- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
36-AAA快速配置指南
本章节下载 (336.79 KB)
AAA快速配置指南
Copyright © 2024 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目 录
本案例介绍Telnet用户的HWTACACS认证和授权的配置方法。
如图1-1所示,通过在作为NAS的Device上配置远程HWTACACS认证、授权功能,实现Telnet用户的安全登录。要求在Device上配置实现:
· HWTACACS服务器对登录Device的Telnet用户进行认证和授权,登录用户名为user@bbb,密码为123456TESTplat&!;
· 用户通过认证后可执行系统所有功能和资源的相关display命令。
图1-1 Telnet用户的远端HWTACACS认证和授权配置组网图
本文以HWTACACS服务器ACS 4.0为例,说明该例中HWTACACS的基本配置。
# 登录进入HWTACACS管理平台,点击左侧导航栏“User-Setup”增加设备管理用户。
· 在界面上输入用户名“user@bbb”;
· 点击按钮“Add/Edit”进入用户编辑页面。
图1-2 用户创建界面
# 在用户编辑页面上配置设备管理用户。
· 配置用户密码“123456TESTplat&!”;
· 为用户选择组“Group 1”;
· 单击“Submit”完成操作。
图1-3 用户密码配置界面
# 点击左侧导航栏“Network Configuration”,在“AAA Client Hostname”处任意命名(本例为“Device”)后开始配置网络。
· “AAA Client IP Address”一栏填写Device与HWTACACS服务器相连的接口的IP地址“10.1.1.2”。
· “Key”一栏填写HWTACACS服务器和设备通信时的共享密钥“expert”,必须和Device上HWTACACS方案里配置的认证、授权和计费共享密钥相同。
· 在“Authenticate Using”的下拉框里选择“TACACS+ (Cisco IOS)”。
· 单击“Submit+Apply”按钮完成配置。
图1-4 网络配置界面
# 单击左侧导航栏“Group Setup”,选取“Group 1”(与配置设备管理用户时为用户选择的组一致),单击“Edit Settings”进入编辑区。
· 在多选框中选择“Shell”(用户可以执行命令);
· 在多选框中选择“Custom attributes”,并在文本框中输入:roles=\”network-operator\”;
· 单击“Submit”后完成操作。
图1-6 组配置界面
# 创建VLAN 2,并将GigabitEthernet1/0/2加入VLAN 2。
[Device] vlan 2
[Device-vlan2] port gigabitethernet 1/0/2
[Device-vlan2] quit
# 配置VLAN接口2的IP地址。
[Device] interface vlan-interface 2
[Device-Vlan-interface2] ip address 192.168.57.12 255.255.255.0
[Device-Vlan-interface2] quit
# 创建VLAN 3,并将GigabitEthernet1/0/1加入VLAN 3。
[Device] vlan 3
[Device-vlan3] port gigabitethernet 1/0/1
[Device-vlan3] quit
# 配置VLAN接口3的IP地址。
[Device] interface vlan-interface 3
[Device-Vlan-interface3] ip address 10.1.1.2 255.255.255.0
[Device-Vlan-interface3] quit
# 开启Device的Telnet服务器功能。
[Device] telnet server enable
# 配置Telnet用户登录的用户界面采用scheme方式。
[Device] line vty 0 63
[Device-line-vty0-63] authentication-mode scheme
[Device-line-vty0-63] quit
# 配置HWTACACS方案hwtac。
[Device] hwtacacs scheme hwtac
# 配置主认证、授权和计费服务器的IP地址为10.1.1.1,认证、授权和计费的端口号为49(HWTACACS服务器的认证、授权和计费端口为TCP端口49)。
[Device-hwtacacs-hwtac] primary authentication 10.1.1.1 49
[Device-hwtacacs-hwtac] primary authorization 10.1.1.1 49
[Device-hwtacacs-hwtac] primary accounting 10.1.1.1 49
# 配置与认证、授权和计费服务器交互报文时的共享密钥均为明文expert。
[Device-hwtacacs-hwtac] key authentication simple expert
[Device-hwtacacs-hwtac] key authorization simple expert
[Device-hwtacacs-hwtac] key accounting simple expert
[Device-hwtacacs-hwtac] quit
# 配置ISP域的AAA方案,为login用户配置AAA认证方法为HWTACACS认证、授权和计费。
[Device] domain bbb
[Device-isp-bbb] authentication login hwtacacs-scheme hwtac
[Device-isp-bbb] authorization login hwtacacs-scheme hwtac
[Device-isp-bbb] accounting login hwtacacs-scheme hwtac
[Device-isp-bbb] quit
Telnet用户可以使用用户名user@bbb和密码123456TESTplat&!通过认证,并且获得用户角色network-operator(用户通过认证后可执行系统所有功能和资源的相关display命令)。
部分交换机的配置文件中会显示port link-mode bridge命令,请以实际情况为准。
#
telnet server enable
#
vlan 2 to 3
#
interface Vlan-interface2
ip address 192.168.57.12 255.255.255.0
#
interface Vlan-interface3
ip address 10.1.1.2 255.255.255.0
#
interface GigabitEthernet1/0/2
port link-mode bridge
port access vlan 2
#
interface GigabitEthernet1/0/1
port link-mode bridge
port access vlan 3
#
line vty 0 63
authentication-mode scheme
user-role network-operator
#
hwtacacs scheme hwtac
primary authentication 10.1.1.1
primary authorization 10.1.1.1
primary accounting 10.1.1.1
key authentication cipher $c$3$X3oR/wjLFjDqIyjdAmvjwAhiuqewGABglQ==
key authorization cipher $c$3$5pmuq0RJ9UWMWDkRNNERX6HFM0aRv5txFg==
key accounting cipher $c$3$FSdSiBY1u+ZNkAYYlPw9YkGxJA4iR8MDjw==
#
domain bbb
authentication login hwtacacs-scheme hwtac
authorization login hwtacacs-scheme hwtac
accounting login hwtacacs-scheme hwtac
#
· 产品配套“安全配置指导”中的“AAA”。
· 产品配套“安全命令参考”中的“AAA”。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
