1、如何在ACS中导入H3C私有Radius属性如何在ACS中导入H3C私有Radius属性实际项目中经常遇到我司设备telnet管理用户到ACS Radius Server认证的情况,并由ACS给telnet用户下发权限,为了使对应用户获得相应权限,需要导入H3C的用户级别的私有Radius属性到ACS中,以保证用户权限正常下发。本文档以ACS 4.0为例。1.编写h3c.ini文件(绿色部分即为文件内容)User Defined VendorName=HuaweiIETF Code=2011VSA 29=hw_Exec_Privilegehw_Exec_PrivilegeType=INTEGE
2、RProfile=IN OUTEnums=hw_Exec_Privilege-Valueshw_Exec_Privilege-Values0=Access1=Monitor2=Manager3=AdministratorEncryption-Type1=12=23=3Ftp_DirectoryType=STRINGProfile=OUT此文件主要用于定义私有属性的值2.将上面定义的文件导入到ACS中ACS提供了命令接口来导入私有属性,此步骤主要将h3c.ini通过命令导入到ACS中去。导入过程如下:(1) 点击ACS Server的windows开始菜单,在运行中输入cmd,打开一个命令行窗口
3、。(2) 进入ACS的bin目录,在默认安装的情况下,该目录为c:Program FilesCiscoSecure ACS v4.0bin(3) 执行导入命令:选择y,继续3.查看是否导入成功导入完毕,可以通过命令来查看:可以看到UDV 0 已经添加了RADIUS (Huawei) 私有属性另外可以进入ACS页面来查看:(1)进入Interface Configuration可以看到如下:(2)点击进入看到如下内容:(3)进入Group Setup ,选择要编辑的Group,然后在Jump To中选择“Radius (Huawei)”,可以看到添加的属性值4.如果不慎在导入过程中出现错误时,可
4、以在命令行界面删除添加属性,以便重新添加 如上图,删除了添加的UDV 0 属性。H3C S3600 与ACS配合做tacacs认证的典型配置来源:作者:发布时间:2008-05-30阅读次数亚威岁末大优惠所有Cisco培训课程7折一、组网需求:需要对登录交换机的telnet管理用户经过ACS的tacacs认证以确认其合法性。ACS Server和交换机之间只要路由通即可,无特殊要求。二、组网图:三、配置步骤:1. ACS 侧配置(1)进入主界面(2)创建AAA Clients 点击Network Configuration 点击“Add Entry”输入“AAA Client Hostname
5、”,添加“AAA Client IP Address”,设置“Key”,在“Authenticate Using”列表中选择认证使用的协议为“TACACS+(Cisco IOS)”,点击“Submit+Restart”创建完毕,以后可以根据需要在“AAA Client IP Address”中添加IP,无需再次创建。此处的AAA Client IP Address 即为我们平常所说的NAS IP。列表中可以看到新建的客户端的相关信息(3)配置Group点击“Group Setup”从Group列表中选择要编辑的group 1,点击“Edit Settings”在“Jump To”列表中选择“T
6、ACACS+”即可直接跳到TACACS+属性的设置界面勾选Shell(exec) 和 Privilege level 并在Privilege level中填入允许用户拥有的权限,可填范围为0-15(其中3-15对应我司设备的level 3权限)。然后点击Submit+Restart来提交生效。(4)创建用户点击“User Setup”输入要创建的用户名“h3c”,点击“Add/Edit”,进入编辑画面,填写Real Name 和Description以及密码信息选择用户所属的组Group 1,点击Submit2. 设备侧配置(1)配置hwtacacs H3Chwtacacs scheme ac
7、s H3C-hwtacacs-acs primary authentication 1.1.1.4 H3C-hwtacacs-acs primary authorization 1.1.1.4 H3C-hwtacacs-acs primary accounting 1.1.1.4 H3C-hwtacacs-acs key authentication h3c H3C-hwtacacs-acs key authorization h3c H3C-hwtacacs-acs key accounting h3c H3C-hwtacacs-acs user-name-format without-do
8、main(2)配置domain H3Cdomain acs H3C-isp-acs scheme hwtacacs-scheme acs(3)配置默认domain H3C domain default enable acs(4) 配置user-interface H3C user-interface vty 0 4 H3C-ui-vty0-4 authentication-mode scheme H3C-ui-vty0-4 accounting commands scheme四、配置关键点:(1)ACS上AAA Client IP配置的是设备的NAS IP(2)AAA Client配置的key
9、值需要与设备上hwtacacs配置的key保持一致(3)用户名是否携带域名可以按照需要配置,但要注意的就是携带域名的时候,ACS上配置的用户名也得携带域名.Cisco ACS+AAA配置2010-04-13 23:07出处:中国IT实验室作者:阿飞【我要评论】导读最近在搭建公司的ACS,总结了一些经验写在这里。附件1是网上流传比较多的一份ACS、aaa以及包括PIX的配置说明,很详细,熟悉aaa的朋友可以直接看看附件1。附件2是cisco对aaa的官方说明,供参考。以下介绍ACS+aaa架构下aaa的配置模板。最近在搭建公司的ACS,总结了一些经验写在这里。附件1是网上流传比较多的一份ACS、
10、aaa以及包括PIX的配置说明,很详细,熟悉aaa的朋友可以直接看看附件1。附件2是cisco对aaa的官方说明,供参考。以下介绍ACS+aaa架构下aaa的配置模板。aaa的配置可以大致分以下几个部分:1.配置ACS(tacacs或radius)服务器tacacs-server host x.x.x.xtacacs-server host x.x.x.xtacacs-server key *2.配置设备local后门用户username testuser password *之所以配置后门用户,是考虑到在ACS异常的时候仍能telnet到设备。3.启用aaaaaa new-model4.认证
11、并应用到线路aaa authentication login login-list group tacacs+ localline vty 0 15login authentication login-list这里的login-list定义了访问控制的列表,即首先使用tacacs+认证,如果认证失败则使用local后门用户认证。后面的将认证应用到vty、配置accounting均调用这个login-list。5.授权aaa authorization exec default local if-authenticated授权的配置不同的需求差异会很大,我个人不建议太复杂的授权,详细解释看看附件
12、吧。6.记账aaa accounting exec login-list start-stop group tacacs+aaa accounting commands 1 login-list start-stop group tacacs+aaa accounting commands 15 login-list start-stop group tacacs+aaa accounting network login-list start-stop group tacacs+ACS+aaa的模式可以很好的管理网络设备的访问控制,只可惜ACS不是免费的软件,不过也自己搭建Tacacs服务器。
13、用ACS SERVER认证的PPPOE的实例 日期:2004-10-13浏览次数:4134出处:摘自互联网网络设计的目的:是路由器下的用户用PPPOE客户端从AAA SERVER 10.72.254.125/10.72.253.7进行认证上网.以下是路由器的配置!version 12.2service timestamps debug uptimeservice timestamps log uptimeno service password-encryption!hostname xxxxxxx!aaa new-model!aaa group server radius pppoeserve
14、r 10.72.254.125 auth-port 1645 acct-port 1646server 10.72.253.7 auth-port 1645 acct-port 1646!aaa authentication ppp default group pppoeaaa authorization network default group pppoe aaa accounting network default start-stop group pppoeaaa session-id commonenable secret 5 $1$nXz9$VFWaAXNkq/JfBUj4hn.K
15、x/!username xxx password 0 xxxxxxip subnet-zero!ip domain-name xxxxxxip name-server xxx.xxx.xxx!ip audit notify logip audit po max-events 100ip ssh time-out 120ip ssh authentication-retries 3vpdn enable!vpdn-group PPPOEaccept-dialin protocol pppoe virtual-template 10pppoe limit max-sessions 500!vpdn
16、-group pppoe!pppoe-forwardingasync-bootp dns-server xxx.xxx.xxx.xxx!crypto mib ipsec flowmib history tunnel size 200crypto mib ipsec flowmib history failure size 200!interface Loopback0ip address 10.75.255.240 255.255.255.255!interface GigabitEthernet0/0no ip addressduplex fullspeed 100media-type rj
17、45pppoe enable!interface GigabitEthernet0/0.2encapsulation dot1Q 2pppoe enable!interface GigabitEthernet0/0.3encapsulation dot1Q 3pppoe enable!interface GigabitEthernet0/0.507description jxtvnet-fengyuan-officeencapsulation dot1Q 507pppoe enable!interface GigabitEthernet0/0.699description pppoe-acce
18、ss-vlansencapsulation dot1Q 699pppoe enable!interface GigabitEthernet0/0.701description Department DATA office-yangxiaodongencapsulation dot1Q 701pppoe enable!interface GigabitEthernet0/0.802description Jing-mao-weiencapsulation dot1Q 802ip address 10.72.243.1 255.255.255.248pppoe enable!interface G
19、igabitEthernet0/0.805description Guo-tu-tingencapsulation dot1Q 805ip address 10.72.242.1 255.255.255.248pppoe enable!interface GigabitEthernet0/0.806description Shang-jian-juencapsulation dot1Q 806ip address 172.19.1.1 255.255.255.248pppoe enable!interface GigabitEthernet0/0.807description Fang-zhi
20、-ji-tuanencapsulation dot1Q 807ip address 172.19.5.1 255.255.255.248pppoe enable!interface GigabitEthernet0/0.808description Wen-jiao-lu-xiao-quencapsulation dot1Q 808pppoe enable!interface GigabitEthernet0/0.810description Yi-zhiencapsulation dot1Q 810ip address 172.19.7.1 255.255.255.248pppoe enab
21、le!interface GigabitEthernet0/0.811description zhong-zi-guan-li-zhanencapsulation dot1Q 811pppoe enable!interface GigabitEthernet0/0.814description Yen-yei-gong-shiencapsulation dot1Q 814pppoe enable!interface GigabitEthernet0/0.815description Xin-hua-shu-dianencapsulation dot1Q 815pppoe enable!inte
22、rface GigabitEthernet0/1ip address 10.72.207.245 255.255.255.252duplex fullspeed 100media-type rj45!interface Virtual-Template10mtu 1492ip unnumbered GigabitEthernet0/1no peer default ip addressppp authentication chap!ip classlessip route 0.0.0.0 0.0.0.0 10.72.207.246no ip http serverip pim bidir-en
23、able!snmp-server community xxxxx ROsnmp-server community xxxxx RW!radius-server host 10.72.254.125 auth-port 1645 acct-port 1646 key ciscoradius-server host 10.72.253.7 auth-port 1645 acct-port 1646 key ciscoradius-server retransmit 3call rsvp-sync!mgcp profile default!dial-peer cor custom!gatekeepe
24、rshutdown!line con 0login authentication no_tacacsline aux 0line vty 0 4password xxxxx!endpage注:在配置中有以下特点:1、做了两台AAASERVER服务器,用户如果从主的服务器上不法认证,就会到时从的服务器上进行认证。相关内容:aaa group server radius pppoeserver 10.72.254.125 auth-port 1645 acct-port 1646server 10.72.253.7 auth-port 1645 acct-port 1646!aaa authent
25、ication ppp default group pppoeaaa authorization network default group pppoe aaa accounting network default start-stop group pppoeradius-server host 10.72.254.125 auth-port 1645 acct-port 1646 key ciscoradius-server host 10.72.253.7 auth-port 1645 acct-port 1646 key cisco做法是:建了RADIUS组PPPOE,然后配置了两台AA
26、ASERVER服务器。AAA用户的认证在ACS SERVER进行了限速;AAA用户的地址池也是在AAA SERVER上进行设置的.其它参考CISCO网站.Cisco拨号配置hostname router!aaa new-modelaaa authentication login default tacacs+aaa authentication login no_tacacs enableaaa authentication ppp default tacacs+aaa authorization exec tacacs+aaa authorization network tacacs+aaa
27、 accounting exec start-stop tacacs+aaa accounting network start-stop tacacs+enable secret 5 $1$kN4g$CvS4d2.rJzWntCnn/0hvE0!interface Ethernet0ip address 10.111.4.20 255.255.255.0!interface Serial0no ip addressshutdowninterface Serial1no ip addressshutdown!interface Group-Async1ip unnumbered Ethernet
28、0encapsulation pppasync mode interactivepeer default ip address pool Cisco2511-Group-142no cdp enablegroup-range 1 16!ip local pool Cisco2511-Group-142 10.111.4.21 10.111.4.3tacacs-server host 10.111.4.2tacacs-server key tac!line con 0exec-timeout 0 0password ciscologin authentication no_tacacsline 1 16login authentication tacacsmodem InOutmodem autoconfigure type usr_courierautocommand ppptransport input allstopbits 1rxspeed 115200txspeed 115200flowcontrol hardwareline aux 0transport input allline vty 0 4password cisco!end
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1