barra de menu

miércoles, 6 de noviembre de 2019

A10 - ROLES - LABORATORIO


Topología




 Vamos a crear unos usuario y a configurar distintos permisos. Nos basaremos en la siguiente tabla:


USUARIO
CONTRASEÑA
PRIVILEGE
PARTICIÓN
MÉTODO ACCESO
Blanquito
a10
partition-write
BLANCO
axapi,cli,web
Compartido
a10c
read
SHARED
web
Negrito
a10n
partition-read
NEGRO
cli


Creamos al usuario "blanquito" y le damos el privilege (permiso) de lectura la partición
  • admin blanquito
  • privilege partition-write BLANCO



Nota: los usuarios a los que no les configuramos contraseña ni método de acceso, tendrán la contraseña por defecto, es decir, "a10" y podrán acceder desde los 3 métodos que existen (axapi,cli,web)


Creamos el usuario "compartido":
  • admin compartido password a10c
  • access web

Nota: si no le damos un privilege, por defecto se configura "read" en todas las particiones


Creamos el usuario "negrito":
  • admin negrito
  • password a10n - otra manera de configurar la contraseña
  • privilege partition-read BLANCO
  • privilege partition-read NEGRO
  • access cli




Ahora vamos a crear usuarios a través del acceso Web:

USUARIO
CONTRASEÑA
PRIVILEGE
PARTICIÓN
MÉTODO ACCESO
Soporte1
123
write
SHARED
axapi,cli,web
Soporte2
123
partition-write
BLANCO
cli
Soporte3
123
partition-read
NEGRO
cli
Soporte4
123
partition-write
BLANCO/NEGRO
cli,web


Para crear los usuarios vamos a: system - admin - user.

Podemos ver los usuarios que hemos creado antes a través del CLI.

Le damos a CREATE y rellenamos los campos según la tabla:


Una vez completados los campos, le damos a CREATE.

Par dar acceso a la partición SHARED hacemos click en "Global".

Creamos el resto de los usuarios de la tabla de arriba.


Una vez creados, hay que probar los permisos que hemos concedido. Nos conectamos por CLI y probamos los accesos. Probamos que los usuarios no pueden entrar por web, no pueden acceder a particiones para las que no tienen permisos, etc.

Para verificar los accesos podemos usar "show admin" y para cerrar sesiones de usuario usamos "clear admin session X".


CONFIGURACIÓN DE RBA (Role Based Access)

Aquí aprendemos a restringir el acceso a las funciones de los equipos A10.

Vamos a entrar al equipo con el usuario "blanquito" que configuramos antes:


Comprobamos que tenemos acceso a configurar la interface ve 31.

Ahora habilitamos RBA, creamos una cuenta para el usuario "blanquito" y le damos permisos para la partición BLANCO. Para ello entramos como "admin" y:
  • rba enable
  • rba user blanquito
  • partition BLANCO

Vamos a restringirle el acceso a este usuario. Para ello escribimos:
  • root no-access
Si escribís una ? para ver si existe el comando, veréis que no existe entre las opciones, pero una vez escrito "root" podréis comprobar que aparecen las opciones:



Ahora intentamos configurar algo dentro de la interface ve 31 a la que anteriormente sí que teníamos acceso con el usuario "blanquito", es decir, iniciamos sesión con él:

No tenemos acceso a la interface ve 31

Vamos a darle exclusivamnete permisos a "blanquito" para que pueda configurar interfaces. Entramos como "admin" para hacerlo:
  • rba user blanquito
  • partition BLANCO
  • interface write


Volvemos a entrar como "blanquito" y probamos si podemos configurar dentro de la interface ve 31.

Ahora ya puede configurar las interfaces

Otra cosa que se puede hacer con RBA son los Roles. Consiste en crear una lista de instrucciones que son asignables a las cuentas. Son muy útiles cuando tenemos entornos complejos con muchos usuarios.

Vamos a crear un role para dar permisos para configurar SLB. Lo hacemos, obviamente, desde la cuenta de "admin".
  • rba role configurar-slb
Fijaos que cambia la ruta del prompt. Ahora le damos permisos a este role para que solo pueda configurar SLB.

  • root no-access
  • slb write

Ahora entramos al equipo como "Soporte4". Comprobamos que podemos entrar en las interfaces ve de las dos particiones que tenemos: BLANCO y NEGRO.




Vamos a darle permisos al usuario Soporte4 solo para que pueda configurar SLB en la partición NEGRO.

  • rba user Soporte4
  • partition NEGRO
  • role configurar-slb

Entramos como Soporte4 y probamos a configurar una interface ve. Vemos que podemos en la partición BLANCO, isn embargo, en la partición NEGRO nos deniega el acceso ya que solo le hemos dado permisos para configurar comandos correspondientes a SLB.
















No hay comentarios:

Publicar un comentario