Nach Cisco und Fortigate jetzt noch die Kurzanleitung um Alcaltel Switche gegen Radius zu Authentifizieren.<\/p>\n
Bei Alcatel Der einfache Adminzugang f\u00fcr einen Switch ist schnell erledigt, wie es mit Routern oder Firewalls aussieht behandle ich sp\u00e4ter (wenn ich dazu komme).<\/p>\n
Bei Alcatel ist das ganze ein bisschen komplexer, die Userberechtigungen handlet man \u00fcber Bitmasken ab, so kann man z.B. FTP zulassen, aber ssh verbieten. oder lesend per ssh erlauben, aber nicht per Telnet.<\/p>\n
Hier lassen wir im Beispiel lesenden Zugriff nur per ssh zu.
\nDer schreibende Zugriff (aluadmin) darf \u00fcberall drauf zugreifen.<\/p>\n
Im Radiusserver hinterlegt man die entsprechenden User\/R\u00fcckgabe Werte in \/etc\/freeradius\/users<\/em>:<\/p>\n F\u00fcr den lesenden Zugriff ist komischerweise auch „schreibend“ auf ssh n\u00f6tig. Der schreibende Zugriff auf die einzelnen Abschnitte der Konfiguration muss separat freigeschaltet werden. anzeigen lassen.<\/p>\n De folgende Nutzer hat read-only Zugriff nur auf \u201evlan\u201c. Es ist dem Benutzer nicht m\u00f6glich z.B. \u201eshow ip interface\u201c einzugeben. <\/p>\n Ein Dokumentation von Alcatel findet man z.B. Die Konfigurationen auf dem Switch sind in wenigen Zeilen erledigt (der Radiusserver muss vom Switch aus erreichbar sein -> IP Adressen Routing etc. muss stimmen ..)<\/p>\n Man kann nat\u00fcrlich auch mit <\/p>\n alles abfr\u00fchst\u00fccken<\/p>\n Das sollte es gewesen sein.<\/p>\n","protected":false},"excerpt":{"rendered":" Nach Cisco und Fortigate jetzt noch die Kurzanleitung um Alcaltel Switche gegen Radius zu Authentifizieren. Bei Alcatel Der einfache Adminzugang f\u00fcr einen Switch ist schnell erledigt, wie es mit Routern oder Firewalls aussieht behandle ich sp\u00e4ter (wenn ich dazu komme). Bei Alcatel ist das ganze ein bisschen komplexer, die Userberechtigungen handlet man \u00fcber Bitmasken ab, … Userauthentifizierung gegen Radius – Alcatel<\/span> weiterlesen<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7,9,12],"tags":[31,29,32],"class_list":["post-300","post","type-post","status-publish","format-standard","hentry","category-erfahrungen","category-erleuchtung","category-job","tag-alcatel","tag-radius","tag-switch"],"_links":{"self":[{"href":"https:\/\/janscholten.de\/blog\/wp-json\/wp\/v2\/posts\/300","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/janscholten.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/janscholten.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/janscholten.de\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/janscholten.de\/blog\/wp-json\/wp\/v2\/comments?post=300"}],"version-history":[{"count":4,"href":"https:\/\/janscholten.de\/blog\/wp-json\/wp\/v2\/posts\/300\/revisions"}],"predecessor-version":[{"id":304,"href":"https:\/\/janscholten.de\/blog\/wp-json\/wp\/v2\/posts\/300\/revisions\/304"}],"wp:attachment":[{"href":"https:\/\/janscholten.de\/blog\/wp-json\/wp\/v2\/media?parent=300"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/janscholten.de\/blog\/wp-json\/wp\/v2\/categories?post=300"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/janscholten.de\/blog\/wp-json\/wp\/v2\/tags?post=300"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}\r\n\"aluadmin\" Cleartext-Password:= \"aluadmin\"\r\n Xylan-Asa-Access = all, \r\n Xylan-Acce-Priv-F-W1 = 0xffffffff,\r\n Xylan-Acce-Priv-F-W2 = 0xffffffff,\r\n\"aluread\" Cleartext-Password:= \"aluread\"\r\n Xylan-Asa-Access = all, \r\n Xylan-Acce-Priv-F-R2 = 0xffffffff, \r\n Xylan-Acce-Priv-F-R1 = 0xffffffff, \r\n Xylan-Acce-Priv-F-W1 = 0x00000002,\r\n Xylan-Acce-Priv-F-W2 = 0x00000000,\r\n<\/pre>\n
\nDies braucht man damit show Kommandos abgeschickt werden k\u00f6nnen. <\/p>\n
\nDie Bitmasken sind kann man sich \u00fcber<\/p>\nshow aaa priv hexa<\/pre>\n
\r\n->show aaa priv hexa\r\nfile = 0x00000001 0x00000000,\r\nssh = 0x00000002 0x00000000,\r\nscp = 0x00000004 0x00000000,\r\ntelnet = 0x00000008 0x00000000,\r\nntp = 0x00000010 0x00000000,\r\ndshell = 0x00000020 0x00000000,\r\ndebug = 0x00000040 0x00000000,\r\n..\r\n[snip]\r\n<\/pre>\n
\"vlanread\" Cleartext-Password:= \"vlanread\"\r\n Xylan-Asa-Access = \"all\", \r\n Xylan-Acce-Priv-F-R1 = 0x10000000, \r\n Xylan-Acce-Priv-F-R2 = 0x00000000, \r\n Xylan-Acce-Priv-F-W1 = 0x00000002, \r\n Xylan-Acce-Priv-F-W2 = 0x00000000 \r\n<\/pre>\n
\nin diesem PDF auf Seite 8<\/a><\/p>\n\r\n!Falls Radiusserver tot ist es praktisch noch einen lokalen Account haben\r\nuser localadmin password Rettemich read-write all\r\n! aaa aktivieren, prim\u00e4r radius fallback auf local\r\naaa radius-server \"RadiusServer\" host 172.16.1.32 key 12345678 \r\naaa authentication telnet \"RadiusServer\" \"local\" \r\naaa authentication ssh \"RadiusServer\" local\r\naaa authentication console \"RadiusServer\" local\r\n<\/pre>\n
aaa authentication default RadiusServer local<\/pre>\n