F5-v10.1-远程管理认证-Radius

F5-v10.1-远程管理认证-Radius

F5设备管理帐号远程认证、授权之Radius版

V10.1在管理帐号的集中统一验证授权方面有了很大的提高，本文介绍如何实现基于radius进行管理帐号认证及授权。

原理：

当用户登录时F5能够与radius服务器进行通信，得到radius对身份验证的结果（通过或不通过 失败等）。

如果身份验证失败，拒绝登陆，并在/var/log/secure,/var/log/aduit日志文件中记录失败信息 如果身份验证通过，则利用radius服务器返回的属性在本地查找对应匹配的remoterole，根据remoterole中的定义赋予用户console/user partition以及对应的role（即系统内置的guest,operator,manager等内置的role权限），同时记录相关日志

如果身份验证通过，但无法找到匹配的remoterole，那么使用配置radius时候所指定的“External Users”设置赋权---系统默认为no access，即默认情况下即使验证通过也禁止访问。

设置方法：

一、F5 部分设置

1． 点击system-users菜单进入下图，并点击change

，将验证位置改为 remote-radius

2.随后将出现如下界面：

F5-v10.1-远程管理认证-Radius

解释：

Server处填写radius服务器服务IP，如有多台则都填入，注意F5使用管理口IP与验证服务器通信

Secret 是用来加密密码的key，与radius服务器端设置的key相同

External users 部分配置缺省外部用户所用的role及shell的级别。注意不同版本的这部分关于shell的选项不同。10.0的版本不支持配置tmsh在这里，10.1即可。

3．至此，基本F5端配置完成，但是上述配置存在缺陷，即缺省所有外部用户都只能被赋予相同的role，显然实际工作中肯定有很多不同role的用户，因此必须实现不同的用户或用户组能有不同的role权限，方法有两种：

A.在F5的user中添加所有外部用户的用户名，并逐一为其设置各自的role。此方法的好处是radius服务器端不用考虑分组，radius服务器等于只负责验证，不负责授权，授权由本地来进行。

B.使用b remoterole 命令在F5上配置不同的用户组管理不同的role，F5

将在

radius服务器所返回的响应中查找是否存在匹配的attribute，如果查到匹配则分配对应的role

F5-v10.1-远程管理认证-Radius

本文只讲述B方法。具体的b remoterole如何设置见下文。

二、RADIUS服务器设置

不同的软件设置方法不同，本文以CISCO ACS 4.0为例。 1． Cisco acs 安装方法略

2． 检查service.msc 确保radius服务已启动 3． 点击左侧 Network configuration 在AAA clients中添加F5 ：

Client ip填写F5 管理口地址

请注意key部分，填写与F5上一致的key。

点击 submit+apply 提交后，会自动回到

network configuration 主界面，在AAA servers 中添加一个AAA server 定义:

F5-v10.1-远程管理认证-Radius

一样需要注意KEY 部分，填写和F5端一致设置。 点击submit+apply 提交。 另外，在network configuration 中的 default proxy distribution tables中，要把当前的所有AAA

SERVER

都选择到 forwart to一栏中

F5-v10.1-远程管理认证-Radius

4． 设置用户组属性

点击左侧 Group setup，任意选择一个内置的组，

注意这里的组

1的名字已被我自定义，你可以使用缺省名.选择一个组后点编辑设置，出现下图：

F5-v10.1-远程管理认证-Radius

直接向下拉页面到radius setting部分，可以忽略其他所有设置，挑选属性18配置：

注意按上图设置，这里定义的就是为了让F5查找匹配一个remoterole的。 其他部分保持缺省，提交

group

设置。

6.添加用户

F5-v10.1-远程管理认证-Radius

点击左侧 user setup ，输入一个用户名，点add/edit:

注意不要勾选account disabled，上图中所有密码处设置你要的密码，全部一样即可，剩余部分保持缺省，提交配置。

至此,ACS部分配置完毕，开始调试。

小结：

1． F5启用了外部验证，不加密，设置了缺省的外部用户role及sh权限 （resource

administrator/bigpiple shell），没有设置额外的remoterole

2

． ACS设置不加密，配置了一个名为mycisco的用户，并设置了一个自定义属性

F5-v10.1-远程管理认证-Radius

三、调试

1． 尝试使用mycisco帐号登录ssh和web

Ssh登录得到上述效果,符合要求，自动进入b shell。

WEB登录，显示role 为 resource administrator ，符合要求。

2． 添加 remoterole 配置来override当前缺省的role，在命令行中输入如下命令：

[root@v10-1:Active] config # b remoterole role info myrole2 {attribute "Reply-Message=myf5" console "enable" deny "disable" line order 2 role "administrator" user partition "all"}Myrole, 定义的role名字

Reply-Message=myf5 这是在radius中设置的自定义attribute Console 部分指定shell级别 或禁用

Line order 用来排序配置在配置文件的顺序，F5顺序检查，查到第一个匹配即认为成功 Uer partition 指定用户管理域

命令配置完毕后，可以用 b remoterole list 显示：

[root@v10-1:Active] config # b remoterole list remoterole { role info { myrole {

attribute "f5-tacacs-group=test" console "tmsh"

F5-v10.1-远程管理认证-Radius

line order 1

role "administrator" user partition "all" }

myrole2 {

attribute "Reply-Message=myf5" console "enable" deny disable line order 2

role "administrator" user partition "all" } } }

命令结构：

bigpipe remoterole role info <user group> attribute (<string> | none) console \ (enable | disable) line order <number> role <user role> user partition \ (<string> | none)

3． 检查上述配置是否生效，仍然使用mycisco帐户登录，如果生效，此时应该拥有管理员

权限及 tmsh 的权限

成功！

F5-v10.1-远程管理认证-Radius

至此配置完成，测试成功。

附1：

查看TACACS+版 设置方法！

本文来源：https://www.bwwdw.com/article/u07e.html