БД по политике, основанной на IP-адресе NAS-устройства.
Перед созданием самих пользователей, для их разграничения, можно создать группы, к которым они будут принадлежать. Для разграничения групп, можно использовать признак протокола доступа, например: Администраторы RADIUS и Администраторы TACACS+. Добавление группы пользователей доступно в разделе Администрирование → Управление идентификацией на странице Группы пользователей сети.
Окно добавления группы пользователей выглядит следующим образом.
После добавления группы, она будет отображена в списке групп пользователей:
Для прохождения процесса аутентификации клиенту требуется указать учетные данные пользователя. Предварительно этот пользователь должен быть добавлен в NAICE. Доступно создание пользователя в самой системе, а также интеграция с внешними источниками идентификации при помощи MS Active Directory или OpenLDAP. Ниже рассмотрено создание внутреннего пользователя. Добавление пользователя доступно в разделе Администрирование → Управление идентификацией на странице Пользователи сети. При необходимости один пользователь может быть отнесен к разным группам. Примеры создания пользователей:
Профиль сетевого устройства позволяет настроить параметры, общие для нескольких NAS-устройств. Далее при настройке устройств возможно указывать данный профиль. В общем случае целесообразно создавать данный профиль для устройств одного производителя или одной модели, однако это не строгое правило. Несколько профилей уже предустановлены в системе. Создание профиля сетевого устройства доступно в разделе Администрирование → Сетевые ресурсы на странице Профили устройств.
На данном шаге необходимо создать NAS-устройство (в нашем случае OLT), сформировать описание и настроить параметры взаимодействия с ним. Создание сетевого устройства доступно в разделе Администрирование → Сетевые ресурсы на вкладке Устройства.
Набор политик аутентификации и авторизации позволяет настроить различную обработку RADIUS/TACACS+ запросов от суппликантов в зависимости от указанных условий, и определять различные результаты аутентификации и авторизации. В качестве примера приведена настройка простого набора политик с условием применения NAS-IP-Address = NAS IP устройства. Создание службы доступных протоколов доступно в разделе Политика → Наборы политик.
Набор политик аутентификации и авторизации позволяет настроить различную обработку RADIUS-запросов от суппликантов (суппликант (supplicant) – оконечное сетевое оборудование, которое используется для подключения к сети через устройство-аутентификатор и проходит аутентификацию и авторизацию) в зависимости от указанных условий, и определять различные результаты аутентификации и авторизации. В качестве примера приведена настройка простого набора политик с условием применения. Создание наборов политик доступно в разделе Политика → Наборы политик.
В разделе Мониторинг → RADIUS можно просматривать статистику по авторизациям на оборудовании:
В разделе Мониторинг → TACACS+ также можно просматривать статистику по авторизациям на оборудовании:
Также доступен учет действий пользователей (accounting):
На главной странице, можно добавить различные варианты дашбордов для отображения.
Настройка NAICE
Перейти в раздел Администрирование → Управление идентификацией → Группы пользователей сети. Добавить группу с названием "Администраторы TACACS":
Перейти в раздел Администрирование → Управление идентификацией → Пользователи сети. Добавить пользователя, указав его имя и пароль:
Профиль устройства Eltex OLT и самое сетевое устройство OLT LTP-8N мы добавили ранее, при настройке RADIUS. Будем использовать его. |
Перейти в раздел Контроль сетевых устройств → Политики сетевых устройств. После установки в наборе есть только одна политика по умолчанию Default. Её нельзя удалить и она всегда будет последней в списке политик.
В данной политике можно изменить или добавить политика аутентификации и авторизации, или же создать новую. Нажать в политике справа 
и провалиться в политику.
Политика аутентификации по умолчанию используется цепочку Default sequence, в которую по умолчанию добавлен внутренний источник идентификации Internal DB.
В блоке "Политика авторизации" задать условие: "User identity·Identity Group Равно Администраторы TACACS" и нажать Использовать внизу в правой части окна. После этого модальное окно закроется, а условия появится в колонке Условия*.
Итоговая настройка будетвыглядеть так:
В итоге будет настроена политика авторизации, которая позволяет выполнять подключение с максимальным уровнем привилегий к сетевым устройствам пользователей из внутреннего источника идентификации, которые находятся в группе "Администраторы TACACS", и разрешает для них выполнение любой команды.
Теперь, после настройки aaa на OLT и настройки профиля оборудования и юзеров в NAICE, можно проводить авторизацию по заведённым локальным пользователям в NAICE в "Администраторах TACACS".