ROLES

Por defecto, los equipos ACOS vienen con una cuenta de administrador con permisos de lectura/escritura: admin/a10

Por supuesto que podemos crear más usuarios para facilitar la administración de los equipos.

Estos roles pueden ser a nivel local o en un servidor AAA.

En los equipos vienen predefinidos roles para el CLI y para el GUI:

Roles del CLI

Roles del GUI

Para configurar una cuenta con permisos de administrador.

• A10(config)#admin X password X

• A10(config-admin:X)#access web - le damos acceso web
  

• A10(config-admin:X)#no access cli - le quitamos el acceso a cli

•  A10(config-admin:X)#privilege read/write - le damos privilegios
  

• A10(config-admin:X)#privilege partition-enable-disable
  

Las recomendaciones que nos ofrece A10 en cuanto a los usuarios son:

• Asignar el nivel mínimo de privilegios para poder ejecutar las tareas asignadas
• Restringir cada cuenta solo a las particiones necesarias
• Restringir el acceso a la cuenta de admin
• Restringir acceso a CLI y GUI. Evitar telnet y http.
• Usar contraseñas complejas
• Monitorizar la actividad de las cuentas

Podemos bloquear la cuenta de admin de diferentes maneras:

• A10(config)#admin-lockout threshold 5 - bloquea después de 5 intentos

• A10(config)#admin-lockout duration 15 - bloquea durante 5 minutos
• A10(config)#admin-lockout duration 0 - solo puede desbloquearse manualmente
• A10(config-admin:X)#unlock

• A10(config)#admin-lockout reset-time 10 - recuerda los intentos durante 10 minutos

RBA (Role-based Access Control)

Con RBA extendemos las opciones para dar permisos más precisos. Tenemos que crear un usuario distinto. Los pasos para usr RBA deberían ser:

• Creamos una cuenta de administrador
• Habilitamos RBA
• Creamos un usuario RBA con el mismo nombre de la cuentanuea de administrador
• Configuramos permisos para este usuario

Los permisos (no access, read, write) para los usuarios individuales deben establecerse por partición. Estos privilegios se pueden dar sobre cualquier objeto creado a través del CLI o del GUI. Se pueden agrupar varios usuarios RBA en un grupo y crear roles para ser asignados a los grupos.

Si tenemos conflicto cuando configuramos privilegios, el prefijo más largo será el aplicado. Si tenemos configurado:

• slb write
• slb.virtual-server read

Se aplicará a todo el objeto slb el permiso de "read".

Para establecer privilegios sobre objetos tenemos dos maneras:

• Additive: útil cuando concedemos permisos
• Subtractive: útil cuando denegamos permisos

Comandos para verificar:

show admin
show admin session
clear admin session 



GESTIÓN DE LOS EQUIPOS

El acceso por defecto a la gestión de los equipos:

El control de acceso se puede hacer a través de ACL. Podemos habilitar la gestión a través de la interface management o a través de una ethernet común.
 

Importante tener en cuenta que existe una negación implicita de las ACL en los equipos A10, igual que en Cisco.

Acceso por defecto a través de HTTP