Benutzer-Werkzeuge

Webseiten-Werkzeuge


aos-r8-aaa-switch-mode-enhanced-radius

"aaa switch-access mode enhanced" und Radius in AOS R8.7

Im moment erstmal meine notizen

Vor einem Update auf AOS Release 8.6R2 oder 8.7R1 (mit dem Plan „aaa switch-access mode enhanced“ einzusetzen) ist es wichtig sich mit dem Kommando user config-mode-user password *** read-write all allow-config enable vertraut zu machen! Wenn man dies nicht beachtet, findet man sich in der Situation wieder die ich in diesem Artikel exemplarisch beschreibe!

Diese Ausgabe ist nur vollständig wenn man im AAA Enhanced modus ist, das ist etwas irritierend.

-> show user config-mode-user
Allowed-Configure = Enabled

Unvollständige Ausgabe bei AOS 8.7.280.R01 auf meinem OS6465-P6

-> show user admin
User name = admin,
  Password expiration     = None,
  Password allow to be modified date     = None,
  Account lockout     = None,
  Password bad attempts     = 0,
  Read Only for domains   = None,
  Read/Write for domains  = All ,
  Snmp allowed     = NO
  Console-Only    = Disabled

Sicherheitshalber sollte man daher versuchen einen weiteren Nutzer anzulegen und sich dann mit der Fehlermeldung zufriedengeben:

-> user config-mode-user password SicheresPasswort0815 read-write all allow-config enable
ERROR: Configure mode user already exist.

Wie schaltet man diese Funktion nun vollständig wieder aus?

-> aaa switch-access mode default
-> rm -f /flash/system/.aaaEnhancedMode.enable

Der OmniSwitch mit AOS 8.7R1 „weigert“ sich aus working zu laufen?

Die Ursache ist die fehlende „vcbootsha256sum“ Datei, die nicht erzeugt wurde da der Nutzer keine Berechtigung für „write memory“ hatte. Ergebnis ist dann dass der Switch neustartet und aus dem certified-Verzeichnis zurückkommt.

Erzeugen einer eigenen „vcbootsha256sum“ Folgendes ist unter der Annahme dass wir mit „working“ arbeiten wollen

-> su
VINDHYA #-> sha256sum /flash/working/vcboot.cfg | awk '{print $1}' > /flash/working/vcbootsha256sum
VINDHYA #-> chown admin:user /flash/working/vcbootsha256sum

Folgende Meldungen auf der seriellen Konsole zeigen dass alles in Ordnung ist mit AOS-Image und Konfiguration:

AOS image integrity check successful
+++ AOS config integrity check successful
Done
Preparing Flash...
Copyright (c) 1994-2014 Alcatel-Lucent. All Rights Reserved.
Copyright (c) ALE USA Inc., 2014-2020. All Rights Reserved.

AOS image integrity check successful

OS6465 login:
Thu Oct 8 14:05:27 : ChassisSupervisor Power Mgr INFO message:
+++ Power Supply 1 Inserted

Thu Oct 8 14:05:28 : ChassisSupervisor Power Mgr INFO message:
+++ Power Supply 1 Up
Sent SIGKILL to all processesing//vcbootsha256sum': No such file
Requesting system reboot
[ 91.722987] Restarting system.
[ 91.759598] CPU1: stopping
[ 91.792064] Emergency Remount complete
?7?

Nach dem Update auf AOS 8.7R1 mit dem „aaa switch-access mode enhanced“ kann man sich als „admin“ bei der nächsten Anmeldung erst einmal wundern.

aaa-Konfiguration:

-> show configuration snapshot aaa
! AAA:
aaa radius-server "freeradius" host 192.168.2.134 hash-key <hash-key> hash-salt <hash-salt> retransmit 3 timeout 2 auth-port 1812 acct-port 1813 vrf-name default 
aaa authentication default "local" 
aaa authentication console "local" 
aaa authentication ssh "freeradius" 
aaa switch-access mode enhanced

aaa tacacs command-authorization disable

nach der Anmeldung und versuch working/certified zu synchronisieren

BennyE@mbp ~ % ssh admin@192.168.2.174
Password: 
 ________  ________  ________           ________  ________     
|\   __  \|\   __  \|\   ____\         |\   __  \|\   __  \    
\ \  \|\  \ \  \|\  \ \  \___|_        \ \  \|\  \ \  \|\  \   
 \ \   __  \ \  \\\  \ \_____  \        \ \   _  _\ \   __  \  
  \ \  \ \  \ \  \\\  \|____|\  \        \ \  \\  \\ \  \|\  \ 
   \ \__\ \__\ \_______\____\_\  \        \ \__\\ _\\ \_______\
    \|__|\|__|\|_______|\_________\        \|__|\|__|\|_______|
                       \|_________|                            
						OmniSwitch 6465                                                               
-> 
-> show running-directory 

CONFIGURATION STATUS
  Running CMM              : MASTER-PRIMARY,
  CMM Mode                 : VIRTUAL-CHASSIS MONO CMM,
  Current CMM Slot         : CHASSIS-1 A,
  Running configuration    : WORKING,
  Certify/Restore Status   : CERTIFY NEEDED
SYNCHRONIZATION STATUS
  Running Configuration    : NOT SYNCHRONIZED

-> copy running certified flash-synchro 
ERROR: Authorization failed. No functional privileges for this command.

-> 
-> write memory flash-synchro 
ERROR: Authorization failed. No functional privileges for this command.

-> show microcode working 
   /flash/working
   Package           Release                 Size     Description
-----------------+-------------------------+---------+-----------------------------------
Nos.img           8.7.280.R01               219318748 Alcatel-Lucent OS

Ausgabe von freeradius -X

(14) Sent Access-Accept Id 1 from 192.168.2.134:1812 to 192.168.2.174:39464 length 0
(14)   Xylan-Asa-Access = "all"
(14)   Xylan-Acce-Priv-F-W1 = 0xffffffff
(14)   Xylan-Acce-Priv-F-W2 = 0xffffffff

Typische Radius-Konfiguration (es fehlen die Attribute 3 und 4)

benny@tiger:/usr/share/freeradius$ sudo vi /etc/freeradius/3.0/users

# ...
admin           Cleartext-Password := "SicheresPasswort0815"
                Xylan-Asa-Access = "all",
                Xylan-Acce-Priv-F-W1 = 0xFFFFFFFF,
                Xylan-Acce-Priv-F-W2 = 0xFFFFFFFF
# ...
aos-r8-aaa-switch-mode-enhanced-radius.txt · Zuletzt geändert: 2020/10/09 10:52 von benny