Sie sind hier

HPE Switches - SSH mit RADIUS Authentifizierung

Dank TELNET und SSH ist es möglich, von der Ferne aus auf Netzwerkgeräte und Server aller Art und Hersteller zu zugreifen. Der Nachteil an dieser Hernagehensweise ist, dass, obwohl die Komponente möglicherweise aus dem Internet oder aus unauthorisierten Netzen erreichbar ist, Benutzernamen und Kennwörter lokal gespeichert sind. Dies ist unsicher und skaliert mit zunehmender Adminstratorenanzahl nicht sonderlich gut. Aus diesem Grund ist es möglich, eine Authentifizierung gegenüber einem RADIUS Server durchzuführen. Somit kann die Authentifizierung zentral an einem sicheren Ort im Netzwerk erfolgen und mit einem angehängten Verzeichnisdienst (z.B.: Microsoft Active Directory) ist auch eine einfache Verwaltung von vielen Benutzern möglich.

Die folgende Anleitung soll verdeutlichen, wie HPE Switches (Aruba, Comware 5, Comware 7) zu konfigurieren sind, um den SSH-Zugriff mittels eines RADIUS Servers zu autorisieren. Als RADIUS Server wird hier der Microsoft NPS (Netzwerkrichtlinienserver) mit angehängtem Active Directory verwendet.

 

Vorbereitungen

Bevor der SSH-Zugriff auf Switches im Allgemeinen via RADIUS abgesichert werden kann, muss der NPS entsprechend vorbereitet werden. Folgende Schritte sind im Vorfeld durchzuführen:

  1. RADIUS Clients anlegen
  2. Verbindungsanforderung definieren (optional)
  3. Netzwerkrichtlinie erstellen

 

Über das NPS-Menü unter "RADIUS-Clients und -Server" werden die Switches als Clients angelegt. Wichtig sind hier ein eindeutiger Name, sowie die IP-Adresse, von der die RADIUS-Anfrage gesendet wird, sowie einen gemeinsamen Schlüssel, der für die Bindung des RADIUS-Clients and den -Server verwendet werden soll.

Optional, das heißt, sofern nicht schon vorhanden, müssen entsprechende Verbindungsanforderungsrichtlinien (Connection Request Policies) angelegt werden, die dem RADIUS Server mitteilen, welche RADIUS Anfragen prozessiert werden sollen. In unserem Beispiel hier gestalten wir das Setup recht einfach. Das Netzwerk "192.168.1.0/24" soll unser Administrator-Netz sein. Die Administratoren sollen Zugriff auf die Switches bekommen. Somit legen wir eine neue Verbinungsanforderungsrichtlinie mit dem Namen "Management Access" an und legen die Client-IPv4-Adresse wie folgt fest: 192.168.1.*.

Abschließend zu den Vorbereitungen können nun die eigentlichen Netzwerkrichtlinien (Network Policies) erstellt werden. Für die Authentifizierung unseres SSH-Zugangs erstellen wir eine neue Richtlinie mit dem Namen "Login". Von nun an entscheidet der Switch-Typ über die weitere Konfiguration der Richtlinie:

  1. HPE Aruba
  2. HPE Comware (Version 5)
  3. HPE Comware (Version 7)

Die unterschiedlichen Einstellungen überschneiden sich nicht und können somit parallel innerhalb einer Richtlinie verwendet werden, um für alle drei Typen gleichzeitig zu gelten. Für die weitere Konfiguration wird generell die Netzwerkrichtlinie "Login" verwendet. Da wir uns in einer Microsoft Windows Umgebung befinden, wird mit Active Directory Benutzergruppen gearbeitet. Nachfolgend wird vorausgesetzt, dass eine Sicherheitsgruppe auf dem AD Server vorhanden ist, die diejenigen Benutzer beinhaltet, denen ein SSH-Zugriff gestattet werden soll.

 

 

HPE Aruba

Nach dem Anlegen der Richlinie und dem Vergeben des Namens, werden die Bedingungen hinterlegt, die gelten müssen, damit erfolgreich authentifiziert werden kann. In diesem Fall muss der Benutzer, welcher Zugriff verlangt, in der Gruppe "SSH-Users" sein und der Zugriff soll den NAS-Porttyp "Virtuell" besitzen. Der letzte Punkt ist spezifisch für Procurve/Aruba Switches und hilft lediglich bei der granularen Spezifizierung der Anforderung.

Nach der Spezifikation der Bedingungen folgt die Auswahl der Authentifizierungsmethoden. Bitte wählen Sie diese gemäß der Abbildung.

Um den Benutzer, der um SSH-Zugriff bittet, nun noch die Administratorberechtigungen auf dem Switch zu vergeben, muss unter den Einstellungen noch ein Eintrag in den RADIUS Attributen vorgenommen werden. In diesem Fall bearbeiten Sie den "Service-Type", aktivieren den Radio-Button "Andere" und wählen aus der Drop-Down-Liste das Attribut "Administrative" aus. Damit ist die Richtlinienerstellung abgeschlossen.

HPE Aruba Konfiguration (Auszug):

# Passwörter in der Konfiguration hinterlegen (optional)
include-credentials

# RADIUS Server auf dem Switch anlegen
radius-server host 192.168.1.201
radius-server key "ingentive"

# RADIUS Authentifizierung aktivieren
aaa authentication login privilege-mode
aaa authentication ssh login radius

# IP-Adresse vergeben
vlan 1
   name "DEFAULT_VLAN"
   untagged 1-10
   ip address 192.168.1.253 255.255.255.0
   exit

 

 

HPE Comware (Version 5)

Für HPE Comware Switches (Version 5) wird bei den Bedingungen, wie bereits bekannt, die zu authentifizierende Gruppe auf "SSH-Users" gesetzt. Zusätzlich wird bei der Übermittlung der RADIUS Anfrage an den Server von Seiten des Switches aus der Diensttyp "Login" übermittelt. Dieser kann ebenfalls bei den Bedingungen hinterlegt werden.

Für den Reiter "Einschränkungen - Authentifizierungsmethoden" gelten die selben EInstellungen wie für die HPE Aruba Switches.

Um den SSH-Benutzer ebenfalls den Administrator-Status zu geben (Privilege Level 3), muss auch bei Comware 5 ein zusätzliches Attribut übergeben werden. Dieses ist herstellerspezifisch und muss hinzugefügt werden. Wählen Sie für den Hersteller "Benutzerdefiniert" und wählen Sie als Attribut "Vendor-Specific".

Im sich öffnenden Fenster wählen Sie "Hinzufügen", worauf sich das oben gezeigte Fenster öffnet. Tragen Sie den Herstellercode 2011 ein, nachdem Sie den entsprechenden Radio-Button aktiviert haben. Wählen Sie "Ja, konform" an und drücken Sie auf "Attribut konfigurieren".

Nun können Sie ein RFC-konformes Herstellerattribut für Comware 5 Switches einpflegen. Tragen Sie die Werte gemäß der Abbildung ein und bestätigen Sie daraufhin alle Fenster mit "OK".

Abschließend erscheint das von Ihnen erstellte Attribut in den Einstellungen. Nun wird dem SSH-Benutzer das "Privilege Level 3" beim Anmelden zugewiesen. Über den Attributwert lassen sich die Administratorrechte anpassen (1, 2 = Operatorklassen). Damit ist die Richtlinienerstellung abgeschlossen.

HPE Comware 5 Konfiguration (Auszug):

# Anlegen der RADIUS Einstellungen
radius scheme ingentive
 primary authentication 192.168.1.201 key cipher $c$3$QrVnFn3MA/5iOJW3wjPcXRazEd1m6l29s39TOw==
 primary accounting 192.168.1.201 key cipher $c$3$UWPoiyH9kVE0oTHsDNtMB9xiT5ECtR1OwwqEtw==

# Domain, die die RADIUS Einstellungen verwendet
# Diese Domain mittels "domain default enable" als Standard definiert
domain ingentive.systest
 authentication login radius-scheme ingentive
 authorization login radius-scheme ingentive
 accounting login radius-scheme ingentive
 access-limit disable
 state active
 idle-cut disable
 self-service-url disable

# IP-Adresse vergeben
interface Vlan-interface1
 ip address 192.168.1.251 255.255.255.0

# Logische Interfaces auf Benutzer/Passwort-Authentifizierung umstellen
user-interface vty 0 15
 authentication-mode scheme
 protocol inbound ssh

# SSH Server aktivieren
 ssh server enable

 

 

HPE Comware (Version 7)

Die Unterschiede zwischen Comware 5 und Comware 7 liegen lediglich in der Übergabe der Administratorrechte an den Switch. Die Punkte "Bedingungen" und "Einschränkungen" können analog verwendet werden.

Auch bei Comare 7 muss für die Administratorberechtigungen ein herstellerspezifisches Attribut an den Switch weitergeleitet werden. Wählen Sie als Hersteller "Cisco" und als Attribut "Cisco-AV-Pair" aus und fügen Sie es hinzu.

Im sich öffnenden Fenster wählen Sie "Hinzufügen", worauf sich das oben gezeigte Fenster öffnet. Dort muss lediglich als Attributwert "shell:roles=network-admin" eingetragen werden. Danach können die Fenster der Reihe nach mit "OK" geschlossen werden.

Abschließend erscheint das neu definierte Attribut, welches dem SSH-Benutzer Administratorrechte auf dem Switch zuweist. Der Rollenname kann beliebig verändert werden, um die Rechte differenziert zu definieren. Damit ist die Richtlinienerstellung abgeschlossen.
HPE Comware 5 Konfiguration (Auszug):

# Anlegen der RADIUS Einstellungen
radius scheme ingentive
 primary authentication 192.168.1.201 key cipher $c$3$bfJfUJiYtlDQ2IvdoP+lNb8rvyQnkdagwf/I/g==
 primary accounting 192.168.1.201 key cipher $c$3$VFIPwDjH2m4An3hFCd8WKjDLYXjEnaxm5vofoQ==

# Domain, die die RADIUS Einstellungen verwendet
# Diese Domain mittels "domain default enable" als Standard definiert
domain ingentive.systest
 authentication login radius-scheme ingentive
 authorization login radius-scheme ingentive
 accounting login radius-scheme ingentive

# IP-Adresse vergeben
interface Vlan-interface1
 ip address 192.168.1.252 255.255.255.0

# Logische Interfaces auf Benutzer/Passwort-Authentifizierung umstellen
line vty 0 15
 authentication-mode scheme
 user-role network-operator
 protocol inbound ssh

# SSH Server aktivieren
 ssh server enable

 

Kommentare

Super, danke für die Anleitung in deutsch.

Super, Vielen Dank für die gute Anleitung!