Nach Cisco und Fortigate jetzt noch die Kurzanleitung um Alcaltel Switche gegen Radius zu Authentifizieren.
Bei Alcatel Der einfache Adminzugang für einen Switch ist schnell erledigt, wie es mit Routern oder Firewalls aussieht behandle ich später (wenn ich dazu komme).
Bei Alcatel ist das ganze ein bisschen komplexer, die Userberechtigungen handlet man über Bitmasken ab, so kann man z.B. FTP zulassen, aber ssh verbieten. oder lesend per ssh erlauben, aber nicht per Telnet.
Hier lassen wir im Beispiel lesenden Zugriff nur per ssh zu.
Der schreibende Zugriff (aluadmin) darf überall drauf zugreifen.
Im Radiusserver hinterlegt man die entsprechenden User/Rückgabe Werte in /etc/freeradius/users:
"aluadmin" Cleartext-Password:= "aluadmin" Xylan-Asa-Access = all, Xylan-Acce-Priv-F-W1 = 0xffffffff, Xylan-Acce-Priv-F-W2 = 0xffffffff, "aluread" Cleartext-Password:= "aluread" Xylan-Asa-Access = all, Xylan-Acce-Priv-F-R2 = 0xffffffff, Xylan-Acce-Priv-F-R1 = 0xffffffff, Xylan-Acce-Priv-F-W1 = 0x00000002, Xylan-Acce-Priv-F-W2 = 0x00000000,
Für den lesenden Zugriff ist komischerweise auch „schreibend“ auf ssh nötig.
Dies braucht man damit show Kommandos abgeschickt werden können.
Der schreibende Zugriff auf die einzelnen Abschnitte der Konfiguration muss separat freigeschaltet werden.
Die Bitmasken sind kann man sich über
show aaa priv hexa
anzeigen lassen.
->show aaa priv hexa file = 0x00000001 0x00000000, ssh = 0x00000002 0x00000000, scp = 0x00000004 0x00000000, telnet = 0x00000008 0x00000000, ntp = 0x00000010 0x00000000, dshell = 0x00000020 0x00000000, debug = 0x00000040 0x00000000, .. [snip]
De folgende Nutzer hat read-only Zugriff nur auf „vlan“. Es ist dem Benutzer nicht möglich z.B. „show ip interface“ einzugeben.
"vlanread" Cleartext-Password:= "vlanread" Xylan-Asa-Access = "all", Xylan-Acce-Priv-F-R1 = 0x10000000, Xylan-Acce-Priv-F-R2 = 0x00000000, Xylan-Acce-Priv-F-W1 = 0x00000002, Xylan-Acce-Priv-F-W2 = 0x00000000
Ein Dokumentation von Alcatel findet man z.B.
in diesem PDF auf Seite 8
Die Konfigurationen auf dem Switch sind in wenigen Zeilen erledigt (der Radiusserver muss vom Switch aus erreichbar sein -> IP Adressen Routing etc. muss stimmen ..)
!Falls Radiusserver tot ist es praktisch noch einen lokalen Account haben user localadmin password Rettemich read-write all ! aaa aktivieren, primär radius fallback auf local aaa radius-server "RadiusServer" host 172.16.1.32 key 12345678 aaa authentication telnet "RadiusServer" "local" aaa authentication ssh "RadiusServer" local aaa authentication console "RadiusServer" local
Man kann natürlich auch mit
aaa authentication default RadiusServer local
alles abfrühstücken
Das sollte es gewesen sein.