RBAC s ArubaOS-Switch (1) – jak funguje

ArubaOS-Switch verze 16 podporuje velmi modulární správu práv pro jednotlivé administrátory prvku i bez použití externích systémů jako je RADIUS nebo TACACS a hodí se tak i pro malé sítě. Dnes si představíme, jak je to vymyšlené a v další dílech si trochu pohrajme prakticky.

Proč RBAC?

Možná jste guru, který má celou síť pod palcem napojeným na paži, ve které to všechno je. Přesto potřebujete, aby občas někdo v prvku něco nastavil za vás. Možná je to nezkušený kolega, který má mít možnost přidat porty do VLAN pro tiskárny, ale neměl by vám vymazat nastavení směrovacích protokolů. Možná jste integrátor a chcete zákazníkovi vytvořit přístup, ve kterém může nastavovat přístupové porty, ale nedokáže změnit nastavení uplinků. A co když tohle všechno potřebujete tak, aby tato pravidla byla přímo součástí nastavení prvku a ten se nemusel nikde ptát? K tomu slouží RBAC v ArubaOS-Switch na prvcích 2920, 3800, 3810, 5400R/v2 a 5400R/v3.

RBAC architektura

Začněme obrázkem:

rbac

V prvku můžete vytvořit jednotlivé uživatelské účty a ty mapujete na role. Těch můžete mít maximálně 64 s tím, že 16 jich je předdefinovaných + jedna výchozí:

HP-2920-24G-PoEP(config)# show authorization group | include Name
  Group Name            : default-security-group
  Group Name            : Level-0
  Group Name            : Level-1
  Group Name            : Level-2
  Group Name            : Level-3
  Group Name            : Level-4
  Group Name            : Level-5
  Group Name            : Level-6
  Group Name            : Level-7
  Group Name            : Level-8
  Group Name            : Level-9
  Group Name            : Level-10
  Group Name            : Level-11
  Group Name            : Level-12
  Group Name            : Level-13
  Group Name            : Level-14
  Group Name            : Level-15

U každé role pak můžete mít až 1000 pravidel ve čtyřech kategoriích.

Command rules

První typ pravidla je textové zpracování příkazů včetně kontextu, tedy cesty k němu. Samotný příkaz může obsahovat některé RegEx symboly. Některé příkazy mohou mít stejné znění, ale konfigurují odlišné funkce v závislosti na konfiguračním kontextu. Například „disable“ shodí rozhraní, pokud jste v kontextu vlan nebo interface, ale v kontextu router rip vypne tento směrovací protokol. V takovém případě uvádějte cestu ke kontextu oddělenou středníky. Pokud chcete povolit vložení něčeho mezi dvě klíčová slova, použijte RegEx symbol .*

Například:

"command:configure;vlan;ip address"
"command:configure interface .* ip access-group"

Feature rules

Vypisovat všechny možné příkazy pro konkrétní funkci by znamenalo dost práce, proto jsou přímo v prvku připravené sady pravidel pro často používané funkce:

HP-2920-24G-PoEP(config)# show authorization feature
aaa                     AAA service related commands
access-list             IP access list related commands
arp                     ARP protocol related commands
cdp                     Cisco Discovery Protocol related commands
copy                    copy related commands
crypto                  Crypto related commands
dhcp                    dhcp releted commands
dldp                    dldp related commands
gvrp                    GVRP related commands
igmp                    IGMP related commands
interface               Interface related commands
ip                      IP related commands
ipv6                    IPv6 related commands
lldp                    lldp related commands
mac-access-list         MAC related commands
macsec                  MAC Security related commands
mesh                    mesh related commands
mirror                  Mirror diagnostic related commands
ping                    Network reachability test commands
policy                  classifier policy commands
port-security           Port security related commands
qos                     QoS related commands
radius                  Radius configuration and show commands
rate-limit              Rate limit related commands
redundancy              Redundancy management related commands
rmon                    RMON feature related commands
router                  Routing related Commands
sflow                   sFlow related commands
smartlink-group         smart-link group related commands
snmp                    SNMP related commands
sntp                    SNTP related commands
spanning-tree           Spanning Tree protocol related commands
ssh                     SSH related commands
syslog                  Syslog related commands
tacacs                  TACACS configuration and show commands
telnet                  Telnet related commands
terminal                Terminal related commands
tftp                    TFTP related commands
trunk                   Trunk related commands
vlan                    Virtual LAN related commands

Můžeme se podívat detailně co obsahují, například:

HP-2920-24G-PoEP(config)# show authorization feature detailed radius
radius                  Radius configuration and show commands
   (W) command:configure radius-server
   (R) command:show radius
   (R) command:show server-group radius
   (R) command:display radius

Kromě samotných příkazů tam jsou i práva v režimech R (čtení), W (zápis), X (spuštění – to se týká utilitek typu ping nebo traceroute).

VLAN policy

Častým požadavkem je omezit práva uživatele jen na konkrétní VLAN, například na uživatelské sítě se zákazem modifikace spojovaček nebo VLAN pro servery apod. To samozřejmě můžete vyřešit správnými RegEx v command policy, ale prvek vám to zjednodušuje možností přidat VLAN policy (ta samotná omezuje práci na konkrétní sadu VLAN, v které povoluje všechno – to ale lze kombinovat s dalšími politikami, které mohou zanést restrikce na funkce).

“policy:vlan:11-20,31-40” 

Interface policy

Podobně jako u VLAN je častým požadavkem omezit uživatele v portech, které může nastavovat. Typicky třeba na přístupové porty stanic, ale se zákazem modifikace uplinků nebo portů pro AP či kamerový systém.

“policy:interface:A2-A7,A11”

Smontujme to dohromady

Teď už můžete vytvořit novou roli a přiřadit ji naše politiky. Pak do role zasadíte lokální uživatele. To si vyzkoušíme v druhé části článku.

Similar posts
  • ArubaOS-Switch 16.02: IP SLA i pro Ar... IP SLA Ve světě směrovačů už poměrně dlouho existuje možnost monitorovat dostupnost a kvalitu spojení s využitím L3 protokolů. Můžete například z pobočky v pravidelných intervalech testovat dostupnost brány datového centra nebo klíčového serveru včetně měření doby jeho reakce (round-trip-time). Dá se také namířit dva routery proti sobě tak, že jeden se ptá a druhý [...]
  • OpenSwitch a Ansible automatizace pra... Minule jsme napojili naši virtuální topologii na Ansible a spustili náš první testovací Playbook. Dnes provodeme automatizovanou konfiguraci L3 fabric a otestujeme síť. Příprava konfiguračních podkladů Pro zprovoznění L3 fabric potřebujeme Loopback adresu, IP adresy na jednotlivých spojeních mezi prvky a nastavení BGP (autonomní systémy, peering). V našem Ansible prostředí si vytvoříme jeden YAML soubor, [...]
  • OpenSwitch a Ansible automatizace pra... V minulém díle jsme si rozjeli Lead-Spine OpenSwitch topologii s využitím Dockeru a skript nám vygeneroval také hosts file pro Ansible. Dnes se vyzkoušíme napojení na Ansible 2.1. Příprava Ansible a vašeho VM První co potřebujeme udělat je nainstalovat Ansible minimálně ve verzi 2.1. Postup najdete zde: http://docs.ansible.com/ansible/intro_installation.html Dále vyřešíme nastavení SSH klienta v naší [...]
  • OpenSwitch a Ansible automatizace pra... Na stránkách netsvet.cz i cloudsvet.cz často píšeme o desired state konceptech v ovládání infrastruktury a o automatizaci. V tomto seriálu si ukážeme jak může vypadat moderní práce se sítí postavenou na OpenSwitch projektu, L3 BGP fabricu a Ansible automatizaci. Dnes začneme tím, že si sestavíme virtuální infrastrukturu. Jak získat Leaf-spine topologii několika OpenSwitchů? Pro testování [...]
  • HPE Networking na GitHub – skri... Zaměstnanci HPE publikovali zajímavé skripty a celé knihovny jako open source v licenci Apache2, tedy k volnému použití včetně jakýchkoli modifikací. https://github.com/HPENetworking/scriptsonly Obsah se bude jistě dost rozšiřovat… přidejte si záložku [...]

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *