barra de menu

miércoles, 6 de noviembre de 2019

ROLES

Por defecto, los equipos ACOS vienen con una cuenta de administrador con permisos de lectura/escritura: admin/a10





Por supuesto que podemos crear más usuarios para facilitar la administración de los equipos.

Estos roles pueden ser a nivel local o en un servidor AAA.

En los equipos vienen predefinidos roles para el CLI y para el GUI:

Roles del CLI

Roles del GUI


Para configurar una cuenta con permisos de administrador.
  • A10(config)#admin X password X

  • A10(config-admin:X)#access web - le damos acceso web

  • A10(config-admin:X)#no access cli - le quitamos el acceso a cli
  •  A10(config-admin:X)#privilege read/write - le damos privilegios

  • A10(config-admin:X)#privilege partition-enable-disable

Las recomendaciones que nos ofrece A10 en cuanto a los usuarios son:
  • Asignar el nivel mínimo de privilegios para poder ejecutar las tareas asignadas
  • Restringir cada cuenta solo a las particiones necesarias
  • Restringir el acceso a la cuenta de admin
  • Restringir acceso a CLI y GUI. Evitar telnet y http.
  • Usar contraseñas complejas
  • Monitorizar la actividad de las cuentas


Podemos bloquear la cuenta de admin de diferentes maneras:
  • A10(config)#admin-lockout threshold 5 - bloquea después de 5 intentos

  • A10(config)#admin-lockout duration 15 - bloquea durante 5 minutos
  • A10(config)#admin-lockout duration 0 - solo puede desbloquearse manualmente
  • A10(config-admin:X)#unlock

  • A10(config)#admin-lockout reset-time 10 - recuerda los intentos durante 10 minutos


RBA (Role-based Access Control)

Con RBA extendemos las opciones para dar permisos más precisos. Tenemos que crear un usuario distinto. Los pasos para usr RBA deberían ser:
  • Creamos una cuenta de administrador
  • Habilitamos RBA
  • Creamos un usuario RBA con el mismo nombre de la cuentanuea de administrador
  • Configuramos permisos para este usuario
Los permisos (no access, read, write) para los usuarios individuales deben establecerse por partición. Estos privilegios se pueden dar sobre cualquier objeto creado a través del CLI o del GUI. Se pueden agrupar varios usuarios RBA en un grupo y crear roles para ser asignados a los grupos.


Si tenemos conflicto cuando configuramos privilegios, el prefijo más largo será el aplicado. Si tenemos configurado:
  • slb write
  • slb.virtual-server read
Se aplicará a todo el objeto slb el permiso de "read".

Para establecer privilegios sobre objetos tenemos dos maneras:
  • Additive: útil cuando concedemos permisos
  • Subtractive: útil cuando denegamos permisos

Comandos para verificar:

show admin
show admin session
clear admin session 



GESTIÓN DE LOS EQUIPOS

El acceso por defecto a la gestión de los equipos:


El control de acceso se puede hacer a través de ACL. Podemos habilitar la gestión a través de la interface management o a través de una ethernet común.
 

Importante tener en cuenta que existe una negación implicita de las ACL en los equipos A10, igual que en Cisco.

Acceso por defecto a través de HTTP


No hay comentarios:

Publicar un comentario