Archiv für den Monat: August 2011

Userauthentifizierung gegen Radius – Alcatel

Nach Cisco und Fortigate jetzt noch die Kurzanleitung um Alcaltel Switche gegen Radius zu Authentifizieren.

Bei Alcatel Der einfache Adminzugang für einen Switch ist schnell erledigt, wie es mit Routern oder Firewalls aussieht behandle ich später (wenn ich dazu komme).

Bei Alcatel ist das ganze ein bisschen komplexer, die Userberechtigungen handlet man über Bitmasken ab, so kann man z.B. FTP zulassen, aber ssh verbieten. oder lesend per ssh erlauben, aber nicht per Telnet.

Hier lassen wir im Beispiel lesenden Zugriff nur per ssh zu.
Der schreibende Zugriff (aluadmin) darf überall drauf zugreifen.

Im Radiusserver hinterlegt man die entsprechenden User/Rückgabe Werte in /etc/freeradius/users:

"aluadmin" Cleartext-Password:= "aluadmin"
        Xylan-Asa-Access = all, 
        Xylan-Acce-Priv-F-W1 = 0xffffffff,
        Xylan-Acce-Priv-F-W2 = 0xffffffff,
"aluread" Cleartext-Password:= "aluread"
        Xylan-Asa-Access = all, 
        Xylan-Acce-Priv-F-R2 =  0xffffffff, 
        Xylan-Acce-Priv-F-R1 =  0xffffffff, 
        Xylan-Acce-Priv-F-W1 =  0x00000002,
        Xylan-Acce-Priv-F-W2 =  0x00000000,

Für den lesenden Zugriff ist komischerweise auch „schreibend“ auf ssh nötig.
Dies braucht man damit show Kommandos abgeschickt werden können.

Der schreibende Zugriff auf die einzelnen Abschnitte der Konfiguration muss separat freigeschaltet werden.
Die Bitmasken sind kann man sich über

show aaa priv hexa

anzeigen lassen.

->show aaa priv hexa
file            = 0x00000001 0x00000000,
ssh             = 0x00000002 0x00000000,
scp             = 0x00000004 0x00000000,
telnet          = 0x00000008 0x00000000,
ntp             = 0x00000010 0x00000000,
dshell          = 0x00000020 0x00000000,
debug           = 0x00000040 0x00000000,
..
[snip]

De folgende Nutzer hat read-only Zugriff nur auf „vlan“. Es ist dem Benutzer nicht möglich z.B. „show ip interface“ einzugeben.

"vlanread" Cleartext-Password:= "vlanread"
        Xylan-Asa-Access = "all", 
        Xylan-Acce-Priv-F-R1 = 0x10000000, 
        Xylan-Acce-Priv-F-R2 = 0x00000000, 
        Xylan-Acce-Priv-F-W1 = 0x00000002, 
        Xylan-Acce-Priv-F-W2 = 0x00000000 

Ein Dokumentation von Alcatel findet man z.B.
in diesem PDF auf Seite 8

Die Konfigurationen auf dem Switch sind in wenigen Zeilen erledigt (der Radiusserver muss vom Switch aus erreichbar sein -> IP Adressen Routing etc. muss stimmen ..)

!Falls Radiusserver tot ist es praktisch noch einen lokalen Account haben
user localadmin password Rettemich read-write all
! aaa aktivieren, primär radius fallback auf local
aaa radius-server "RadiusServer" host 172.16.1.32 key 12345678 
aaa authentication telnet "RadiusServer" "local" 
aaa authentication ssh "RadiusServer" local
aaa authentication console "RadiusServer" local

Man kann natürlich auch mit

aaa authentication default RadiusServer local

alles abfrühstücken

Das sollte es gewesen sein.

User Authentifizierung gegen Radius – Cisco

Nach dem die Fortigates schon gegen Radius Authentifizieren (Link)

Liegt es nahe das auch auf andere Geräte auszuweiten.

Cisco ist da auch ein Kandidat. Der einfache Adminzugang für einen Switch ist schnell erledigt, wie es mit Routern oder Firewalls aussieht behandle ich später (wenn ich dazu komme).

Im Radiusserver hinterlegt man die entsprechenden User/Rückgabe Werte in /etc/freeradius/users:

# nicht im Privilege Modus, enable noetig
"iosread" Cleartext-Password := "iosread"
        Service-Type = NAS-Prompt-User
# priv 15
"iosadmin" Cleartext-Password := "iosadmin"
        Service-Type = NAS-Prompt-User,
        cisco-avpair = "shell:priv-lvl=15"

Alternativ geht auch folgendes:

"catosadmin" Cleartext-Password := "catosadmin"
        Service-Type = Administrative-User

Das ist wenn ich mich recht erinnere für CatOS devices auch zwingend notwendig -funktioniert bei IOS praktischerweise auch.

Die Konfigurationen auf dem Switch sind in wenigen Zeilen erlegt:

!Falls Radiusserver tot ist einen lokalen Account haben
username localadmin privilege 15 secret Rettemich

! aaa aktivieren, primär radius fallback auf local
aaa new-model
aaa authentication login default group radius local
aaa authorization exec default group radius local

!Radiusserver:
radius-server host 172.16.1.32 auth-port 1812 acct-port 1813 key 12345678

Damit kann sich ein catosadmin oder iosadmin im priviledge Modus anmelden, ein iosread kommt in den unpriveligierten modus, darf ein paar „show“ Befehle. Für weitere Untaten muss er erst in den enable Modus.