Foro en Español

Reply
New Contributor

Configuración AAA RBAC en Switches ArubaOS. Integración RBAC con Clearpass.

 

Por defecto hay creados en el equipos 16 grupos de autorización de usuarios de administracion, se pueden ver con este comando:

 

HP-Stack-2920(config)# show authorization group

 

Se pueden configurar mas grupos hasta un total de 64.

 

Dentro de cada grupo hay reglas que filtran lo que puede hacer el usuario por:

  • Comando
  • VLANES permitidas/denegadas
  • Interfaces permitidos/denegados
  • Funcionalidades del equipo que se pueden ver/ejecutar/cambiar (tipo: aaa, vlan, dhcp, radius,….)

 

Por ejemplo podemos modificar el grupo 2 para que el operador pueda modificar las vlanes 101-103 y ejecutar comandos show

 

aaa authorization group "Level-2" 1 match-command "command:^show *" permit

aaa authorization group "Level-2" 2 match-command "command:^configure$" permit

aaa authorization group "Level-2" 3 match-command "command:configure vlan" permit log

aaa authorization group "Level-2" 4 match-command "policy:vlan:101-103" permit log

 

HP-Stack-2920(config)# show authorization group

 

Group Name            : Level-2

  Group Privilege Level : 22

 

  Users

  ----------------

 

  Seq. Num.  | Permission Rule Expression                            Log

  ---------- + ---------- ------------------------------------------ -------

  1          | Permit     command:^show *                            Disable

  2          | Permit     command:^configure$                        Disable

  3          | Permit     command:configure vlan                     Enable

  4          | Permit     policy:vlan:101-103                        Enable

  999        | Deny       .*                                         Disable

 

Mas info sobre cómo definir los filtras en el capítulo RBAC de la security guide del equipo.

 

Se pueden crear usuarios locales asignados a grupos de autorización:

 

aaa authentication local-user "vicente" group "Level-15" password plaintext

aaa authentication local-user "vicente0" group "Level-0" password plaintext

 

Es necesario indicar que se haga autorización de comandos:

 

aaa authorization commands auto

 

Con este comando se indica que se haga autorización de comandos y que si es usuario se ha autenticado localmente se use la información de grupo local y si se ha autenticado por RADIUS se use la info de RADIUS para asignar el usuario al grupo.

 

La autenticación, autorización y accounting del acceso de administración del equipo se puede hacer via RADIUS:

 

HP-Stack-2920(config)# aaa authentication login privilege-mode

HP-Stack-2920(config)# aaa authentication ssh login radius server-group "RAD-TEST" local

HP-Stack-2920(config)# aaa authentication telnet login radius server-group "RAD-TEST" local

HP-Stack-2920(config)# aaa accounting update periodic 10
HP-Stack-2920(config)# aaa accounting commands interim-update radius server-group "RAD-TEST"

 

En este caso Clearpass debe indicar a qué grupo asignar al usuario. Esto se hace entregando el atributo HPE-Privilege-Level junto con el Service-type=6. El Privilege-Level de cada grupo se puede ver en la salida del comando “aaa authorization group”.

 

  Group Name            : Level-0

  Group Privilege Level : 20

 

  Users

  ----------------

  operator

 

  Seq. Num.  | Permission Rule Expression                            Log

  ---------- + ---------- ------------------------------------------ -------

  999        | Permit     command:ping *                             Disable

  1000       | Permit     command:ping6 *                            Disable

  1001       | Permit     command:traceroute *                       Disable

  1002       | Permit     command:traceroute6 *                      Disable

  1003       | Permit     command:ssh *                              Disable

  1004       | Permit     command:telnet *                           Disable

  1005       | Deny       .*                                        

 

 

CPPM RBAC 1.jpg

CPPM RBAC 2.jpg

CPPM RBAC 3.jpg

CPPM RBAC 4.jpg