 |
| Topología |
Vamos a crear unos usuario y a configurar distintos permisos. Nos basaremos en la siguiente tabla:
USUARIO
|
CONTRASEÑA
|
PRIVILEGE
|
PARTICIÓN
|
MÉTODO ACCESO
|
Blanquito
|
a10
|
partition-write
|
BLANCO
|
axapi,cli,web
|
Compartido
|
a10c
|
read
|
SHARED
|
web
|
Negrito
|
a10n
|
partition-read
|
NEGRO
|
cli
|
Creamos al usuario "blanquito" y le damos el privilege (permiso) de lectura la partición
- admin blanquito
- privilege partition-write BLANCO
Nota: los usuarios a los que no les configuramos contraseña ni método de acceso, tendrán la contraseña por defecto, es decir, "a10" y podrán acceder desde los 3 métodos que existen (axapi,cli,web)
Creamos el usuario "compartido":
- admin compartido password a10c
- access web
Nota: si no le damos un privilege, por defecto se configura "read" en todas las particiones
Creamos el usuario "negrito":
- admin negrito
- password a10n - otra manera de configurar la contraseña
- privilege partition-read BLANCO
- privilege partition-read NEGRO
- access cli
Ahora vamos a crear usuarios a través del acceso Web:
USUARIO
|
CONTRASEÑA
|
PRIVILEGE
|
PARTICIÓN
|
MÉTODO ACCESO
|
Soporte1
|
123
|
write
|
SHARED
|
axapi,cli,web
|
Soporte2
|
123
|
partition-write
|
BLANCO
|
cli
|
Soporte3
|
123
|
partition-read
|
NEGRO
|
cli
|
Soporte4
|
123
|
partition-write
|
BLANCO/NEGRO
|
cli,web
|
Para crear los usuarios vamos a: system - admin - user.
Podemos ver los usuarios que hemos creado antes a través del CLI.
Le damos a CREATE y rellenamos los campos según la tabla:
 |
| Una vez completados los campos, le damos a CREATE. |
Par dar acceso a la partición SHARED hacemos click en "Global".
Creamos el resto de los usuarios de la tabla de arriba.
Una vez creados, hay que probar los permisos que hemos concedido. Nos conectamos por CLI y probamos los accesos. Probamos que los usuarios no pueden entrar por web, no pueden acceder a particiones para las que no tienen permisos, etc.
Para verificar los accesos podemos usar "show admin" y para cerrar sesiones de usuario usamos "clear admin session X".
CONFIGURACIÓN DE RBA (Role Based Access)
Aquí aprendemos a restringir el acceso a las funciones de los equipos A10.
Vamos a entrar al equipo con el usuario "blanquito" que configuramos antes:
Comprobamos que tenemos acceso a configurar la interface ve 31.
Ahora habilitamos RBA, creamos una cuenta para el usuario "blanquito" y le damos permisos para la partición BLANCO. Para ello entramos como "admin" y:
- rba enable
- rba user blanquito
- partition BLANCO
Vamos a restringirle el acceso a este usuario. Para ello escribimos:
- root no-access
Ahora intentamos configurar algo dentro de la interface ve 31 a la que anteriormente sí que teníamos acceso con el usuario "blanquito", es decir, iniciamos sesión con él:
 |
| No tenemos acceso a la interface ve 31 |
Vamos a darle exclusivamnete permisos a "blanquito" para que pueda configurar interfaces. Entramos como "admin" para hacerlo:
- rba user blanquito
- partition BLANCO
- interface write
Volvemos a entrar como "blanquito" y probamos si podemos configurar dentro de la interface ve 31.
 |
| Ahora ya puede configurar las interfaces |
Otra cosa que se puede hacer con RBA son los Roles. Consiste en crear una lista de instrucciones que son asignables a las cuentas. Son muy útiles cuando tenemos entornos complejos con muchos usuarios.
Vamos a crear un role para dar permisos para configurar SLB. Lo hacemos, obviamente, desde la cuenta de "admin".
- rba role configurar-slb
- root no-access
- slb write
Ahora entramos al equipo como "Soporte4". Comprobamos que podemos entrar en las interfaces ve de las dos particiones que tenemos: BLANCO y NEGRO.
Vamos a darle permisos al usuario Soporte4 solo para que pueda configurar SLB en la partición NEGRO.
- rba user Soporte4
- partition NEGRO
- role configurar-slb
Entramos como Soporte4 y probamos a configurar una interface ve. Vemos que podemos en la partición BLANCO, isn embargo, en la partición NEGRO nos deniega el acceso ya que solo le hemos dado permisos para configurar comandos correspondientes a SLB.
No hay comentarios:
Publicar un comentario