RBAC s ArubaOS-Switch (2) – vyzkoušejme si

V minulém díle jsme popsali funkční vlastnosti RBAC v ArubaOS-Switch. Dnes si dáme malý příklad.

RBAC politika

Vytvořme si si skupinu/roli s názvem cloudsvět. Nejprve zakážeme použití příkazu „show system“.

HP-2920-24G-PoEP(config)# aaa authorization group cloudsvet 1 match-command "command:show system" deny log

Dále chceme zakázat modifikování nastavení kolem LLDP protokolu, ale proti čtení nemáme nic.

HP-2920-24G-PoEP(config)# aaa authorization group cloudsvet 2 match-command "feature:wx:lldp" deny

Možnosti této skupiny co do portů chceme omezit pouze na prvních pět interfaců.

HP-2920-24G-PoEP(config)# aaa authorization group cloudsvet 3 match-command "policy:interface:1-5" permit

Všechno ostatní nechť je povoleno.

HP-2920-24G-PoEP(config)# aaa authorization group cloudsvet 4 match-command "command:.*" permit

Zapněme autorizaci a vytvořme nového lokálního uživatele v této skupině.

HP-2920-24G-PoEP(config)# aaa authorization commands local
HP-2920-24G-PoEP(config)# aaa authentication local-user "test" group "cloudsvet" password plaintext
New password for test: ****
Please retype new password for test: ****

Můžeme si vyzkoušet, že jsou naše nastavení v pořádku a také, že se loguje, co jsme zaznamenávat chtěli.

HP-2920-24G-PoEP# show system
Not authorized to execute this command.
HP-2920-24G-PoEP# show vlan

 Status and Counters - VLAN Information

  Maximum VLANs to support : 256
  Primary VLAN : DEFAULT_VLAN
  Management VLAN :

  VLAN ID Name                             | Status     Voice Jumbo
  ------- -------------------------------- + ---------- ----- -----
  1       DEFAULT_VLAN                     | Port-based No    No


HP-2920-24G-PoEP# conf
HP-2920-24G-PoEP(config)# int 6
Not authorized to execute this command.
HP-2920-24G-PoEP(config)# int 1
HP-2920-24G-PoEP(eth-1)# exit
HP-2920-24G-PoEP(config)# lldp run
Not authorized to execute this command.
HP-2920-24G-PoEP(config)# show lldp config

 LLDP Global Configuration

  LLDP Enabled [Yes] : Yes
  LLDP Transmit Interval    [30] : 30
...

HP-2920-24G-PoEP(config)# show log -r
 Keys:   W=Warning   I=Information
         M=Major     D=Debug E=Error
----  Reverse event Log listing: Events Since Boot  ----
W 01/01/90 00:18:55 00993 auth: Denied Command: user "test" command "show
            system".
...

Similar posts
  • ArubaOS-Switch 16.02: IP SLA i pro Ar... IP SLA Ve světě směrovačů už poměrně dlouho existuje možnost monitorovat dostupnost a kvalitu spojení s využitím L3 protokolů. Můžete například z pobočky v pravidelných intervalech testovat dostupnost brány datového centra nebo klíčového serveru včetně měření doby jeho reakce (round-trip-time). Dá se také namířit dva routery proti sobě tak, že jeden se ptá a druhý [...]
  • OpenSwitch a Ansible automatizace pra... Minule jsme napojili naši virtuální topologii na Ansible a spustili náš první testovací Playbook. Dnes provodeme automatizovanou konfiguraci L3 fabric a otestujeme síť. Příprava konfiguračních podkladů Pro zprovoznění L3 fabric potřebujeme Loopback adresu, IP adresy na jednotlivých spojeních mezi prvky a nastavení BGP (autonomní systémy, peering). V našem Ansible prostředí si vytvoříme jeden YAML soubor, [...]
  • OpenSwitch a Ansible automatizace pra... V minulém díle jsme si rozjeli Lead-Spine OpenSwitch topologii s využitím Dockeru a skript nám vygeneroval také hosts file pro Ansible. Dnes se vyzkoušíme napojení na Ansible 2.1. Příprava Ansible a vašeho VM První co potřebujeme udělat je nainstalovat Ansible minimálně ve verzi 2.1. Postup najdete zde: http://docs.ansible.com/ansible/intro_installation.html Dále vyřešíme nastavení SSH klienta v naší [...]
  • OpenSwitch a Ansible automatizace pra... Na stránkách netsvet.cz i cloudsvet.cz často píšeme o desired state konceptech v ovládání infrastruktury a o automatizaci. V tomto seriálu si ukážeme jak může vypadat moderní práce se sítí postavenou na OpenSwitch projektu, L3 BGP fabricu a Ansible automatizaci. Dnes začneme tím, že si sestavíme virtuální infrastrukturu. Jak získat Leaf-spine topologii několika OpenSwitchů? Pro testování [...]
  • HPE Networking na GitHub – skri... Zaměstnanci HPE publikovali zajímavé skripty a celé knihovny jako open source v licenci Apache2, tedy k volnému použití včetně jakýchkoli modifikací. https://github.com/HPENetworking/scriptsonly Obsah se bude jistě dost rozšiřovat… přidejte si záložku [...]

No Comments Yet

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *