2024年6月11日发(作者:)

lin jing

F5设备管理帐号远程认证、授权之Radius版

V10.1在管理帐号的集中统一验证授权方面有了很大的提高,本文介绍如何实现基于radius

进行管理帐号认证及授权。

原理:

当用户登录时F5能够与radius服务器进行通信,得到radius对身份验证的结果(通过或不

通过 失败等)。

如果身份验证失败,拒绝登陆,并在/var/log/secure,/var/log/aduit日志文件中记录失败信息

如果身份验证通过,则利用radius服务器返回的属性在本地查找对应匹配的remoterole,根

据remoterole中的定义赋予用户console/user partition以及对应的role(即系统内置的

guest,operator,manager等内置的role权限),同时记录相关日志

如果身份验证通过,但无法找到匹配的remoterole,那么使用配置radius时候所指定的

“External Users”设置赋权---系统默认为no access,即默认情况下即使验证通过也禁止访问。

设置方法:

一、F5 部分设置

1. 点击system-users菜单进入下图,并点击change,将验证位置改为 remote-radius

2.随后将出现如下界面:

lin jing

解释:

Server处填写radius服务器服务IP,如有多台则都填入,注意F5使用管理口IP与验证服务

器通信

Secret 是用来加密密码的key,与radius服务器端设置的key相同

External users 部分配置缺省外部用户所用的role及shell的级别。注意不同版本的这部分关

于shell的选项不同。10.0的版本不支持配置tmsh在这里,10.1即可。

3.至此,基本F5端配置完成,但是上述配置存在缺陷,即缺省所有外部用户都只能被赋予

相同的role,显然实际工作中肯定有很多不同role的用户,因此必须实现不同的用户或用户

组能有不同的role权限,方法有两种:

A.在F5的user中添加所有外部用户的用户名,并逐一为其设置各自的role。此方法的好处

是radius服务器端不用考虑分组,radius服务器等于只负责验证,不负责授权,授权由本地

来进行。

B.使用b remoterole 命令在F5上配置不同的用户组管理不同的role,F5将在radius服务器

所返回的响应中查找是否存在匹配的attribute,如果查到匹配则分配对应的role