11-H3C EIA 设备管理用户认证+业务分权典型配置举例
本章节下载: 11-H3C EIA 设备管理用户认证+业务分权典型配置举例 (4.30 MB)
H3C EIA 设备管理用户认证+业务分权
典型配置举例
资料版本:5W105-20260427
产品版本:EIA (E7401)
Copyright © 2026 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目 录
EIA设备管理用户认证+业务分权功能,可实现设备访问和业务操作的统一管控:在设备侧,实现对用户登录设备和执行命令的精细控制;在业务侧,通过按业务分组、资源等维度进行分域,并为不同角色配置查看、编辑、审核、导出等权限,实现对业务数据的精细分权。二者配合,可实现运维安全与合规保障。
· 设备管理用户认证:
EIA设备管理用户认证功能支持管理员通过Telnet等多种远程运维方式安全登录设备。在建立连接后,系统会首先对登录用户进行账号、密码等多要素身份校验,确保只有经过授权的合法用户才能访问设备管理界面。
¡ TACACS设备可授权给设备用户的Shell Profile和命令集;
¡ RADIUS设备可授权给设备用户设备分组、终端IP地址分组等条件,登录类型、私有属性下发策略以及EXEC权限级别等下发结果。
· 业务分权:
业务分权管理功能则提供了对业务数据进行分域划分和精细化权限控制的能力。系统支持按业务分组、资源等维度对业务数据进行灵活分组管理,并可为不同角色的操作员分别配置查看、编辑、审核、导出等粒度的访问与操作权限。通过这种精细化分权机制,保障了业务数据的安全与合规。
主要适用于需要多人运维、且对安全和合规要求较高的设备管理场景,典型场景如下:
· 登录设备时需要进行身份验证的场景:比如高校校园网和银行,工程师通过登录核心交换机、出口防火墙做策略调整时需要进行身份验证。
· 多组织、多部门共管的设备环境:如集团公司、校园网、园区网等,由多个子公司或部门共用基础网络设施,通过业务分权实现“各管各的域”,避免相互影响。
配置前需确保终端、设备、服务器网络互通。
· 启用业务分权时,修改业务数据不能修改数据所属的业务分组。
· 启用业务分权时,当业务数据需要关联子数据,且子数据本身也已配置业务分组时,仅允许选择业务分组与当前业务数据相同或为“未分组”的子数据。
设备管理员登录设备时需要进行身份验证,具体组网如下图所示。
注:本案例中各部分使用的版本如下:
· EIA版本为EIA (E7401)。
· 设备为S5800-56C-EI-M Comware Software, Version 7.1.045, Release 7116P01。
表3-1 IP地址规划
|
分类 |
IP规划 |
说明 |
|
EIA系统IP |
172.168.7.232 |
北向业务虚IP地址 |
|
接入设备IP |
172.19.254.64 |
接入设备管理IP地址 |
配置流程如下表所示。
表3-2 配置步骤
|
步骤 |
配置流程 |
配置子流程 |
|
1 |
配置设备管理用户认证 |
|
|
2 |
配置业务分权 |
|
|
3 |
设备侧配置 |
选择[自动化>网络准入>设备用户管理>参数管理>系统参数]菜单项,进入系统参数页面,如下图所示。
图3-2 系统参数
开启设备用户融合开关,开启后,可以方便地统一配置RADIUS和TACACS设备用户、设备用户分组以及LDAP配置。此外,启用设备用户融合还将自动同步设备用户(不包括LDAP用户)、设备用户分组、LDAP服务器和LDAP同步策略,其他参数保持缺省值即可,如下图所示。
图3-3 设备用户融合
(1) 选择[自动化>网络准入>准入管理>参数管理>接入认证>系统参数]菜单项,进入系统参数页面,启用业务分权,其他参数保持缺省值即可,如下图所示。
图3-4 系统参数
(2) 单击<确定>按钮,完成配置。
(3) 选择[自动化>网络准入>准入管理>参数管理>数据分权>业务分组]菜单项,进入业务分组页面,如下图所示。
图3-5 业务分组
(4) 单击<增加>按钮,进入增加业务分组页面,配置分组名称和描述信息,按需选择资源分组,如下图所示。
图3-6 增加业务分组
(5) 配置完成后,单击<确定>按钮,返回业务分组页面查看新增的业务分组,如下图所示。
图3-7 查看业务分组
管理员可以基于多种维度对设备进行区域划分,例如按照设备在网络中的层次角色(核心层、汇聚层、接入层等),或按照地理位置(国家、省份、城市、机房等)进行划分。设备用户管理最多支持5级设备区域、共256个设备区域,并通过树形结构展示设备区域的层次关系,便于管理员进行直观、灵活且精细化的管理。
(1) 选择[自动化>网络准入>设备用户管理>策略管理>授权场景条件>设备区域]菜单项,进入设备区域页面,如下图所示。
图3-8 设备区域
(2) 单击<增加>按钮,进入增加设备区域页面,配置区域名称和描述信息,按需选择资源分组,本例保持缺省值,如下图所示。
图3-9 增加设备区域
(3) 配置完成后,单击<确定>按钮,可返回设备区域页面查看新增设备区域,如下图所示。
图3-10 查看新增区域
(4) 单击操作列的
按钮,可进入增加设备区域页面增加子区域,如下图所示。
图3-11 增加子区域
(5) 配置完成后,单击<确定>按钮,返回设备区域页面,单击设备区域名称前的
按钮,可查看新增的子设备区域,如下图所示。
图3-12 查看子区域
删除设备区域时,无法删除以下设备区域:
· 设备区域正在被授权策略使用。修改授权策略,取消对设备区域的使用后即可删除设备区域。
· 设备区域中包含设备或者子区域。将区域中的设备转移到其他区域或者删除子区域后即可删除区域。
在实际组网环境中,可能存在多厂商设备或同一厂商下不同型号设备,这些设备支持的命令行各不相同。
设备用户管理支持按设备类型对设备进行分类,分类完成后,授权策略可以根据不同的设备类型将不同的命令集授权给设备用户,保证了设备用户可以正常管理设备。
设备用户管理支持5级设备类型,共256个设备类型,并以树形结构展示设备类型的层次关系,使设备类型组织清晰直观,便于管理员进行方便、灵活的精细化管理。
(1) 选择[自动化>网络准入>设备用户管理>策略管理>授权场景条件>设备类型]菜单项,进入设备类型页面,如下图所示。
图3-13 设备类型
(2) 单击<增加>按钮,进入增加设备类型页面,配置类型名称和描述信息,如下图所示。
图3-14 增加设备类型
(3) 配置完成后,单击<确定>按钮,可返回设备类型页面查看新增设备类型,如下图所示。
图3-15 查看新增类型
(4) 单击操作列的
按钮,可进入增加设备类型页面增加子类型,如下图所示。
图3-16 增加子类型
(5) 配置完成后,单击<确定>按钮,返回设备类型页面,单击设备类型名称前的
按钮,可查看新增的子类型,如下图所示。
图3-17 查看子类型
删除设备类型信息时,无法删除以下设备类型:
· 设备类型正在被授权策略使用。修改授权策略,取消对设备类型的使用后即可删除设备类型。
· 设备类型中包含设备或者子类型。将类型中的设备转移到其他类型或者删除子类型后即可删除设备类型。
设备IP地址分组即认证设备的IP地址范围。其作用是通过划分认证设备的IP地址范围,实现用户使用不同的授权策略登录设备。
(1) 选择[自动化>网络准入>设备用户管理>策略管理>授权场景条件>设备IP地址分组]菜单项,进入设备IP地址分组页面,如下图所示。
图3-18 设备IP地址分组
(2) 单击<增加>按钮,进入增加设备IP地址分组页面,配置设备IP地址分组名称和描述信息,如下图所示。
图3-19 增加设备IP地址分组
(3) 单击IP地址列表区域的<增加>按钮,弹出增加IP地址页面,选择IP类型,配置起始和结束IP地址,如下图所示,增加多个IP地址段时,最终生效的IP地址是所有IP地址段的并集。
图3-20 增加IP地址
(4) 配置完成后,单击<确定>按钮,可返回设备IP地址分组页面查看新增的设备IP地址分组,如下图所示。
图3-21 查看设备IP地址分组
(5) 单击操作列的
按钮,可修改设备IP地址分组信息,如下图所示。
图3-22 修改设备IP地址分组
删除设备IP地址分组时,不能删除正在被授权策略使用的设备IP地址分组。
(1) 选择[自动化>网络准入>设备用户管理>设备管理]菜单项,进入设备管理页面,如下图所示。
图3-23 设备管理
(2) 单击<增加>按钮,进入增加设备页面,如下图所示。
图3-24 增加设备
参数说明如下:
¡ 共享密钥/确认共享密钥:系统与设备通信使用的共享密钥,本例配置为“movie”。
¡ 认证端口:用于监听认证报文的端口,必须与设备侧设置的认证端口保持一致。
¡ 设备区域:选择设备所属的区域,一个设备可以属于多个区域,本例选择增加TACACS设备区域增加的子区域
¡ 设备类型:选择设备的类型,一个设备只能属于一种类型,本例选择增加TACACS设备类型增加的子类型
¡ 单一链接:选择“支持”,表示设备与设备用户管理通信时支持在同一个TCP连接中建立多个会话;选择“不支持”,表示设备与设备用户管理通信时不支持在同一个TCP连接中建立多个会话。该参数的配置必须与设备上的配置保持一致。
¡ Watchdog报文:选择“支持”,表示用户在线时设备用户管理通过接收设备周期性发送的Watchdog报文来维持用户的在线状态和时长;选择“不支持”,表示用户在线时设备不发送Watchdog报文。该参数的配置必须与设备上的配置保持一致。
¡ 描述:设备的描述信息。
(3) 单击设备管理区域的<增加IPv4设备>按钮,本例选择“单个增加”,进入单个增加设备页面,如下图所示。
图3-25 单个增加设备
¡ 设备名称类型如果选择FQDN,本例选择FQDN。则输入设备名称、设备IP地址,或者输入设备名称并单击<获取IP地址>按钮来向DNS服务器查询对应的IP地址,本例以直接输入设备IP地址“172.19.254.64”为例,单击<确定>按钮即可增加设备。
¡ 如果选择Sysname,则输入设备名称、设备IP地址,单击<确定>按钮即可增加设备。
(4) 增加完成后,单击<确定>按钮,进入增加设备结果页面,可查看操作结果,如下图所示。
图3-26 增加设备结果
(5) 单击<返回>按钮,返回设备管理页面可查看新增的设备,如下图所示。
图3-27 查看新增设备
(6) 单击<导入>按钮,进入导入设备页面,可批量导入设备,如下图所示。
图3-28 导入设备
(7) 单击“设备导入模板”链接,下载模板并填写,如下图所示。
图3-29 设备导入模板
(8) 单击<上传文件>按钮,选择要上传的文件,然后选择文件中列分隔符,如下图所示。
图3-30 上传文件
(9) 单击<下一步>按钮,进入导入设备第二步页面,如下图所示,可选择每个参数对应的文件中的列,也可以选择“不从文件中导入”并设置参数的值,其中IP地址必须从文件导入。
图3-31 导入设备
(10) 单击<确定>按钮,进入操作结果页面,显示导入成功,如下图所示。
图3-32 操作结果
Shell Profile主要对设备用户登录设备的行为进行控制。要使在设备用户管理中配置的Shell Profile 生效,需先在设备上启用登录授权功能。启用后,当设备用户完成身份认证,设备用户管理会根据授权策略为其下发对应的 Shell Profile,具体可控制的内容包括:接入控制列表、自动执行命令、授权级别、自定义属性、闲置时长和会话时长,从而实现对设备登录会话的精细化管控。
(1) 选择[自动化>网络准入>设备用户管理>策略管理>授权命令配置>Shell Profile]菜单项,进入Shell Profile页面,如下图所示。
图3-33 Shell Profile
(2) 单击<增加>按钮,进入增加Shell Profile页面,如下图所示。
图3-34 增加Shell Profile
参数说明如下:
¡ Shell Profile名称:本例配置为“ACIAdminShell”。
¡ 接入控制列表:接入控制列表在设备上配置,其中规定了设备用户可从哪些IP地址登录到设备上。
¡ 授权级别:授权级别对应了缺省的命令集。设备用户登录设备后,设备根据授权级别自动加载命令集。用户无法看到和执行非命令集中的命令。不同厂商的设备支持的授权级别范围各不相同,授权级别需要根据设备实际的支持范围来设置。
¡ 闲置时长:用户登录设备后,如果在闲置时长内没有执行任何命令,则用户会被强制登出。
¡ 会话时长:用户登录设备后,如果超过会话时长,则用户会被强制登出。
¡ 自动执行命令:该命令在设备用户登录设备后会被自动执行。
¡ 自定义属性:单击<增加属性>按钮,可根据用户的需要和设备的支持情况来添加额外的属性,本例配置为“cisco-av-pair=shell:domains = all/admin/”。常见厂商自定义属性如下:
- H3C:allowed-roles=“network-admin”
- Cisco:cisco-av-pair=shell:domains = all/admin/
¡ 描述:Shell Profile描述信息。
(3) 配置完成后,单击<确定>按钮,返回Shell Profile页面可查看新增的Shell Profile,如下图所示。
图3-35 查看新增Shell Profile
删除Shell Profile时,不能删除正在被授权策略使用的Shell Profile。
命令集主要对设备用户使用命令的行为进行控制。要使在设备用户管理中配置的命令集生效,必须在设备上启用命令行授权功能。启用后,当设备用户通过身份认证,设备用户管理会根据授权策略为其下发相应的命令集;用户执行命令时,设备根据命令集来判定是否允许用户执行。
(1) 选择[自动化>网络准入>设备用户管理>策略管理>授权命令配置>命令集]菜单项,进入命令集页面,如下图所示。
图3-36 命令集
(2) 单击<增加>按钮,进入增加命令集页面,如下图所示。
图3-37 增加命令集
参数说明如下:
¡ 命令集名称:本例配置为“AdminNoConfig”。
¡ 缺省授权方式:选择“允许”,表示用户可以使用未包含在命令集中的命令;选择“拒绝”,表示用户不能使用未包含在命令集中的命令,本例选择“允许”。
¡ 业务分组:选择业务分组。
¡ 描述:命令集描述信息,本例配置为“Admin No Config”。
(3) 单击命令集信息区域的<增加>按钮,弹出增加命令弹窗,配置命令行,本例配置为“display current-configuration”,如下图所示。
图3-38 增加命令
(4) 配置完成后,单击<确定>按钮,返回命令集页面可查看新增的命令集,如下图所示。
图3-39 查看新增命令集
删除命令集时,不能删除正在被授权策略使用的命令集。
授权策略用于定义在不同接入场景下应向设备用户下发的Shell Profile和命令集。一个授权策略可包含多个接入场景,每个接入场景关联一个Shell Profile和一个命令集。当设备用户登录时,若同时匹配多个接入场景,则设备用户管理会授权给用户优先级最高的接入场景中的Shell Profile和命令集。
(1) 选择[自动化>网络准入>设备用户管理>策略管理>授权策略管理>授权策略(TACACS)]菜单项,进入授权策略(TACACS)页面,如下图所示。
图3-40 授权策略(TACACS)
(2) 单击<增加>按钮,进入增加授权策略页面,如下图所示。
图3-41 增加授权策略
参数说明如下:
¡ 策略名称:本例配置为“TACACS授权策略”。
¡ 描述:策略描述信息。
¡ 业务分组:选择业务分组,本例选择配置业务分组增加的“分组1”。
¡ 启用动态密码认证:选择“是”表示需要RSA服务器对设备用户进行认证;选择“否”表示设备用户登录设备时,只需输入用户密码,本例选择“否”。
(3) 单击接入授权信息区域的<增加>按钮,弹出增加接入授权信息弹窗,如下图所示。
图3-42 增加接入授权信息
参数说明如下:
¡ 设备区域:选择“不限”表示任意设备区域都符合要求,本例选择增加TACACS设备区域增加的设备区域。
¡ 设备类型:选择“不限”表示任意设备类型都符合要求,本例选择增加TACACS设备类型增加的设备类型。
¡ 授权时段:选择“不限”表示任意时间段都符合要求,本例保持缺省值。
¡ AD分组:选择“不限”表示任意AD分组都符合要求,本例保持缺省值。
¡ 设备IP地址分组:选择“不限”表示任意设备IP地址分组都符合要求,本例选择增加设备IP地址分组增加的设备IP地址分组。
¡ 终端IP地址分组:选择“不限”表示任意终端IP地址分组都符合要求,本例保持缺省值。
¡ Shell Profile:选择“拒绝”表示设备拒绝用户登录;选择“使用设备的缺省配置”表示用户登录设备后使用设备缺省提供的Shell Profile,本例选择增加Shell Profile增加的Shell Profile。
¡ 授权命令集:选择“不限”表示用户登录设备后可以执行任何命令。选择“禁止使用”表示用户登录设备后禁止执行任何命令,本例选择增加命令集增加的授权命令集。
(4) 配置完成后,单击<确定>按钮,返回授权策略(TACACS)页面可查看新增的授权策略,如下图所示。
图3-43 查看新增授权策略
可删除授权策略,不能删除正在被用户、用户分组以及同步策略使用的授权策略。
管理员可以根据需要,将具有相同属性的接入设备划分到同一个分组中,以便统一配置和集中管理。
(1) 选择[自动化>网络准入>准入管理>接入设备>设备分组]菜单项,进入设备分组页面,如下图所示。
图3-44 设备分组
(2) 单击<增加>按钮,进入增加设备分组页面,配置分组名称、分组描述和业务分组,如下图所示。
图3-45 增加设备分组
(3) 配置完成后,单击<确定>按钮,返回设备分组页面查看新增的设备分组,如下图所示。
图3-46 查看新增设备分组
删除设备分组时:
· 如果一个设备分组下有接入设备,该分组下的接入设备将会被转移到未分组。
· 如果一个设备分组具有子分组,则该设备分组的子分组也会被删除,该分组和其子分组下的接入设备将会被转移到未分组。
· 只有管理员才具有删除设备分组的权限,查看员没有该权限。
设备类型主要用于区分不同厂商的设备。为不同厂商设备配置相应的RADIUS属性,可使接入设备与更好地与本系统配合。系统预置了3Com、华为、思科、锐捷、惠普MSM、惠普Comware、微软、Juniper、惠普ProCurve和ARUBA共11种常用设备类型。
(1) 选择[自动化>网络准入>准入管理>接入设备>设备类型]菜单项,进入设备类型页面,如下图所示。
图3-47 设备类型
(2) 单击<增加>按钮,进入增加设备类型页面,配置厂商名称、厂商简称、厂商ID和设备类型,如下图所示。
图3-48 增加设备类型
参数说明:
¡ 厂商名称:设备生产厂商的名称,本例配置为“类型1”。
¡ 厂商简称:设备生产厂商的简称,本例配置为“1”。
¡ 厂商ID:设备生产厂商的ID,本例配置为“1”。
¡ 设备类型:设备类型的分类,一般为General,本例保持缺省值。
¡ 描述:接入设备类型的描述。
(3) 配置完成后,单击<确定>按钮,返回设备类型页面查看新增的设备类型,如下图所示。
图3-49 查看新增设备类型
图3-50 修改设备类型
删除设备类型时:
· 预置的接入设备类型不能删除。
· 不能删除正在被接入设备使用的接入设备类型。
· 删除接入设备类型会删除属性下发策略中有关该类型的私有属性的配置。
(5) 单击操作列的
按钮,进入配置私有属性页面,如下图所示。
图3-51 配置私有属性
(6) 单击属性列表区域的<增加>按钮,弹出私有属性配置页面,如下图所示。
图3-52 私有属性配置
参数说明:
¡ 属性名称:私有属性的名称,本例配置为“hw_Input_Peak_Rate”。
¡ 属性ID:私有属性的ID号,本例配置为“2”。
¡ 属性类型:私有属性的输入类型,包括字符串型、无符号整型、时间型和IPv4型,本例选择“无符号整型”。
¡ 最大长度:私有属性的最大长度。
¡ 描述:私有属性的描述。
(7) 配置完成后单击<确定>按钮,可查看新增的属性,如下图所示。
图3-53 查看新增属性
由于各接入设备所支持的RADIUS属性并不完全一致,为便于本系统使用这些属性实现对用户的接入控制,系统提供了“属性下发策略”功能。管理员可通过配置属性下发策略,自定义需要下发的属性及其取值,并将其下发给接入设备,让接入设备根据策略执行对应的操作(比如让用户下线)。
(1) 选择[自动化>网络准入>准入管理>接入设备>私有属性管理]菜单项,进入私有属性管理页面,如下图所示。
图3-54 私有属性管理
(2) 单击<增加>按钮,进入增加私有属性下发策略页面,配置私有属性下发策略名称和描述,如下图所示。
图3-55 增加私有属性下发策略
(3) 单击属性列表区域的<增加>按钮,进入属性选择页面选择属性,如下图所示。
图3-56 属性选择
(4) 单击<确定>按钮,返回增加私有属性下发策略页面,勾选属性值列的勾选框,可设置报文属性,如下图所示。
图3-57 报文属性
(5) 配置完成后,单击<确定>按钮,返回私有属性管理页面查看新增的私有属性,如下图所示。
图3-58 查看新增私有属性
删除私有属性时,不能删除正在被服务使用的私有属性下发策略。
(1) 选择[自动化>网络准入>准入管理>接入设备>设备配置]菜单项,进入设备配置页面,如下图所示。
图3-59 设备配置
(2) 单击<增加>按钮,进入增加接入设备页面,如下图所示。
图3-60 增加接入设备
参数说明:
¡ 认证端口:系统用于监听认证报文的端口,必须与设备侧设置的认证端口保持一致,本例保持缺省值。
¡ 计费端口:系统用于监听计费报文的端口,必须与设备侧设置的计费端口保持一致,本例保持缺省值。
¡ 共享密钥/确认共享密钥:系统与设备之间通信,需要一个一样的密码用于互相验证,即系统与设备通信使用的共享密钥,本例配置为“fine”。
¡ 强制下线方式:当服务器强制终端用户下线时为用户选择的下线方式,本例保持缺省值。
- 断开用户连接:NAS设备通过Disconnect消息断开用户连接。
- Down-Up端口:NAS设备通过先Down掉连接用户端口,然后再重新UP端口使用户下线。
¡ 强制下线端口:当服务器强制终端用户下线时,设备支持的端口,本例保持缺省值。
¡ 业务类型:接入设备所承载的业务类型,目前仅支持设备管理业务和接入用户业务,本例选择“设备管理业务”。
¡ 接入设备类型:可以选择各个厂商的设备或标准协议类型,本例选择增加RADIUS设备类型增加的RADIUS设备类型。
¡ 接入位置分组:为接入设备指定接入位置分组。一个接入设备只能属于一个接入位置分组,本例保持缺省值。
¡ VLAN格式:VLAN属性值的格式。可以是默认、字符串或数字,本例保持缺省值。
¡ 下发TAG属性:如果分配的属性值是一个字符串或数字,则可以选择在前面添加一个TAG,以指示该属性值的格式和含义。该字段是可选字段,RFC协议没有明确说明是否必须,但对于不同设备可能存在不同情况,有的设备可能需要有的可能不需要,一般建议是携带TAG。
¡ 设备分组:接入设备的所属分组,本例选择增加RADIUS设备分组增加的设备分组。
¡ Nas ID:接入设备的唯一标识符。如果RADIUS报文中不存在接入设备IP属性,但存在Nas ID属性,则RADIUS服务器将使用Nas ID唯一标识一台接入设备。
¡ 服务器TLS端口:本端口适用于RADIUS Over TLS场景,此场景中服务器与设备之间通过TLS隧道加密通信。本端口是服务器侧的监听端口,服务器通过此端口接受设备发送的认证和计费报文。如果端口配置为0,则表示服务器不启用TLS监听功能,设备无法通过TLS隧道向服务器发送认证报文或者计费报文。
¡ 设备TLS端口:本端口适用于RADIUS Over TLS场景,此场景中服务器与设备之间通过TLS隧道加密通信。本端口是设备侧的监听端口,设备通过此端口接受服务器发送的RADIUS COA请求。如果配置为0,则表示服务器将不通过TLS隧道发送RADIUS COA请求给设备,而是发送明文的RADIUS COA请求给设备。
¡ 校验Message-Authenticators属性:该功能是用于校验非EAP认证报文中的Message- Authenticators属性,Message-Authenticators属性是用于对RADIUS报文进行完整性校验和认证。开启后要求认证请求报文和计费请求报文必须携带该属性,否则认证失败,认证成功后认证服务器会下发该属性给认证设备。该功能需要配合认证设备使用,要求认证设备支持携带该属性。
(3) 单击设备列表区域的<增加IPv4设备>按钮,弹出增加接入设备页面,配置设备起始IP地址和设备结束IP地址,如下图所示。
图3-61 增加接入设备
(4) 配置完成后,单击<确定>按钮,返回设备配置页面查看新增的设备,如下图所示。
图3-62 查看新增设备
(5) 单击<导入>按钮,进入导入接入设备页面,可批量导入设备,如下图所示。
图3-63 导入接入设备
(6) 单击“接入设备导入模板”链接,下载模板并填写,如下图所示。
图3-64 设备导入模板
(7) 单击<上传文件>按钮,选择要上传的文件,如下图所示。
图3-65 上传文件
(8) 单击<下一步>按钮,进入导入设备第二步页面,如下图所示,可选择每个参数对应的文件中的列,也可以选择“不从文件中导入”并设置参数的值,其中IP地址必须从文件导入。
图3-66 导入设备
(9) 单击<确定>按钮,进入导入操作结果页面,显示导入成功,如下图所示。
图3-67 操作结果
参考增加设备IP地址分组步骤增加设备IP地址分组,如下图所示。
图3-68 设备IP地址分组
授权策略用于定义在不同接入场景下应授予设备用户的设备分组、终端IP地址分组等条件,登录类型、私有属性下发策略以及EXEC权限级别等下发结果。
一个授权策略可包含多个接入场景。若设备用户同时匹配多个接入场景,则会授权给用户优先级最高的接入场景中的条件。如果所有场景均不匹配,则会授权基本信息中的条件。
(1) 选择[自动化>网络准入>设备用户管理>策略管理>授权策略管理>授权策略(RADIUS)]菜单项,进入授权策略(RADIUS)页面,如下图所示。
图3-69 授权策略(RADIUS)
(2) 单击<增加>按钮,进入增加授权策略页面,授权名称本例配置为“RADIUS授权策略”,业务分组选择配置业务分组增加的“分组1”,如下图所示。
图3-70 增加授权策略
(3) 单击授权场景的<增加>按钮,弹出增加授权场景页面,如下图所示。
图3-71 增加授权场景
参数说明:
¡ 场景名称:本例配置为“RADIUS场景”。
¡ 设备分组:本例选择增加RADIUS设备分组增加的“RADIUS设备分组”。
¡ 设备IP地址分组:本例选择增加设备IP地址分组增加的“RADIUS设备IP地址分组”。
¡ 终端IP地址分组:本例保持缺省值。
¡ 登录类型:本例选择“Telnet”。
¡ 私有属性下发策略:本例选择增加RADIUS私有属性增加的“RADIUS属性”。
¡ EXEC权限级别:输入设备管理用户的管理权限等级。不同设备的管理权限等级分级不同,请以设备为准,为空表示使用设备缺省的EXEC权限级别,本例配置为15。
(4) 配置完成后单击<确定>按钮,返回授权策略(RADIUS)页面查看新增的授权策略,如下图所示。
图3-72 查看新增授权策略
(1) 选择[自动化>网络准入>设备用户管理>用户管理>设备用户分组]菜单项,进入设备用户分组页面,如下图所示。
图3-73 设备用户分组
(2) 单击<增加>按钮,进入增加设备用户分组页面,如下图所示。
图3-74 增加设备用户分组
参数说明:
¡ 分组名称:本例配置为“设备用户分组”。
¡ Radius策略授权:本例选择增加RADIUS授权策略增加的“RADIUS授权策略”。
¡ Tacacs策略授权:本例选择增加TACACS授权策略增加的“TACACS授权策略”。
(3) 配置完成后单击<确定>按钮,返回设备用户分组页面查看新增的分组,如下图所示。
图3-75 查看新增分组
(1) 选择[自动化>网络准入>设备用户管理>用户管理>设备管理用户]菜单项,进入设备管理用户页面,如下图所示。
图3-76 设备管理用户
(2) 单击<增加>按钮,进入增加设备管理用户页面,如下图所示。
图3-77 增加设备管理用户
参数说明:
¡ 账号名:输入登录设备时使用的用户名,本例配置为“aaa@device”。
¡ 用户密码/密码确认:用户的密码。
¡ 设备管理用户分组:本例选择配置设备管理用户增加的“设备用户分组”。RADIUS和TACACS的配置以用户配置为主,如果用户未配置,则以设备管理用户分组的RADIUS授权和TACACS配置为主。
¡ 单击绑定的用户IP列表的<增加>按钮,弹出增加IP地址页面,配置起始IP地址和结束IP地址,如下图所示。
图3-78 增加IP地址
¡ 其他参数保持缺省值。
(3) 配置完成后单击<确定>按钮,返回设备管理用户页面查看新增的用户,如下图所示。
图3-79 查看新增用户
(1) 选择[系统>系统配置>资源分组]菜单项,进入资源分组页面如下图所示。
图3-80 系统参数
(2) 单击<增加>按钮,进入增加资源分组页面,配置分组名称,如下图所示。
图3-81 增加资源分组
(3) 单击组内资源区域管理对像的<增加>按钮,弹出选择资源页面,选择配置业务分组、配置设备管理用户和增加TACACS设备区域增加的“设备用户分组”、“分组1”和“BU”,如下图所示。
图3-82 选择资源
(4) 配置完成后单击<确定>按钮,返回资源分组页面查看新增的资源分组,如下图所示。
图3-83 查看新增资源分组
(1) 选择[系统>用户管理>角色管理]菜单项,进入角色管理页面如下图所示。
图3-84 角色管理
(2) 单击<增加>按钮,进入增加角色页面,配置角色名称和权限,如下图所示。
图3-85 增加角色
(3) 配置完成后单击<确定>按钮,返回角色管理页面查看新增的角色,如下图所示。
图3-86 查看新增角色
(1) 选择[系统>用户管理>用户管理>用户列表]菜单项,进入用户列表页面,如下图所示。
图3-87 用户列表
(2) 单击<增加>按钮,进入添加用户页面,配置用户信息,如下图所示。
图3-88 添加用户
(3) 配置完成后单击<确定>按钮,进入添加用户成功页面,如下图所示。
图3-89 添加用户成功
(1) 单击“授权”链接,进入管理范围页面,如下图所示。
图3-90 管理范围
(2) 单击<下一步>按钮,进入功能授权页面,选择增加角色增加的“设备用户管理”,如下图所示。
图3-91 功能授权
(3) 单击<下一步>按钮,进入资源授权页面,如下图所示。
图3-92 资源授权
可通过以下两种方式授权:
¡ 直接授予资源权限:在管理对象页面单击<增加>按钮,进入选择资源页面,选择配置设备用户分组和配置业务分组增加的“设备用户分组”和“分组1”,如下图所示。
图3-93 选择资源
¡ 通过资源分组统一授权:选择“资源分组”页签,单击<增加>按钮,进入选择资源分组页面,选择增加资源分组增加的“资源分组1”,如下图所示。
图3-94 选择资源分组
(4) 配置完成后单击<确定>按钮,返回用户列表页面,查看新增的用户,如下图所示。
图3-95 查看新增用户
配置用户登录时完成身份验证的AAA服务器,这里将EIA指定为AAA服务器。
以下使用Windows的CLI窗口Telnet到接入设备并进行配置,具体方法如下:
(1) 以Telnet方式登录接入设备,并进入系统视图。配置用户Telnet登录时通过scheme认证。
<Device>system view
[Device]user-interface vty 0 4
[Device-ui-vty0-4]authentication-mode scheme
[Device-ui-vty0-4]quit
(2) 配置RADIUS scheme。IP地址指向EIA服务器,监听端口、共享密钥需与增加RADIUS接入设备的配置保持一致。
[Device]radius scheme 391
New RADIUS scheme
[Device-radius-391]primary authentication 192.168.7.232 1812
[Device-radius-391]primary accounting 192.168.7.232 1813
[Device-radius-391]key authentication simple fine
[Device-radius-391]key accounting simple fine
[Device-radius-391]nas-ip 172.19.254.64
[Device-radius-391]user-name-format with-domain
[Device-radius-391]quit
EIA和设备配合对Telnet用户进行认证时,两者的配置必须符合下表的约束关系,本案例中采用第一种组合。
|
登录名 |
设备用于认证的Domain |
设备配置的相关命令 |
EIA中设备管理用户的账号名 |
|
X@Y |
Y |
with-domain |
X@Y |
|
without-domain |
X |
||
|
X |
[Default Domain](缺省域) |
with-domain |
X@[Default Domain] |
|
without-domain |
X |
(3) 创建domain。设置用户登录设备时都要经过RADIUS方案391的认证/授权/计费。
[Device]domain device
New Domain added
[Device-isp-device]authentication login radius-scheme 391
[Device-isp-device]authorization login radius-scheme 391
[Device-isp-device]accounting login radius-scheme 391
[Device-isp-device]quit
(4) 使用默认domain。
[Device]domain default enable device
设备上需要配置TACACS方案、域、认证方式,使登录到设备上的用户到EIA中进行身份认证。以下使用Console口登录设备并进行配置,具体的命令及说明如下。
(1) 进入系统视图
<Device>system-view
System View: return to User View with Ctrl+Z.
(2) 配置TACACS策略zz,认证、授权、计费服务器都指向TAM,认证、授权、计费端口与TAM中增加设备时的配置保持一致,用户名为不带域名格式。
[Device] hwtacacs scheme zz
Create a new HWTACACS scheme.
[Device-hwtacacs-zz] primary authentication 192.168.7.232 49
[Device-hwtacacs-zz] primary authorization 192.168.7.232 49
[Device-hwtacacs-zz] primary accounting 192.168.7.232 49
[Device-hwtacacs-zz] key authentication simple movie
[Device-hwtacacs-zz] key authorization simple movie
[Device-hwtacacs-zz] key accounting simple movie
[Device-hwtacacs-zz] user-name-format with-domain
[Device-hwtacacs-zz] quit
(3) 创建domain,配置域引用的TACACS方案。配置登录认证和权限提升认证,配置登录授权和命令行授权,配置登录审计和命令行审计:
[Device] domain device
[Device-isp-device] authentication login hwtacacs-scheme zz
[Device-isp-device] authentication super hwtacacs-scheme zz
[Device-isp-device] authorization login hwtacacs-scheme zz
[Device-isp-device] authorization command hwtacacs-scheme zz
[Device-isp-device] accounting login hwtacacs-scheme zz
[Device-isp-device] accounting command hwtacacs-scheme zz
[Device-isp-device] quit
(4) 配置认证方式,开启Telnet开关,认证方式配置为AAA:
[Device] telnet server enable
[Device] user-interface vty 0 4
[Device-ui-vty0-4] authentication-mode scheme
[Device-ui-vty0-4] command authorization//命令行授权发送到认证服务器
[Device-ui-vty0-4] command accounting//命令行审计发送到认证服务器
[Device-ui-vty0-4] quit
[Device] domain default enable hwt
(5) 登录后权限提升认证方式配置为AAA:
[Device] super authentication-mode scheme
(1) 进入[自动化>网络准入>准入管理>参数管理>数据分权>业务分组]页面,参考配置业务分组新增“分组2”,如下图所示。
图3-96 分组2
(2) 进入[自动化>网络准入>设备用户管理>策略管理>授权策略管理>授权策略(TACACS)]页面,参考增加TACACS授权策略新增“TACACS授权策略2”,并选择“分组2”,如下图所示。
图3-97 TACACS授权策略2
(3) 使用增加用户增加的用户重新登录系统,如下图所示。
图3-98 重新登录系统
(4) 进入[自动化>网络准入>设备用户管理>策略管理>授权策略管理>授权策略(TACACS)]页面,可查看只有“分组1”和“未分组”的授权策略,没有“分组2”的策略授权,验证了本案例的正确性,如下图所示。
图3-99 查看授权策略
使用EIA中配置的设备管理用户账号可以成功登录设备。
(1) 以Telnet方式登录设备,如下图所示。
图3-100 Telnet接入设备
(2) 输入用户名和密码,其中用户名与配置设备管理用户的设备管理用户账号名保持一致,如下图所示。
(3) 登录成功后,使用display users命令查看用户的详细信息,如下图所示。
¡ 该用户属于配置设备用户分组配置的用户分组;该用户分组关联了增加RADIUS授权策略配置的授权策略。
¡ 登录设备属于增加RADIUS设备分组配置的设备分组和增加RADIUS设备类型配置的设备类型。
¡ 设备IP地址在增加设备IP地址分组绑定的用户IP地址范围内。
¡ 用户的EXEC权限级别和私有属性与EIA中增加RADIUS授权策略的配置一致。
使用Telnet方式认证步骤如下:
(1) 使用Telnet的方式登录到设备,如下图所示。
(2) 输入配置设备管理用户用户名和密码,设备管理用户成功登录设备,如下图所示。
(3) 登录成功后,使用display users命令查看用户的详细信息,如下图所示,
¡ 该用户属于配置设备用户分组配置的用户分组,该用户分组关联了增加TACACS授权策略配置的授权策略。
¡ 该登录设备属于关联的授权策略中增加TACACS设备区域配置的设备区域和增加TACACS设备类型配置的设备类型。
¡ 设备IP地址属于增加设备IP地址分组配置设备IP地址分组的地址的范围内。
¡ 下发的ProfileShell可以和增加Shell Profile配置的进行匹配,且进行命令集可以和增加命令集配置的进行匹配。
图3-105 详细信息
图3-106 display current-configuration
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
