H3C配置AAA文档.docx
《H3C配置AAA文档.docx》由会员分享,可在线阅读,更多相关《H3C配置AAA文档.docx(8页珍藏版)》请在冰点文库上搜索。
H3C配置AAA文档
AAA认证配置方法:
Telnet用户通过HWTACACS服务器认证、授权、计费的应用配置
1.组网需求
通过配置Switch实现HWTACACS服务器对登录Switch的用户进行认证、授权、计费。
一台HWTACACS服务器(担当认证、授权、计费服务器的职责)与Switch相连,服务器IP
地址为
Switch与认证、授权、计费HWTACACS服务器交互报文时的共享密钥均为expert,发送给
HWTACACS服务器的用户名中不带域名。
在HWTACACS服务器上设置与Switch交互报文时的共享密钥为expert。
2.组网图
图1-7Telnet用户远端HWTACACS认证、授权和计费配置组网图
TelnetuserSwitch
HWTACACSserver
3.配置步骤
#配置各接口的IP地址(略)。
#开启Switch的Telnet服务器功能。
system-view
[Switch]telnetserverenable
#配置Telnet用户登录采用AAA认证方式。
[Switch]user-interfacevty04
[Switch-ui-vty0-4]authentication-modescheme
[Switch-ui-vty0-4]quit
#配置HWTACACS方案。
1-32
[Switch]hwtacacsschemehwtac
[Switch-hwtacacs-hwtac]primaryauthentication49
[Switch-hwtacacs-hwtac]primaryauthorization49
[Switch-hwtacacs-hwtac]primaryaccounting49
[Switch-hwtacacs-hwtac]keyauthenticationexpert
[Switch-hwtacacs-hwtac]keyauthorizationexpert
[Switch-hwtacacs-hwtac]keyaccountingexpert
[Switch-hwtacacs-hwtac]user-name-formatwithout-domain
[Switch-hwtacacs-hwtac]quit
#配置ISP域的AAA方案。
[Switch]domainbbb
[Switch-isp-bbb]authenticationloginhwtacacs-schemehwtac
[Switch-isp-bbb]authorizationloginhwtacacs-schemehwtac
[Switch-isp-bbb]accountingloginhwtacacs-schemehwtac
[Switch-isp-bbb]quit
#或者不区分用户类型,配置缺省的AAA方案。
[Switch]domainbbb
[Switch-isp-bbb]authenticationdefaulthwtacacs-schemehwtac
[Switch-isp-bbb]authorizationdefaulthwtacacs-schemehwtac
[Switch-isp-bbb]accountingdefaulthwtacacs-schemehwtac
使用Telnet登录时输入用户名为userid@bbb,以使用域bbb进行认证。
Telnet用户通过local认证、HWTACACS授权、RADIUS计费的应用配置
1.组网需求
通过配置Switch实现local认证,HWTACACS授权和RADIUS计费。
Telnet用户的用户名和密码
为hello。
一台HWTACACS服务器(担当授权服务器的职责)与Switch相连,服务器IP地址为
Switch与授权HWTACACS服务器交互报文时的共享密钥均为expert,发送给HWTACACS
服务器的用户名中不带域名。
一台RADIUS服务器(担当计费服务器的职责)与Switch相连,服务器IP地址为
Switch与计费RADIUS服务器交互报文时的共享密钥为expert。
其它接入如果需要此类AAA应用,和Telnet接入在域的AAA配置上类似,只有接入的区分。
1-33
2.组网图
图1-8Telnet用户local认证、HWTACACS授权和RADIUS计费配置组网图
3.配置步骤
#配置各接口的IP地址(略)。
#开启Switch的Telnet服务器功能。
system-view
[Switch]telnetserverenable
#配置Telnet用户登录采用AAA认证方式。
[Switch]user-interfacevty04
[Switch-ui-vty0-4]authentication-modescheme
[Switch-ui-vty0-4]quit
#配置HWTACACS方案。
[Switch]hwtacacsschemehwtac
[Switch-hwtacacs-hwtac]primaryauthorization49
[Switch-hwtacacs-hwtac]keyauthorizationexpert
[Switch-hwtacacs-hwtac]user-name-formatwithout-domain
[Switch-hwtacacs-hwtac]quit
#配置RADIUS方案。
[Switch]radiusschemerd
[Switch-radius-rd]primaryaccounting1813
[Switch-radius-rd]keyaccountingexpert
[Switch-radius-rd]server-typeextended
[Switch-radius-rd]user-name-formatwithout-domain
[Switch-radius-rd]quit
#创建本地用户hello。
[Switch]local-userhello
[Switch-luser-hello]service-typetelnet
[Switch-luser-hello]passwordsimplehello
[Switch-luser-hello]quit
#配置ISP域的AAA方案。
[Switch]domainbbb
[Switch-isp-bbb]authenticationloginlocal
1-34
[Switch-isp-bbb]authorizationloginhwtacacs-schemehwtac
[Switch-isp-bbb]accountingloginradius-schemerd
[Switch-isp-bbb]quit
#或者不区分用户类型,配置缺省的AAA方案。
[Switch]domainbbb
[Switch-isp-bbb]authenticationdefaultlocal
[Switch-isp-bbb]authorizationdefaulthwtacacs-schemehwtac
[Switch-isp-bbb]accountingdefaultradius-schemeimc
使用Telnet登录时输入用户名为hello@bbb,以使用域bbb进行认证。
SSH用户通过RADIUS服务器认证、授权、计费的应用配置
1.组网需求
如图1-9所示,配置Switch实现RADIUS服务器对登录Switch的SSH用户进行认证、授权和计费。
由一台iMC服务器担当认证/授权、计费RADIUS服务器的职责,服务器IP地址为
Switch与认证/授权、计费RADIUS服务器交互报文时的共享密钥均为expert,向RADIUS
服务器发送的用户名带域名。
服务器根据用户名携带的域名来区分提供给用户的服务。
2.组网图
图1-9SSH用户RADIUS认证、授权和计费配置组网图
SSHuserSwitch
RADIUSserver
Vlan-int2
3.配置步骤
(1)配置RADIUSserver(iMC)
下面以iMC为例(使用iMC版本为:
iMCPLAT3.20-R2602、iMCUAM3.60-E6102),说明RADIUS
server的基本配置。
#增加接入设备。
登录进入iMC管理平台,选择“业务”页签,单击导航树中的[接入业务/接入设备配置]菜单项,进
入接入设备配置页面,在该页面中单击“增加”按钮,进入增加接入设备页面。
设置与Switch交互报文时的认证、计费共享密钥为expert;
设置认证及计费的端口号分别为1812和1813;
1-35
选择业务类型为设备管理业务;
选择接入设备类型为H3C;
选择或手工增加接入设备,添加IP地址为的接入设备。
图1-10增加接入设备
#增加设备管理用户。
选择“用户”页签,单击导航树中的[接入用户视图/设备管理用户]菜单项,进入设备管理用户列表
页面,在该页面中单击<增加>按钮,进入增加设备管理页面。
添加用户名hello@bbb和密码;
选择服务类型为SSH;
增加所管理设备的IP地址,IP地址范围为“
1-36
图1-11增加设备管理用户
(2)配置Switch
#配置VLAN接口2的IP地址,SSH客户端将通过该地址连接SSH服务器。
system-view
[Switch]interfacevlan-interface2
[Switch-Vlan-interface2]ipaddress
[Switch-Vlan-interface2]quit
#配置VLAN接口3的IP地址,Switch将通过该地址与服务器通信。
[Switch]interfacevlan-interface3
[Switch-Vlan-interface3]ipaddress
[Switch-Vlan-interface3]quit
#生成RSA及DSA密钥对,并启动SSH服务器。
[Switch]public-keylocalcreatersa
[Switch]public-keylocalcreatedsa
[Switch]sshserverenable
#配置SSH用户登录采用AAA认证方式。
[Switch]user-interfacevty04
[Switch-ui-vty0-4]authentication-modescheme
1-37
#配置用户远程登录Switch的协议为SSH。
[Switch-ui-vty0-4]protocolinboundssh
[Switch-ui-vty0-4]quit
#配置RADIUS方案。
[Switch]radiusschemerad
[Switch-radius-rad]primaryauthentication1812
[Switch-radius-rad]primaryaccounting1813
[Switch-radius-rad]keyauthenticationexpert
[Switch-radius-rad]keyaccountingexpert
[Switch-radius-rad]user-name-formatwith-domain
[Switch-radius-rad]quit
#配置ISP域的AAA方案。
[Switch]domainbbb
[Switch-isp-bbb]authenticationloginradius-schemerad
[Switch-isp-bbb]authorizationloginradius-schemerad
[Switch-isp-bbb]accountingloginradius-schemerad
[Switch-isp-bbb]quit
使用SSH登录时输入用户名为userid@bbb,以使用域bbb进行认证。
(3)SSH用户建立与Switch的连接
在SSH客户端按照提示输入用户名hello@bbb及密码,即可进入Switch的用户界面。
用户登录系
统后所能访问的命令级别由iMC服务器授权,可通过设备管理用户界面的EXEC权限级别来设置
升级会员 