F5-v10.1-远程管理认证-Radius
更新时间:2023-05-13 22:41:01 阅读量: 实用文档 文档下载
- F5V10启动盘制作推荐度:
- 相关推荐
F5-v10.1-远程管理认证-Radius
F5设备管理帐号远程认证、授权之Radius版
V10.1在管理帐号的集中统一验证授权方面有了很大的提高,本文介绍如何实现基于radius进行管理帐号认证及授权。
原理:
当用户登录时F5能够与radius服务器进行通信,得到radius对身份验证的结果(通过或不通过 失败等)。
如果身份验证失败,拒绝登陆,并在/var/log/secure,/var/log/aduit日志文件中记录失败信息 如果身份验证通过,则利用radius服务器返回的属性在本地查找对应匹配的remoterole,根据remoterole中的定义赋予用户console/user partition以及对应的role(即系统内置的guest,operator,manager等内置的role权限),同时记录相关日志
如果身份验证通过,但无法找到匹配的remoterole,那么使用配置radius时候所指定的“External Users”设置赋权---系统默认为no access,即默认情况下即使验证通过也禁止访问。
设置方法:
一、F5 部分设置
1. 点击system-users菜单进入下图,并点击change
,将验证位置改为 remote-radius
2.随后将出现如下界面:
F5-v10.1-远程管理认证-Radius
解释:
Server处填写radius服务器服务IP,如有多台则都填入,注意F5使用管理口IP与验证服务器通信
Secret 是用来加密密码的key,与radius服务器端设置的key相同
External users 部分配置缺省外部用户所用的role及shell的级别。注意不同版本的这部分关于shell的选项不同。10.0的版本不支持配置tmsh在这里,10.1即可。
3.至此,基本F5端配置完成,但是上述配置存在缺陷,即缺省所有外部用户都只能被赋予相同的role,显然实际工作中肯定有很多不同role的用户,因此必须实现不同的用户或用户组能有不同的role权限,方法有两种:
A.在F5的user中添加所有外部用户的用户名,并逐一为其设置各自的role。此方法的好处是radius服务器端不用考虑分组,radius服务器等于只负责验证,不负责授权,授权由本地来进行。
B.使用b remoterole 命令在F5上配置不同的用户组管理不同的role,F5
将在
radius服务器所返回的响应中查找是否存在匹配的attribute,如果查到匹配则分配对应的role
F5-v10.1-远程管理认证-Radius
本文只讲述B方法。具体的b remoterole如何设置见下文。
二、RADIUS服务器设置
不同的软件设置方法不同,本文以CISCO ACS 4.0为例。 1. Cisco acs 安装方法略
2. 检查service.msc 确保radius服务已启动 3. 点击左侧 Network configuration 在AAA clients中添加F5 :
Client ip填写F5 管理口地址
请注意key部分,填写与F5上一致的key。
点击 submit+apply 提交后,会自动回到
network configuration 主界面,在AAA servers 中添加一个AAA server 定义:
F5-v10.1-远程管理认证-Radius
一样需要注意KEY 部分,填写和F5端一致设置。 点击submit+apply 提交。 另外,在network configuration 中的 default proxy distribution tables中,要把当前的所有AAA
SERVER
都选择到 forwart to一栏中
F5-v10.1-远程管理认证-Radius
4. 设置用户组属性
点击左侧 Group setup,任意选择一个内置的组,
注意这里的组
1的名字已被我自定义,你可以使用缺省名.选择一个组后点编辑设置,出现下图:
F5-v10.1-远程管理认证-Radius
直接向下拉页面到radius setting部分,可以忽略其他所有设置,挑选属性18配置:
注意按上图设置,这里定义的就是为了让F5查找匹配一个remoterole的。 其他部分保持缺省,提交
group
设置。
6.添加用户
F5-v10.1-远程管理认证-Radius
点击左侧 user setup ,输入一个用户名,点add/edit:
注意不要勾选account disabled,上图中所有密码处设置你要的密码,全部一样即可,剩余部分保持缺省,提交配置。
至此,ACS部分配置完毕,开始调试。
小结:
1. F5启用了外部验证,不加密,设置了缺省的外部用户role及sh权限 (resource
administrator/bigpiple shell),没有设置额外的remoterole
2
. ACS设置不加密,配置了一个名为mycisco的用户,并设置了一个自定义属性
F5-v10.1-远程管理认证-Radius
三、调试
1. 尝试使用mycisco帐号登录ssh和web
Ssh登录得到上述效果,符合要求,自动进入b shell。
WEB登录,显示role 为 resource administrator ,符合要求。
2. 添加 remoterole 配置来override当前缺省的role,在命令行中输入如下命令:
[root@v10-1:Active] config # b remoterole role info myrole2 {attribute "Reply-Message=myf5" console "enable" deny "disable" line order 2 role "administrator" user partition "all"}Myrole, 定义的role名字
Reply-Message=myf5 这是在radius中设置的自定义attribute Console 部分指定shell级别 或禁用
Line order 用来排序配置在配置文件的顺序,F5顺序检查,查到第一个匹配即认为成功 Uer partition 指定用户管理域
命令配置完毕后,可以用 b remoterole list 显示:
[root@v10-1:Active] config # b remoterole list remoterole { role info { myrole {
attribute "f5-tacacs-group=test" console "tmsh"
F5-v10.1-远程管理认证-Radius
line order 1
role "administrator" user partition "all" }
myrole2 {
attribute "Reply-Message=myf5" console "enable" deny disable line order 2
role "administrator" user partition "all" } } }
命令结构:
bigpipe remoterole role info <user group> attribute (<string> | none) console \ (enable | disable) line order <number> role <user role> user partition \ (<string> | none)
3. 检查上述配置是否生效,仍然使用mycisco帐户登录,如果生效,此时应该拥有管理员
权限及 tmsh 的权限
成功!
F5-v10.1-远程管理认证-Radius
至此配置完成,测试成功。
附1:
查看TACACS+版 设置方法!
正在阅读:
2017南海教师:教师招聘备考之常见的几种感觉现象09-29
七年级历史上册背诵记忆清单01-12
S7-300 400 PLC编程设计与案例分析16-15部分05-30
药理题库01-03
2018年社区卫生服务站工作总结03-12
城市生态复习题 - 图文01-13
2017年数字媒体艺术专业实习报告原创06-06
- 教学能力大赛决赛获奖-教学实施报告-(完整图文版)
- 互联网+数据中心行业分析报告
- 2017上海杨浦区高三一模数学试题及答案
- 招商部差旅接待管理制度(4-25)
- 学生游玩安全注意事项
- 学生信息管理系统(文档模板供参考)
- 叉车门架有限元分析及系统设计
- 2014帮助残疾人志愿者服务情况记录
- 叶绿体中色素的提取和分离实验
- 中国食物成分表2020年最新权威完整改进版
- 推动国土资源领域生态文明建设
- 给水管道冲洗和消毒记录
- 计算机软件专业自我评价
- 高中数学必修1-5知识点归纳
- 2018-2022年中国第五代移动通信技术(5G)产业深度分析及发展前景研究报告发展趋势(目录)
- 生产车间巡查制度
- 2018版中国光热发电行业深度研究报告目录
- (通用)2019年中考数学总复习 第一章 第四节 数的开方与二次根式课件
- 2017_2018学年高中语文第二单元第4课说数课件粤教版
- 上市新药Lumateperone(卢美哌隆)合成检索总结报告
- 远程管理
- 认证
- Radius
- 10.1
- 精致的发型还可改变身高?.docx
- 影视后期:Maya房屋坍塌效果制作过程解析
- 典型生产安全事故案例汇编
- 八年级上册生物学学习与检测试题(附答案)济南版
- 公司文书档案管理制度doc
- 基于MSP430单片机指纹保险柜软件的实现 论文
- 2013-2014学年第一学期福安市期末初二政治质量检测
- 中国旅游地理教案第一章
- 2016创新创业基地建设实施方案 众创空间策划书
- 最新教科版四年级科学下册《岩石、沙和黏土》精品教案
- 全程安全管理在老年住院患者中的应用
- EPON技术原理_内部培训
- 非线性物理3-2(同步、锁模、湍流)
- 企业绩效考核与薪酬体系设计实战特训班(2013年)
- 大英博物馆的中国玉器
- 小学五年级英语下册现在进行时态练习题
- 商业银行IT部门信息风险的规避
- CA6140车床拨叉831006
- 400呼叫中心管理制度
- 单位工程竣工质量评估报告范本1