如何在ACS中导入H3C私有Radius属性.docx

资源描述

如何在ACS中导入H3C私有Radius属性.docx

《如何在ACS中导入H3C私有Radius属性.docx》由会员分享，可在线阅读，更多相关《如何在ACS中导入H3C私有Radius属性.docx（22页珍藏版）》请在冰豆网上搜索。

如何在ACS中导入H3C私有Radius属性.docx

如何在ACS中导入H3C私有Radius属性

实际项目中经常遇到我司设备telnet管理用户到ACSRadiusServer认证的情况，并由ACS给telnet用户下发权限，为了使对应用户获得相应权限，需要导入H3C的用户级别的私有Radius属性到ACS中，以保证用户权限正常下发。

本文档以ACS4.0为例。

1. 编写h3c.ini文件（绿色部分即为文件内容）

[UserDefinedVendor]

Name=Huawei

IETFCode=2011

VSA29=hw_Exec_Privilege

[hw_Exec_Privilege]

Type=INTEGER

Profile=INOUT

Enums=hw_Exec_Privilege-Values

[hw_Exec_Privilege-Values]

0=Access

1=Monitor

2=Manager

3=Administrator

[Encryption-Type]

1=1

2=2

3=3

[Ftp_Directory]

Type=STRING

Profile=OUT

此文件主要用于定义私有属性的值

2. 将上面定义的文件导入到ACS中

ACS提供了命令接口来导入私有属性，此步骤主要将h3c.ini通过命令导入到ACS中去。

导入过程如下:

（1）点击ACSServer的windows开始菜单,在运行中输入cmd，打开一个命令行窗口。

（2）进入ACS的bin目录，在默认安装的情况下，该目录为

\ProgramFiles\CiscoSecureACSv4.0\bin

（3）执行导入命令:

选择y,继续

3. 查看是否导入成功

导入完毕，可以通过命令来查看:

可以看到UDV0已经添加了RADIUS（Huawei）私有属性

另外可以进入ACS页面来查看:

（1）进入InterfaceConfiguration可以看到如下:

（2）点击进入看到如下内容:

（3）进入GroupSetup,选择要编辑的Group,然后在JumpTo中选择“Radius（Huawei）”，可以看到添加的属性值

4. 如果不慎在导入过程中出现错误时，可以在命令行界面删除添加属性，以便重新添加

如上图，删除了添加的UDV0属性。

H3CS3600与ACS配合做tacacs认证的典型配置

来源：

作者：

发布时间：

2008-05-30 阅读次数

亚威岁末大优惠——所有Cisco培训课程7折

一、组网需求：

需要对登录交换机的telnet管理用户经过ACS的tacacs认证以确认其合法性。

ACSServer和交换机之间只要路由通即可，无特殊要求。

二、组网图：

三、配置步骤：

1.ACS侧配置

（1）进入主界面

（2）创建AAAClients

点击NetworkConfiguration

点击“AddEntry”

输入“AAAClientHostname”，添加“AAAClientIPAddress”，设置“Key”，在“AuthenticateUsing”列表中选择认证使用的协议为“TACACS+（CiscoIOS）”，点击“Submit+Restart”创建完毕，以后可以根据需要在“AAAClientIPAddress”中添加IP，无需再次创建。

此处的AAAClientIPAddress即为我们平常所说的NASIP。

列表中可以看到新建的客户端的相关信息

（3）配置Group

点击“GroupSetup”

从Group列表中选择要编辑的group1，点击“EditSettings”

在“JumpTo”列表中选择“TACACS+”即可直接跳到TACACS+属性的设置界面

勾选Shell（exec）和Privilegelevel并在Privilegelevel中填入允许用户拥有的权限，可填范围为0-15（其中3-15对应我司设备的level3权限）。

然后点击Submit+Restart来提交生效。

（4）创建用户

点击“UserSetup”

输入要创建的用户名“h3c”，点击“Add/Edit”，进入编辑画面,

填写RealName和Description以及密码信息

选择用户所属的组Group1，点击Submit

2.设备侧配置

（1）配置hwtacacs

[H3C]hwtacacsschemeacs

[H3C-hwtacacs-acs]primaryauthentication1.1.1.4

[H3C-hwtacacs-acs]primaryauthorization1.1.1.4

[H3C-hwtacacs-acs]primaryaccounting1.1.1.4

[H3C-hwtacacs-acs]keyauthenticationh3c

[H3C-hwtacacs-acs]keyauthorizationh3c

[H3C-hwtacacs-acs]keyaccountingh3c

[H3C-hwtacacs-acs]user-name-formatwithout-domain

（2）配置domain

[H3C]domainacs

[H3C-isp-acs]schemehwtacacs-schemeacs

（3）配置默认domain

[H3C]domaindefaultenableacs

（4）配置user-interface

[H3C] user-interfacevty04

[H3C-ui-vty0-4] authentication-modescheme

[H3C-ui-vty0-4] accountingcommandsscheme

四、配置关键点：

（1） ACS上AAAClientIP配置的是设备的NASIP

（2） AAAClient配置的key值需要与设备上hwtacacs配置的key保持一致

（3）用户名是否携带域名可以按照需要配置，但要注意的就是携带域名的时候，ACS上配置的用户名也得携带域名.

CiscoACS+AAA配置

2010-04-1323:

07出处：

中国IT实验室作者：

阿飞【我要评论】

[导读]　　最近在搭建公司的ACS，总结了一些经验写在这里。

附件1是网上流传比较多的一份ACS、aaa以及包括PIX的配置说明，很详细，熟悉aaa的朋友可以直接看看附件1。

附件2是cisco对aaa的官方说明，供参考。

以下介绍ACS+aaa架构下aaa的配置模板。

　　最近在搭建公司的ACS，总结了一些经验写在这里。

附件1是网上流传比较多的一份ACS、aaa以及包括PIX的配置说明，很详细，熟悉aaa的朋友可以直接看看附件1。

附件2是cisco对aaa的官方说明，供参考。

以下介绍ACS+aaa架构下aaa的配置模板。

　　aaa的配置可以大致分以下几个部分：

　　1.配置ACS（tacacs或radius）服务器

　　tacacs-serverhostx.x.x.x

　　tacacs-serverkey*****

　　2.配置设备local后门用户

　　usernametestuserpassword*****

　　之所以配置后门用户，是考虑到在ACS异常的时候仍能telnet到设备。

　　3.启用aaa

　　aaanew-model

　　4.认证并应用到线路

　　aaaauthenticationloginlogin-listgrouptacacs+local

　　linevty015

　　loginauthenticationlogin-list

　　这里的login-list定义了访问控制的列表，即首先使用tacacs+认证，如果认证失败则使用local后门用户认证。

后面的将认证应用到vty、配置accounting均调用这个login-list。

　　5.授权

　　aaaauthorizationexecdefaultlocalif-authenticated

　　授权的配置不同的需求差异会很大，我个人不建议太复杂的授权，详细解释看看附件吧。

　　6.记账

　　aaaaccountingexeclogin-liststart-stopgrouptacacs+

　　aaaaccountingcommands1login-liststart-stopgrouptacacs+

　　aaaaccountingcommands15login-liststart-stopgrouptacacs+

　　aaaaccountingnetworklogin-liststart-stopgrouptacacs+

　　ACS+aaa的模式可以很好的管理网络设备的访问控制，只可惜ACS不是免费的软件，不过也自己搭建Tacacs服务器。

用ACSSERVER认证的PPPOE的实例

日期：

2004-10-13 浏览次数：

4134

出处：

摘自互联网

网络设计的目的:

是路由器下的用户用PPPOE客户端从AAASERVER10.72.254.125/10.72.253.7进行认证上网.

以下是路由器的配置

version12.2

servicetimestampsdebuguptime

servicetimestampsloguptime

ersion12.2

servicetimestampsdebuguptime

servicetimestampsloguptime>noservicepassword-encryption

hostnamexxxxxxx

aaanew-model

aaagroupserverradiuspppoe

server10.72.254.125auth-port1645acct-port1646

server10.72.253.7auth-port1645acct-port1646

aaaauthenticationpppdefaultgrouppppoe

aaaauthorizationnetworkdefaultgrouppppoe

aaaaccountingnetworkdefaultstart-stopgrouppppoe

aaasession-idcommon

enablesecret5$1$nXz9$VFWaAXNkq/JfBUj4hn.Kx/

usernamexxxpassword0xxxxxx

ipsubnet-zero

ipdomain-namexxxxxx

ipname-serverxxx.xxx.xxx

ipauditnotifylog

ipauditpomax-events100

ipsshtime-out120

ipsshauthentication-retries3

vpdnenable

vpdn-groupPPPOE

accept-dialin

protocolpppoe

virtual-template10

pppoelimitmax-sessions500

vpdn-grouppppoe

pppoe-forwarding

async-bootpdns-serverxxx.xxx.xxx.xxx

cryptomibipsecflowmibhistorytunnelsize200

cryptomibipsecflowmibhistoryfailuresize200

interfaceLoopback0

ipaddress10.75.255.240255.255.255.255

interfaceGigabitEthernet0/0

noipaddress

duplexfull

speed100

media-typerj45

pppoeenable

interfaceGigabitEthernet0/0.2

encapsulationdot1Q2

pppoeenable

interfaceGigabitEthernet0/0.3

encapsulationdot1Q3

pppoeenable

interfaceGigabitEthernet0/0.507

descriptionjxtvnet-fengyuan-office

encapsulationdot1Q507

pppoeenable

interfaceGigabitEthernet0/0.699

descriptionpppoe-access-vlans

encapsulationdot1Q699

pppoeenable

interfaceGigabitEthernet0/0.701

descriptionDepartmentDATAoffice-yangxiaodong

encapsulationdot1Q701

pppoeenable

interfaceGigabitEthernet0/0.802

descriptionJing-mao-wei

encapsulationdot1Q802

ipaddress10.72.243.1255.255.255.248

pppoeenable

interfaceGigabitEthernet0/0.805

descriptionGuo-tu-ting

encapsulationdot1Q805

ipaddress10.72.242.1255.255.255.248

pppoeenable

interfaceGigabitEthernet0/0.806

descriptionShang-jian-ju

encapsulationdot1Q806

ipaddress172.19.1.1255.255.255.248

pppoeenable

interfaceGigabitEthernet0/0.807

descriptionFang-zhi-ji-tuan

encapsulationdot1Q807

ipaddress172.19.5.1255.255.255.248

pppoeenable

interfaceGigabitEthernet0/0.808

descriptionWen-jiao-lu-xiao-qu

encapsulationdot1Q808

pppoeenable

interfaceGigabitEthernet0/0.810

descriptionYi-zhi

encapsulationdot1Q810

ipaddress172.19.7.1255.255.255.248

pppoeenable

interfaceGigabitEthernet0/0.811

descriptionzhong-zi-guan-li-zhan

encapsulationdot1Q811

pppoeenable

interfaceGigabitEthernet0/0.814

descriptionYen-yei-gong-shi

encapsulationdot1Q814

pppoeenable

interfaceGigabitEthernet0/0.815

descriptionXin-hua-shu-dian

encapsulationdot1Q815

pppoeenable

interfaceGigabitEthernet0/1

ipaddress10.72.207.245255.255.255.252

duplexfull

speed100

media-typerj45

interfaceVirtual-Template10

mtu1492

ipunnumberedGigabitEthernet0/1

nopeerdefaultipaddress

pppauthenticationchap

ipclassless

iproute0.0.0.00.0.0.010.72.207.246

noiphttpserver

ippimbidir-enable

snmp-servercommunityxxxxxRO

snmp-servercommunityxxxxxRW

radius-serverhost10.72.254.125auth-port1645acct-port1646keycisco

radius-serverhost10.72.253.7auth-port1645acct-port1646keycisco

radius-serverretransmit3

callrsvp-sync

mgcpprofiledefault

dial-peercorcustom

gatekeeper

shutdown

linecon0

loginauthenticationno_tacacs

lineaux0

linevty04

passwordxxxxx

end

[page]

注：

在配置中有以下特点:

1、做了两台AAA　SERVER服务器，用户如果从主的服务器上不法认证，就会到时从的服务器上进行认证。