H3C配置AAA文档.docx
《H3C配置AAA文档.docx》由会员分享,可在线阅读,更多相关《H3C配置AAA文档.docx(8页珍藏版)》请在冰豆网上搜索。
H3C配置AAA文档
AAA认证配置方法:
Telnet用户通过HWTACACS效劳器认证、授权、计费的应用配置
1.组网需求
通过配置Switch实现HWTACACS效劳器对登录Switch的用户进展认证、授权、计费。
一台HWTACACS效劳器〔担当认证、授权、计费效劳器的职责〕与Switch相连,效劳器IP
地址为10.1.1.1。
Switch与认证、授权、计费HWTACACS效劳器交互报文时的共享密钥均为expert,发送给
HWTACACS效劳器的用户名中不带域名。
在HWTACACS效劳器上设置与Switch交互报文时的共享密钥为expert。
2.组网图
图1-7Telnet用户远端HWTACACS认证、授权和计费配置组网图
TelnetuserSwitch
HWTACACSserver
10.1.1.1/24
3.配置步骤
#配置各接口的IP地址〔略〕。
#开启Switch的Telnet效劳器功能。
system-view
[Switch]telnetserverenable
#配置Telnet用户登录采用AAA认证方式。
[Switch]user-interfacevty04
[Switch-ui-vty0-4]authentication-modescheme
[Switch-ui-vty0-4]quit
#配置HWTACACS方案。
1-32
[Switch]hwtacacsschemehwtac
[Switch-hwtacacs-hwtac]primaryauthentication10.1.1.149
[Switch-hwtacacs-hwtac]primaryauthorization10.1.1.149
[Switch-hwtacacs-hwtac]primaryaccounting10.1.1.149
[Switch-hwtacacs-hwtac]keyauthenticationexpert
[Switch-hwtacacs-hwtac]keyauthorizationexpert
[Switch-hwtacacs-hwtac]keyaccountingexpert
[Switch-hwtacacs-hwtac]user-name-formatwithout-domain
[Switch-hwtacacs-hwtac]quit
#配置ISP域的AAA方案。
[Switch]domainbbb
[Switch-isp-bbb]authenticationloginhwtacacs-schemehwtac
[Switch-isp-bbb]authorizationloginhwtacacs-schemehwtac
[Switch-isp-bbb]accountingloginhwtacacs-schemehwtac
[Switch-isp-bbb]quit
#或者不区分用户类型,配置缺省的AAA方案。
[Switch]domainbbb
[Switch-isp-bbb]authenticationdefaulthwtacacs-schemehwtac
[Switch-isp-bbb]authorizationdefaulthwtacacs-schemehwtac
[Switch-isp-bbb]accountingdefaulthwtacacs-schemehwtac
使用Telnet登录时输入用户名为useridbbb,以使用域bbb进展认证。
Telnet用户通过local认证、HWTACACS授权、RADIUS计费的应用配置
1.组网需求
通过配置Switch实现local认证,HWTACACS授权和RADIUS计费。
Telnet用户的用户名和密码
为hello。
一台HWTACACS效劳器〔担当授权效劳器的职责〕与Switch相连,效劳器IP地址为10.1.1.2。
Switch与授权HWTACACS效劳器交互报文时的共享密钥均为expert,发送给HWTACACS
效劳器的用户名中不带域名。
一台RADIUS效劳器〔担当计费效劳器的职责〕与Switch相连,效劳器IP地址为10.1.1.1。
Switch与计费RADIUS效劳器交互报文时的共享密钥为expert。
其它接入如果需要此类AAA应用,和Telnet接入在域的AAA配置上类似,只有接入的区分。
1-33
2.组网图
图1-8Telnet用户local认证、HWTACACS授权和RADIUS计费配置组网图
3.配置步骤
#配置各接口的IP地址〔略〕。
#开启Switch的Telnet效劳器功能。
system-view
[Switch]telnetserverenable
#配置Telnet用户登录采用AAA认证方式。
[Switch]user-interfacevty04
[Switch-ui-vty0-4]authentication-modescheme
[Switch-ui-vty0-4]quit
#配置HWTACACS方案。
[Switch]hwtacacsschemehwtac
[Switch-hwtacacs-hwtac]primaryauthorization10.1.1.249
[Switch-hwtacacs-hwtac]keyauthorizationexpert
[Switch-hwtacacs-hwtac]user-name-formatwithout-domain
[Switch-hwtacacs-hwtac]quit
#配置RADIUS方案。
[Switch]radiusschemerd
[Switch-radius-rd]primaryaccounting10.1.1.11813
[Switch-radius-rd]keyaccountingexpert
[Switch-radius-rd]server-typeextended
[Switch-radius-rd]user-name-formatwithout-domain
[Switch-radius-rd]quit
#创立本地用户hello。
[Switch]local-userhello
[Switch-luser-hello]service-typetelnet
[Switch-luser-hello]passwordsimplehello
[Switch-luser-hello]quit
#配置ISP域的AAA方案。
[Switch]domainbbb
[Switch-isp-bbb]authenticationloginlocal
1-34
[Switch-isp-bbb]authorizationloginhwtacacs-schemehwtac
[Switch-isp-bbb]accountingloginradius-schemerd
[Switch-isp-bbb]quit
#或者不区分用户类型,配置缺省的AAA方案。
[Switch]domainbbb
[Switch-isp-bbb]authenticationdefaultlocal
[Switch-isp-bbb]authorizationdefaulthwtacacs-schemehwtac
[Switch-isp-bbb]accountingdefaultradius-schemeimc
使用Telnet登录时输入用户名为hellobbb,以使用域bbb进展认证。
SSH用户通过RADIUS效劳器认证、授权、计费的应用配置
1.组网需求
如图1-9所示,配置Switch实现RADIUS效劳器对登录Switch的SSH用户进展认证、授权和计费。
由一台iMC效劳器担当认证/授权、计费RADIUS效劳器的职责,效劳器IP地址为10.1.1.1/24。
Switch与认证/授权、计费RADIUS效劳器交互报文时的共享密钥均为expert,向RADIUS
效劳器发送的用户名带域名。
效劳器根据用户名携带的域名来区分提供应用户的效劳。
2.组网图
图1-9SSH用户RADIUS认证、授权和计费配置组网图
SSHuserSwitch
RADIUSserver
10.1.1.1/24
Vlan-int2
192.168.1.70/24
3.配置步骤
(1)配置RADIUSserver〔iMC〕
下面以iMC为例〔使用iMC版本为:
iMCPLAT3.20-R2602、iMCUAM3.60-E6102〕,说明RADIUS
server的根本配置。
#增加接入设备。
登录进入iMC管理平台,选择“业务〞页签,单击导航树中的[接入业务/接入设备配置]菜单项,进
入接入设备配置页面,在该页面中单击“增加〞按钮,进入增加接入设备页面。
设置与Switch交互报文时的认证、计费共享密钥为expert;
设置认证及计费的端口号分别为1812和1813;
1-35
选择业务类型为设备管理业务;
选择接入设备类型为H3C;
选择或手工增加接入设备,添加IP地址为10.1.1.2的接入设备。
图1-10增加接入设备
#增加设备管理用户。
选择“用户〞页签,单击导航树中的[接入用户视图/设备管理用户]菜单项,进入设备管理用户列表
页面,在该页面中单击<增加>按钮,进入增加设备管理页面。
添加用户名hellobbb和密码;
选择效劳类型为SSH;
增加所管理设备的IP地址,IP地址围为“192.168.1.0~192.168.1.255”。
1-36
图1-11增加设备管理用户
(2)配置Switch
#配置VLAN接口2的IP地址,SSH客户端将通过该地址连接SSH效劳器。
system-view
[Switch]interfacevlan-interface2
[Switch-Vlan-interface2]ipaddress192.168.1.70255.255.255.0
[Switch-Vlan-interface2]quit
#配置VLAN接口3的IP地址,Switch将通过该地址与效劳器通信。
[Switch]interfacevlan-interface3
[Switch-Vlan-interface3]ipaddress10.1.1.2255.255.255.0
[Switch-Vlan-interface3]quit
#生成RSA及DSA密钥对,并启动SSH效劳器。
[Switch]public-keylocalcreatersa
[Switch]public-keylocalcreatedsa
[Switch]sshserverenable
#配置SSH用户登录采用AAA认证方式。
[Switch]user-interfacevty04
[Switch-ui-vty0-4]authentication-modescheme
1-37
#配置用户远程登录Switch的协议为SSH。
[Switch-ui-vty0-4]protocolinboundssh
[Switch-ui-vty0-4]quit
#配置RADIUS方案。
[Switch]radiusschemerad
[Switch-radius-rad]primaryauthentication10.1.1.11812
[Switch-radius-rad]primaryaccounting10.1.1.11813
[Switch-radius-rad]keyauthenticationexpert
[Switch-radius-rad]keyaccountingexpert
[Switch-radius-rad]user-name-formatwith-domain
[Switch-radius-rad]quit
#配置ISP域的AAA方案。
[Switch]domainbbb
[Switch-isp-bbb]authenticationloginradius-schemerad
[Switch-isp-bbb]authorizationloginradius-schemerad
[Switch-isp-bbb]accountingloginradius-schemerad
[Switch-isp-bbb]quit
使用SSH登录时输入用户名为useridbbb,以使用域bbb进展认证。
(3)SSH用户建立与Switch的连接
在SSH客户端按照提示输入用户名hellobbb及密码,即可进入Switch的用户界面。
用户登录系
统后所能访问的命令级别由iMC效劳器授权,可通过设备管理用户界面的EXEC权限级别来设置