H3C AAA认证配置.docx
《H3C AAA认证配置.docx》由会员分享,可在线阅读,更多相关《H3C AAA认证配置.docx(13页珍藏版)》请在冰点文库上搜索。
H3CAAA认证配置
1.13 AAA典型配置举例
1.13.1 SSH用户的RADIUS认证和授权配置
1. 组网需求
如所示,SSH用户主机与Router直接相连,Router与一台RADIUS服务器相连,需要实现使用RADIUS服务器对登录Router的SSH用户进行认证和授权。
由一台iMC服务器(IP地址为10.1.1.1/24)担当认证/授权RADIUS服务器的职责;
Router与RADIUS服务器交互报文时使用的共享密钥为expert,认证/授权、计费的端口号分别为1812和1813;
Router向RADIUS服务器发送的用户名携带域名;
SSH用户登录Router时使用RADIUS服务器上配置的用户名hello@bbb以及密码进行认证,认证通过后具有缺省的用户角色network-operator。
2. 组网图
图1-12 SSH用户RADIUS认证/授权配置组网图
3. 配置步骤
(1) 配置RADIUS服务器(iMCPLAT5.0)
下面以iMC为例(使用iMC版本为:
iMCPLAT5.0(E0101)、iMCUAM5.0(E0101)),说明RADIUS服务器的基本配置。
# 增加接入设备。
登录进入iMC管理平台,选择“业务”页签,单击导航树中的[接入业务/接入设备管理/接入设备配置]菜单项,进入接入设备配置页面,在该页面中单击“增加”按钮,进入增加接入设备页面。
∙ 设置与Router交互报文时使用的认证、计费共享密钥为“expert”;
∙ 设置认证及计费的端口号分别为“1812”和“1813”;
∙ 选择业务类型为“设备管理业务”;
∙ 选择接入设备类型为“H3C”;
∙ 选择或手工增加接入设备,添加IP地址为10.1.1.2的接入设备;
∙ 其它参数采用缺省值,并单击<确定>按钮完成操作。
添加的接入设备IP地址要与Router发送RADIUS报文的源地址保持一致。
缺省情况下,设备发送RADIUS报文的源地址是发送RADIUS报文的接口IP地址。
∙ 若设备上通过命令nas-ip或者radiusnas-ip指定了发送RADIUS报文的源地址,则此处的接入设备IP地址就需要修改并与指定源地址保持一致。
∙ 若设备使用缺省的发送RADIUS报文的源地址,例如,本例中为接口GigabitEthernet1/0/2的IP地址10.1.1.2,则此处接入设备IP地址就选择10.1.1.2。
图1-13 增加接入设备
# 增加设备管理用户。
选择“用户”页签,单击导航树中的[接入用户视图/设备管理用户]菜单项,进入设备管理用户列表页面,在该页面中单击<增加>按钮,进入增加设备管理用户页面。
∙ 输入用户名“hello@bbb”和密码;
∙ 选择服务类型为“SSH”;
∙ 添加所管理设备的IP地址,IP地址范围为“10.1.1.0~10.1.1.255”;
∙ 单击<确定>按钮完成操作。
添加的所管理设备的IP地址范围要包含添加的接入设备的IP地址。
图1-14 增加设备管理用户
(2) 配置Router
# 配置接口GigabitEthernet2/0/1的IP地址,SSH用户将通过该地址连接Router。
system-view
[Router]interfacegigabitethernet2/0/1
[Router-GigabitEthernet2/0/1]ipaddress192.168.1.70255.255.255.0
[Router-GigabitEthernet2/0/1]quit
# 配置接口GigabitEthernet2/0/2的IP地址,Router将通过该地址与服务器通信。
[Router]interfacegigabitethernet2/0/2
[Router-GigabitEthernet2/0/2]ipaddress10.1.1.2255.255.255.0
[Router-GigabitEthernet2/0/2]quit
# 创建本地RSA及DSA密钥对。
[Router]public-keylocalcreatersa
[Router]public-keylocalcreatedsa
# 使能SSH服务器功能。
[Router]sshserverenable
# 设置SSH用户登录用户线的认证方式为AAA认证。
[Router]linevty063
[Router-line-vty0-63]authentication-modescheme
[Router-line-vty0-63]quit
# 使能缺省用户角色授权功能,使得认证通过后的SSH用户具有缺省的用户角色network-operator。
[Router]roledefault-roleenable
# 创建RADIUS方案rad。
[Router]radiusschemerad
# 配置主认证服务器的IP地址为10.1.1.1,认证端口号为1812。
[Router-radius-rad]primaryauthentication10.1.1.11812
# 配置与认证服务器交互报文时的共享密钥为明文expert。
[Router-radius-rad]keyauthenticationsimpleexpert
# 配置向RADIUS服务器发送的用户名要携带域名。
[Router-radius-rad]user-name-formatwith-domain
[Router-radius-rad]quit
# 创建ISP域bbb,为login用户配置AAA认证方法为RADIUS认证/授权、不计费。
由于RADIUS服务器的授权信息是随认证应答报文发给RADIUS客户端的,所以必须保证认证和授权方案相同。
[Router]domainbbb
[Router-isp-bbb]authenticationloginradius-schemerad
[Router-isp-bbb]authorizationloginradius-schemerad
[Router-isp-bbb]accountingloginnone
[Router-isp-bbb]quit
4. 验证配置
用户向Router发起SSH连接,按照提示输入用户名hello@bbb及正确的密码后,可成功登录Router,并具有用户角色network-operator所拥有的命令行执行权限。
1.13.2 SSH用户的本地认证和授权配置
1. 组网需求
如所示,配置Router实现对登录Router的SSH用户进行本地认证和授权,并授权该用户具有用户角色network-admin。
2. 组网图
图1-15 SSH用户本地认证/授权配置组网图
3. 配置步骤
# 配置接口GigabitEthernet2/0/1的IP地址,SSH用户将通过该地址连接Router。
system-view
[Router]interfacegigabitethernet2/0/1
[Router-GigabitEthernet2/0/1]ipaddress192.168.1.70255.255.255.0
[Router-GigabitEthernet2/0/1]quit
# 创建本地RSA及DSA密钥对。
[Router]public-keylocalcreatersa
[Router]public-keylocalcreatedsa
# 使能SSH服务器功能。
[Router]sshserverenable
# 设置SSH用户登录用户线的认证方式为AAA认证。
[Router]linevty063
[Router-line-vty0-63]authentication-modescheme
[Router-line-vty0-63]quit
# 创建设备管理类本地用户ssh。
[Router]local-usersshclassmanage
# 配置该本地用户的服务类型为SSH。
[Router-luser-manage-ssh]service-typessh
# 配置该本地用户密码为明文123456TESTplat&!
。
(若是FIPS模式下,只能使用交互式方式设置)
[Router-luser-manage-ssh]passwordsimple123456TESTplat&!
# 配置该本地用户的授权用户角色为network-admin
[Router-luser-manage-ssh]authorization-attributeuser-rolenetwork-admin
[Router-luser-manage-ssh]quit
# 创建ISP域bbb,为login用户配置AAA认证方法为本地认证和本地授权。
[Router]domainbbb
[Router-isp-bbb]authenticationloginlocal
[Router-isp-bbb]authorizationloginlocal
[Router-isp-bbb]quit
4. 验证配置
用户向Router发起SSH连接,按照提示输入用户名ssh@bbb及正确的密码后,可成功登录Router,并具有用户角色network-admin所拥有的命令行执行权限。
1.13.3 SSH用户的HWTACACS认证、授权、计费配置
1. 组网需求
如所示,配置Router实现使用HWTACACS服务器对登录Router的SSH用户进行认证、授权、计费。
∙ 由一台HWTACACS服务器担当认证、授权、计费服务器的职责,服务器IP地址为10.1.1.1/24。
∙ Router与认证、授权、计费HWTACACS服务器交互报文时的共享密钥均为expert,向HWTACACS服务器发送的用户名不带域名。
∙ 认证通过后的SSH用户具有缺省的用户角色network-operator。
2. 组网图
图1-16 SSH用户HWTACACS认证、授权和计费配置组网图
3. 配置步骤
(1) 配置HWTACACS服务器
# 在HWTACACS服务器上设置与Router交互报文时的共享密钥为expert;添加SSH用户名及密码。
(略)
(2) 配置Router
# 创建HWTACACS方案hwtac。
system-view
[Router]hwtacacsschemehwtac
# 配置主认证服务器的IP地址为10.1.1.1,认证端口号为49。
[Router-hwtacacs-hwtac]primaryauthentication10.1.1.149
# 配置主授权服务器的IP地址为10.1.1.1,授权端口号为49。
[Router-hwtacacs-hwtac]primaryauthorization10.1.1.149
# 配置主计费服务器的IP地址为10.1.1.1,计费端口号为49。
[Router-hwtacacs-hwtac]primaryaccounting10.1.1.149
# 配置与认证、授权、计费服务器交互报文时的共享密钥均为明文expert。
[Router-hwtacacs-hwtac]keyauthenticationsimpleexpert
[Router-hwtacacs-hwtac]keyauthorizationsimpleexpert
[Router-hwtacacs-hwtac]keyaccountingsimpleexpert
# 配置向HWTACACS服务器发送的用户名不携带域名。
[Router-hwtacacs-hwtac]user-name-formatwithout-domain
[Router-hwtacacs-hwtac]quit
# 创建ISP域bbb,为login用户配置AAA认证方法为HWTACACS认证/授权/计费。
[Router]domainbbb
[Router-isp-bbb]authenticationloginhwtacacs-schemehwtac
[Router-isp-bbb]authorizationloginhwtacacs-schemehwtac
[Router-isp-bbb]accountingloginhwtacacs-schemehwtac
[Router-isp-bbb]quit
# 创建本地RSA及DSA密钥对。
[Router]public-keylocalcreatersa
[Router]public-keylocalcreatedsa
# 使能SSH服务器功能。
[Router]sshserverenable
# 使能缺省用户角色授权功能,使得认证通过后的SSH用户具有缺省的用户角色network-operator。
[Router]roledefault-roleenable
# 设置SSH用户登录用户线的认证方式为AAA认证。
[Router]linevty015
[Router-line-vty0-15]authentication-modescheme
[Router-line-vty0-15]quit
# 配置接口GigabitEthernet2/0/1的IP地址,SSH用户将通过该地址连接Router。
[Router]interfacegigabitethernet2/0/1
[Router-GigabitEthernet2/0/1]ipaddress192.168.1.70255.255.255.0
[Router-GigabitEthernet2/0/1]quit
# 配置接口GigabitEthernet2/0/2的IP地址,Router将通过该地址与服务器通信。
[Router]interfacegigabitethernet2/0/2
[Router-GigabitEthernet2/0/2]ipaddress10.1.1.2255.255.255.0
[Router-GigabitEthernet2/0/2]quit
4. 验证配置
用户向Router发起SSH连接,按照提示输入正确用户名及密码后,可成功登录Router,并具有用户角色network-operator所拥有的命令行执行权限。
1.13.6 PPP用户的HWTACACS认证、授权、计费配置
1. 组网需求
如所示,RouterA和RouterB之间使用串口互连,要求RouterA使用HWTACACS服务器对RouterB进行PAP认证,以及使用HWTACACS服务器进行授权和计费,RouterB不需要对RouterA进行认证、授权和计费。
2. 组网图
图1-27 PPP用户的HWTACACS认证、授权、计费组网图
3. 配置步骤
(1) 配置HWTACACS服务器
# 在HWTACACS服务器上设置与RouterA交互报文时的共享密钥为expert;添加PPP用户名userb及密码passb,具体配置步骤略。
(2) 配置RouterA
# 创建HWTACACS方案hwtac。
system-view
[RouterA]hwtacacsschemehwtac
# 配置主认证、主授权、主计费服务器的IP地址为10.1.1.1,认证端口号为49,采用单连接方式。
[RouterA-hwtacacs-hwtac]primaryauthentication10.1.1.149single-connection
[RouterA-hwtacacs-hwtac]primaryauthorization10.1.1.149single-connection
[RouterA-hwtacacs-hwtac]primaryaccounting10.1.1.149single-connection
# 配置与认证、授权、计费服务器交互报文时的共享密钥均为expert。
[RouterA-hwtacacs-hwtac]keyauthenticationsimpleexpert
[RouterA-hwtacacs-hwtac]keyauthorizationsimpleexpert
[RouterA-hwtacacs-hwtac]keyaccountingsimpleexpert
# 配置向HWTACACS服务器发送的用户名不携带域名。
[RouterA-hwtacacs-hwtac]user-name-formatwithout-domain
[RouterA-hwtacacs-hwtac]quit
# 创建ISP域bbb,为PPP用户配置AAA认证方法为HWTACACS认证、授权、计费。
[RouterA]domainbbb
[RouterA-isp-bbb]authenticationppphwtacacs-schemehwtac
[RouterA-isp-bbb]authorizationppphwtacacs-schemehwtac
[RouterA-isp-bbb]accountingppphwtacacs-schemehwtac
[RouterA-isp-bbb]quit
# 配置接口Serial2/2/0的封装的链路层协议为PPP。
[RouterA]interfaceserial2/2/0
[RouterA-Serial2/2/0]link-protocolppp
# 配置RouterA认证RouterB的方式为PAP,并使用ISP域bbb作为认证域。
[RouterA-Serial2/2/0]pppauthentication-modepapdomainbbb
# 配置接口的IP地址。
[RouterA-Serial2/2/0]ipaddress200.1.1.124
(3) 配置RouterB
# 配置接口Serial2/2/0的封装的链路层协议为PPP。
system-view
[RouterB]interfaceserial2/2/0
[RouterB-Serial2/2/0]link-protocolppp
# 配置RouterB被RouterA以PAP方式认证时使用的PAP用户名和密码。
[RouterB-Serial2/2/0]ppppaplocal-useruserbpasswordsimplepassb
# 配置接口的IP地址。
[RouterB-Serial2/2/0]ipaddress200.1.1.224
4. 验证配置
以上配置完成后,通过displayinterfaceserial命令,查看接口Serial2/1/0的信息,发现接口的物理层和链路层的状态都是up状态,并且PPP的LCP和IPCP都是opened状态,说明链路的PPP协商已经成功,并且RouterA和RouterB可以互相ping通对方。
升级会员 