需求: 使用外部radius认证,不同用户拥有不同权限
创建远程登陆用户并为其分配权限:
F5配置部分:
1、将User>Authentication中 User Directory修改为Remote-RADIUS
Host处填写远端radius服务器地址,Port选择认证端口(一般为1812,1813为计费端口),Secret为用来加密的密码key,与服务器设置相同。Role选择要分配给用户的权限
Radius服务器上正常配置
注:此时所有Radius用户登陆进来权限均为上述配置中Role分配的权限
为不同远端登录用户分配不同权限:
为不同用户分配不同权限,需要分别创建权限组:
Line Order:指定文件/config/bigip/auth/remoterole中的行顺序,建议值为1000
Attribute String:用户属性信息,大小写敏感
例: Attribute String=F5-LTM-User-Info-1=mgmt.
Assigned Role选择相应权限
Radius服务器上针对特定用户添加网络策略,条件选择为F5上创建的账号的组,添加vendor-specific
F5设备配置远端认证后,除admin以及root,其他账号均优先走远端