Contact Us
Taiwan, China
Search

Please Rate this Document

How to configure AAA to assign different privileges for radius users to login on Omada Switch

Knowledgebase
FAQ
AAA
Radius
Privilege
Access
Add BookmarkCopy Link
2024-07-25

內容

目標

要求

介紹

設定

驗證

結論

FAQ

 

目標

這篇文章詳細描述如何設定在獨立模式下使用的 Omada 交換器,讓透過 HTTP、SSH、Telnet 或 Console 登入的使用者使用 RADIUS 驗證方式。並以 FreeRADIUS 為例,介紹如何在 RADIUS 伺服器上設定不同的存取特權等級給這些使用者。

要求

  • Omada 交換器(L3/L2+ 交換器、智慧型交換器)
  • FreeRADIUS

介紹

對於沒有控制器管理的 Omada 交換器,透過 HTTP/SSH/Telnet/Console 來存取設備的使用者名稱和密碼預設儲存在設備本地,即設備自行對存取的使用者進行驗證。滿足不同類型客戶、不同應用場景的實際設定需求,Omada 交換器支援將透過 HTTP/SSH/Telnet/Console 存取它的使用者的驗證方式設定為 RADIUS,並且還允許在 RADIUS 伺服器中為這些使用者指派不同的存取權限。此外,Omada 交換器還可以支援設定特權密碼,讓非管理員權限的使用者(此權限指 FreeRADIUS 中的 Administrative-User)將目前權限提升至管理員權限。

您可以在實際應用場景中依據自己的需求設定該功能。本文在 CentOS 系統上安裝 FreeRADIUS 作為 Radius Server,介紹如何在 FreeRADIUS 中建立 4 個不同權限等級的 4 個用戶,限制僅能透過 SSH 來存取 Omada 交換器的權限。

  • CentOS 版本:centos-release-7-5.1804.el7.centos.×86_64
  • FreeRADIUS 版本:FreeRADIUS Version 3.0.13

說明:請前往 建立 FreeRADIUS 說明 並按照官方說明下載並安裝 FreeRADIUS。

設定

步驟 1. 在 FreeRADIUS 中建立多個擁有不同權限的用戶

開啟安裝了 FreeRADIUS 的 Centos 系統,進入 CLI,編輯並儲存 users 檔案,新增 4 個不同存取權限等級的用戶,如下圖所示。

 

上圖中,user001、poweruser001、operator001、admin001 為自訂使用者名稱;tthisisuser、thisispoweruser、thisisoperator 、thisisadmin 是這四個使用者的密碼;Login-UserFramed-UserOutbound-UserAdministrative-User 分別是授予這四個使用者的存取權限。目前,Omada 交換器僅支援 FreeRADIUS 中使用者設定這四種權限。enable123 是自訂的提升為特權權限之密碼,當使用非 Administrative-User 用戶存取交換器時可以輸入此密碼將目前使用者的權限提升為 Administrative-User 用戶

  • Login-User:使用者可以查看功能設定,但沒有修改權限。
  • Framed-User:用戶可以查看和修改有限的功能設定。
  • Outbound-User:使用者可以查看和修改大多數功能設定。
  • Administrative-User:使用者可以查看和修改所有功能設定。

步驟 2. 重新啟動 FreeRADIUS

編輯並儲存 users 檔案後,在 CLI 中執行下列兩個指令重新啟動 FreeRADIUS,使設定生效:

service radiusd stop

radiusd –X

說明:此步驟中需要輸入的特定 CLI 命令會因您要安裝的 Linux 系統而異。上述兩條指令僅適用於本文的設定環境。

步驟 3. 透過在瀏覽器中輸入 Omada 交換器的 IP 位址登入 Omada 交換器,前往 SECURITY > Access Security > SSH Config 來啟用 SSH 和設定 Port,然後點擊 Apply 按鈕。

步驟 4. 前往 SECURITY > AAA > RADIUS Config 然後點擊 Add,然後設定 RADIUS Server,如下圖所示,本步驟各參數說明如下:

  • Server IP:安裝 FreeRADIUS 的主機的 IP 位址。
  • Shared Key:FreeRADIUS 中的 clients.conf 檔案中自訂的金鑰字串,RADIUS 伺服器和交換器使用該金鑰字串來加密密碼和交換回應。
  • Authentication Port:RADIUS 伺服器上用於驗證請求的 UDP 目的埠。預設為 1812。
  • Accounting PortRADIUS 伺服器用於帳戶記錄請求的 UDP 目的埠。預設設定為1813。通常在 802.1X 功能中使用,這篇文章不需要設定這個設定。
  • Retransmit:如果伺服器沒有回應,則向伺服器重新發送請求的次數。
  • Timeout:交換器在重新發送之前等待伺服器回覆的時間間隔。
  • NAS Identifier:NAS(網路存取伺服器)的名稱包含在 RADIUS 封包中以供辨識。它的範圍可以是 1 到 31 個字元。預設值為交換器的 MAC 位址。一般情況下,NAS 指的是交換器本身,本文無需對其進行設定。

步驟 5. 前往 SECURITY > AAA > Server Group 接著點擊 Add,然後設定 Server Group,如下圖所示。本步驟各參數說明如下:

  • Server Group:指定伺服器群組的名稱。
  • Server Type:選擇群組的伺服器類型。
  • Server IP:選擇上一步驟建立的伺服器的 IP 位址。如果伺服器群組中新增了多台伺服器,則最先新增至群組中的伺服器擁有最高優先權,並對嘗試存取交換器的使用者進行身份驗證,其他伺服器則作為備援伺服器,來防止第一台伺服器發生故障。

筆記:在此設定中,請務必選擇 Server Type 為 RADIUS。

步驟 6. 前往 SECURITY > AAA > Method ConfigAuthentication Login Method 清單和 Authentication Enable Method Config 清單中點擊 Add,接著進行設定,本次設定步驟中各參數的說明如下:

  • Method list Name:method 的自訂名稱。
  • Pri1-Pri4:驗證 method 按順序排列。Pri1 的 method 首先對使用者進行身份驗證,如果前一個 method 沒有回應,則嘗試 Pri2 的方式,依此類推。在我的設定中,我將選擇我自己在 Pri1 中建立的伺服器群組。
    • Local:交換器本地資料庫用於身份驗證。
    • None:不使用任何身份驗證。
    • Radius:用於身份驗證的遠端 RADIUS 伺服器/伺服器群組。
    • Tacacs:遠端 TACACS+
    • Other user-defined server groups:上一個步驟建立的用於驗證的自訂伺服器群組

注意:Local/None/Radius/Tacacs 是四種內建驗證模式。

Method List 描述了對使用者進行身份驗證的身份驗證方式及其順序。交換器支援登入 Method List,讓所有類型的使用者取得交換器的存取權限,並支援啟用 Method List,讓非管理員使用者取得管理權限。您可以在此頁面上編輯 default method 或新增 method。

 

步驟 7. 前往 SECURITY > AAA > Global Config,依據需要選擇 access 方式,並選擇上一步設定的 Login Method 和 Enable Method,然後點擊右上角的 Apply 和 Save 按鈕。至此,設定完成。

驗證

步驟 1. 在與交換器同一個區域網路的 PC 上開啟 Putty 等等 SSH 連線工具,在 Host Name(or IP address)和通訊埠中分別輸入交換器的 IP 和 SSH 埠號,選擇 Connection Type SSH,然後按一下 Open 按鈕。

步驟 2. 在彈出的終端機中輸入使用者名稱及其密碼。這裡使用擁有 Login-User 權限的使用者(使用者名稱和密碼分別為 user001 和 thisisuser)為範例,驗證設定是否可以正常生效。現在我們可以成功進入使用者 EXEC 模式了。

步驟 3. 輸入 enable 進入特權 EXEC 模式。

步驟 4. 輸入 configure 進入全域設定模式,出現「Error: Bad Command」提示訊息,表示目前使用者的權限確實是 Login-User

步驟 5. 輸入 enable-admin 和密碼(在此設定中為 enable123)提升權限來取得 Administrative-User 特權權限。

說明:為了提高安全性,此處輸入的密碼不會顯示在終端機中。

步驟 6. 再次輸入 configure,事實證明,我們成功進入了全域設定模式。透過輸入 ?,可以發現此時我們可以設定所有的功能和模組。

至此,我們已經成功驗證了先前在交換器和 FreeRADIUS 上的設定是正確且有效的。同樣,您也可以使用 SSH 與其他幾個不同權限等級的使用者一起存取交換器,來驗證其有效性。

結論

至此,我們就完成了該功能的整個設定和驗證。我們可以使用不同權限等級的使用者並透過各種存取方式(HTTP/Telnet/SSH/Console)存取我們的交換器。

要了解各項功能和設定的更多詳細資訊,請前往 檔案下載 下載您的產品的手冊。

FAQ

有多少種方式可以存取 Omada 交換器?都是適用本文章的設定流程嗎?

回覆:存取方式最多有 4 種,分別是 HTTP/Telnet/SSH/Console,但由於部分機型沒有 Console 埠,只能透過 HTTP/Telnet/SSH 存取。只要交換器支援的存取方式,都適用於本文章的設定流程。

Related Documents

如何在交換器上透過 TACACS+ Server 取得 AAA 驗證

Document
11-22-2021
0

不同 RADIUS 伺服器設定的 PPSK 功能設定指南

Document
05-30-2024
1

如何使用Omada路由器搭配L2交換器設定不同網段給不同設備使用?

Document
: router
stick
L2 switch
06-24-2022
0

透過 RADIUS 的 VLAN Assignment 設定動態 VLAN

Document
assignment
dynamic
radius
04-23-2023
1

故障排除:如果我忘記了 Omada 交換器的登入使用者名稱或密碼,該怎麼辦?

Document
10-17-2024
0

訂閱TP-Link認真對待您的隱私。 有關TP-Link隱私慣例的更多詳細信息,請參閱TP-Link的隱私政策

關注我們

關於
新聞中心
購買地點
夥伴
學習中心
TP-Link Omada Omada Pro VIGI
台灣地區 / 繁體中文

This website uses cookies to improve website navigation, analyze online activities and have the best possible user experience on our website. You can object to the use of cookies at any time. You can find more information in our privacy policy . Don’t show again

This website uses cookies to improve website navigation, analyze online activities and have the best possible user experience on our website. You can object to the use of cookies at any time. You can find more information in our privacy policy . Don’t show again

Basic Cookies

These cookies are necessary for the website to function and cannot be deactivated in your systems.

TP-Link

accepted_local_switcher, tp_privacy_base, tp_privacy_marketing, tp_smb-select-product_scence, tp_smb-select-product_scenceSimple, tp_smb-select-product_userChoice, tp_smb-select-product_userChoiceSimple, tp_smb-select-product_userInfo, tp_smb-select-product_userInfoSimple, tp_top-banner, tp_popup-bottom, tp_popup-center, tp_popup-right-middle, tp_popup-right-bottom, tp_productCategoryType

Livechat

__livechat, __lc2_cid, __lc2_cst, __lc_cid, __lc_cst, CASID

Youtube

id, VISITOR_INFO1_LIVE, LOGIN_INFO, SIDCC, SAPISID, APISID, SSID, SID, YSC, __Secure-1PSID, __Secure-1PAPISID, __Secure-1PSIDCC, __Secure-3PSID, __Secure-3PAPISID, __Secure-3PSIDCC, 1P_JAR, AEC, NID, OTZ

Analysis and Marketing Cookies

Analysis cookies enable us to analyze your activities on our website in order to improve and adapt the functionality of our website.

The marketing cookies can be set through our website by our advertising partners in order to create a profile of your interests and to show you relevant advertisements on other websites.

Google Analytics & Google Tag Manager

_gid, _ga_<container-id>, _ga, _gat_gtag_<container-id>

Google Ads & DoubleClick

test_cookie, _gcl_au

Meta Pixel

_fbp

Crazy Egg

cebsp_, _ce.s, _ce.clock_data, _ce.clock_event, cebs

Hotjar

OptanonConsent, _sctr, _cs_s, _hjFirstSeen, _hjAbsoluteSessionInProgress, _hjSessionUser_14, _fbp, ajs_anonymous_id, _hjSessionUser_<hotjar-id>, _uetsid, _schn, _uetvid, NEXT_LOCALE, _hjSession_14, _hjid, _cs_c, _scid, _hjAbsoluteSessionInProgress, _cs_id, _gcl_au, _ga, _gid, _hjIncludedInPageviewSample, _hjSession_<hotjar-id>, _hjIncludedInSessionSample_<hotjar-id>

Linkedin

lidc, AnalyticsSyncHistory, UserMatchHistory, bcookie, li_sugr, ln_or