40-AAA典型配置举例
本章节下载: 40-AAA典型配置举例 (276.68 KB)
为了便于对不同接入方式的用户进行区分管理,AAA将用户划分为如下类型:
· lan-access用户:LAN接入用户,如802.1X认证、MAC地址认证用户。
· login用户:登录设备用户,如SSH、Telnet、FTP、终端接入用户(即从Console口登录的用户)。
本章介绍了在不同的组网环境下,对于不同接入方式的用户,进行认证、授权的典型配置案例。
表1 配置适用的产品与软件版本关系
产品 |
软件版本 |
S5830V2&S5820V2系列以太网交换机 |
Release 2208P01,Release 2210 |
如图1所示,通过在Switch上配置本地认证、授权功能,实现FTP用户发起连接后,输入正确的用户名“ftpuser”和密码“aabbcc”,可成功连接交换机,且该FTP用户具有network-admin的用户角色。
图1 FTP用户本地认证、授权配置组网图
· Switch作为NAS,对用户的管理是基于ISP域的,每个接入用户都属于一个ISP域。在本例中配置FTP用户属于系统缺省存在的名称为“system”的ISP域,缺省域中的用户登录设备时,可输入不携带域名的用户名。
· AAA通过在ISP域视图下引用预先配置的认证、授权方案来实现对用户的认证和授权。本例将使用缺省的本地认证和本地授权方法。
· 对于设备来说,每个接入用户都属于一个ISP域。系统中最多可以配置16个ISP域,包括一个系统缺省存在的名称为system的ISP域。如果某个用户在登录时没有提供ISP域名,系统将把它归于缺省的ISP域。系统缺省的ISP域可以手工修改为一个指定的ISP域。
· 一个ISP域被配置为缺省的ISP域后将不能够被删除,必须首先使用命令undo domain default enable将其修改为非缺省ISP域,然后才可以被删除。
· 对于通过AAA认证登录设备的用户,由AAA服务器(远程认证)或设备(本地认证)为其授权用户角色。如果用户没有被授权任何用户角色,将无法成功登录设备。为此,系统提供了一个缺省用户角色授权功能。若希望本地用户“ftpuser”仅使用授权的network-admin用户角色,建议使用undo authorization-attribute user-role命令删除该用户已有的缺省用户角色。
# 配置Switch的VLAN接口1的IP地址为192.168.0.1,FTP用户将通过该地址连接交换机。
<Switch> system-view
[Switch] interface vlan-interface 1
[Switch–Vlan-interface1] ip address 192.168.0.1 255.255.255.0
[Switch-Vlan-interface1] quit
# 开启设备的FTP服务器功能。
[Switch] ftp server enable
# 配置系统缺省的ISP域“system”中的Login用户的AAA方案为本地认证、授权。
[Switch] domain system
[Switch-isp-system] authentication login local
[Switch-isp-system] authorization login local
[Switch-isp-system] quit
# 创建设备管理类本地用户ftpuser。
[Switch] local-user ftpuser class manage
# 配置用户的密码是明文的aabbcc。
[Switch-luser-manage-ftpuser] password simple aabbcc
# 指定用户的服务类型是FTP。
[Switch-luser-manage-ftpuser] service-type ftp
# 指定用户的授权角色为network-admin。
[Switch-luser-manage-ftpuser] authorization-attribute user-role network-admin
# 删除用户已有的缺省用户角色。
[Switch-luser-manage-ftpuser] undo authorization-attribute user-role network-operator
[Switch-luser-manage-ftpuser] quit
完成上述配置后,在Host以FTP方式登录FTP服务器,输入正确的用户名“ftpuser”和密码“aabbcc”,可以建立FTP连接。
c:\> ftp 192.168.0.1
Connected to 192.168.0.1.
220 FTP service ready.
User(192.168.0.1:(none)):ftpuser
331 Password required for ftpuser.
Password:
230 User logged in.
ftp>
在交换机上,可查看到本地用户“ftpuser”的用户角色为“network-admin”。
<Switch> display local-user user-name ftpuser class manage
Total 1 local users matched.
Device management user ftpuser:
State: Active
Service Type: FTP
User Group: system
Bind Attributes:
Authorization Attributes:
Work Directory: flash:
User Role List: network-admin
#
ftp server enable
#
vlan 1
#
interface Vlan-interface1
ip address 192.168.0.1 255.255.255.0
#
domain system
authentication login local
authorization login local
#
domain default enable system
#
local-user ftpuser class manage
password hash $h$6$4TEfp9hT6mqaVPHI$0nEZB12248SABi3eD7Zs+wsvicOCzJR24tt5li0og7E
jmmwHpS/Flt+38hqtYSxxw27IG4Y7bg8JHZhpuTN40A==
service-type ftp
authorization-attribute user-role network-admin
#
表2 配置适用的产品与软件版本关系
产品 |
软件版本 |
S5830V2&S5820V2系列以太网交换机 |
Release 2208P01,Release 2210 |
如图2所示,通过在Switch上配置远程RADIUS认证、授权功能,实现SSH用户的安全登录。具体需求如下:
· 由一台iMC服务器担当认证/授权RADIUS服务器的职责,服务器IP地址为10.1.1.1/24。
· Switch与RADIUS服务器交互报文时使用的共享密钥为aabbcc,向RADIUS服务器发送的用户名带域名。服务器根据用户名携带的域名来区分提供给用户的服务。
· SSH用户登录Switch时使用RADIUS服务器上配置的用户名hello@bbb以及密码进行认证,认证通过后具有缺省的用户角色network-operator。
图2 SSH用户RADIUS认证、授权配置组网图
(1) 在服务器端,为实现对用户的远程RADIUS认证、授权,首先需要通过增加接入设备,建立iMC服务器和接入设备Switch之间的联动关系;其次要通过增加设备管理用户,完成服务器端用户名、用户密码、用户类型和用户认证成功后的授权信息的配置。
(2) 在Switch上,需要配置RADIUS客户端功能和SSH服务器相关功能。
由于iMC安装的版本、组件不同或设置的系统参数不同,可能导致配置界面有所差异,本举例中的iMC配置界面仅供参考。有关iMC配置的更多详细介绍请参见《iMC UAM管理员指导书》。
· 按照组网图配置设备各接口的IP地址,保证各主机、服务器和设备之间的路由可达。
· 下面以iMC PLAT 5.2 (E0401)、iMC UAM 5.2 (E0402)版本为例,说明RADIUS server的基本配置。
(1) 增加接入设备
登录进入iMC管理平台,选择“业务”页签,单击左侧导航树中的[用户接入管理/接入设备管理/接入设备配置]菜单项,进入“接入设备配置”页面;在该页面的“接入设备列表”框中单击“增加”按钮,进入“增加接入设备”页面。
· 设置认证端口和计费端口分别为“1812”和“1813”;
· 设置服务器与Switch交互报文时的共享密钥为“aabbcc”,并确认该共享密钥;
· 选择业务类型为“设备管理业务”;
· 选择接入设备类型为“H3C(General)”;
· 选择或手工增加接入设备,添加IP地址为10.1.1.2的接入设备。
· 其它参数采用缺省值,单击<确定>按钮完成操作。
图3 增加接入设备
(2) 增加设备管理用户
选择“用户”页签,单击导航树中的[接入用户视图/设备管理用户]菜单项,进入“设备管理用户”列表页面;在该页面中单击<增加>按钮,进入“增加设备管理用户”页面。
· 添加账号名“hello@bbb”和用户密码“123456”,并进行密码确认;
· 选择服务类型为“SSH”;
· 设置角色名为“network-operator”,该值为SSH用户登录系统后的用户角色;
· 在“所管理设备IP地址列表”部分,单击<增加>按钮,设置所管理设备的IP地址范围(本例中所管理设备为Switch,起始和结束IP地址均为10.1.1.2),单击<确定>按钮;
· 单击<确定>按钮完成操作。
图4 增加设备管理用户
# 配置VLAN接口1的IP地址,SSH客户端将通过该地址连接SSH服务器。
<Switch> system-view
[Switch] interface vlan-interface 1
[Switch-Vlan-interface1] ip address 192.168.0.105 255.255.255.0
[Switch-Vlan-interface1] quit
# 配置VLAN接口10的IP地址,Switch将通过该地址与RADIUS服务器通信。
[Switch] vlan 10
[Switch-vlan10] port ten-gigabitethernet1/0/2
[Switch-vlan10] quit
[Switch] interface vlan-interface 10
[Switch-Vlan-interface10] ip address 10.1.1.2 255.255.255.0
[Switch-Vlan-interface10] quit
# 生成RSA密钥对。
[Switch] public-key local create rsa
The range of public key modulus is (512 ~ 2048).
If the key modulus is greater than 512, it will take a few minutes.
Press CTRL+C to abort.
Input the modulus length [default = 1024]:
Generating Keys...
............++++++
.................................++++++
.............++++++++
..............................++++++++
Create the key pair successfully.
# 生成DSA密钥对。
[Switch] public-key local create dsa
The range of public key modulus is (512 ~ 2048).
If the key modulus is greater than 512, it will take a few minutes.
Press CTRL+C to abort.
Input the modulus length [default = 1024]:
Generating Keys...
.++++++++++++++++++++++++++++++++++++++++++++++++++*
........+......+.....+......................................+..+................
.......+..........+..............+.............+...+.....+...............+..+...
...+.................+..........+...+....+.......+.....+............+.........+.
........................+........+..........+..............+.....+...+..........
..............+.........+..........+...........+........+....+..................
.....+++++++++++++++++++++++++++++++++++++++++++++++++++*
Create the key pair successfully.
# 使能SSH服务器功能。
[Switch] ssh server enable
# 配置SSH用户登录用户界面的认证方式为AAA认证。
[Switch] user-interface vty 0 15
[Switch-ui-vty0-15] authentication-mode scheme
# 配置用户远程登录Switch的协议为SSH。
[Switch-ui-vty0-15] protocol inbound ssh
[Switch-ui-vty0-15] quit
# 使能缺省用户角色授权功能,使得认证通过后的SSH用户具有缺省的用户角色network-operator。
[Switch] role default-role enable
# 配置RADIUS方案rad。
[Switch] radius scheme rad
New Radius scheme
# 配置主认证服务器的IP地址为10.1.1.1,认证端口号为1812。
[Switch-radius-rad] primary authentication 10.1.1.1 1812
# 配置与认证服务器交互报文时的共享密钥为明文aabbcc。
[Switch-radius-rad] key authentication simple aabbcc
# 配置向RADIUS服务器发送的用户名携带域名。
[Switch-radius-rad] user-name-format with-domain
[Switch-radius-rad] quit
# 创建ISP域bbb,为login用户配置AAA认证方法为RADIUS认证/授权、不计费。
[Switch] domain bbb
[Switch-isp-bbb] authentication login radius-scheme rad
[Switch-isp-bbb] authorization login radius-scheme rad
[Switch-isp-bbb] accounting login none
[Switch-isp-bbb] quit
SSH客户端的配置,因使用不同的客户端软件而有所差异,具体配置可参考“SSH典型配置指导”。
用户向Switch发起SSH连接,按照提示输入用户名“hello@bbb”及密码“123456”后,可成功登录Switch,并具有用户角色network-operator所拥有的命令行执行权限。
#
vlan 10
#
interface Vlan-interface10
ip address 10.1.1.2 255.255.255.0
#
interface Ten-GigabitEthernet1/0/2
port access vlan 10
#
user-interface vty 0 15
authentication-mode scheme
user-role network-operator
protocol inbound ssh
#
ssh server enable
#
radius scheme rad
primary authentication 10.1.1.1
key authentication cipher $c$3$S7yuRSTuxsoBlCzxhXVUbzci7XRMRNGAHA==
#
domain bbb
authentication login radius-scheme rad
authorization login radius-scheme rad
accounting login none
#
表3 配置适用的产品与软件版本关系
产品 |
软件版本 |
S5830V2&S5820V2系列以太网交换机 |
Release 2208P01,Release 2210 |
如图5所示,配置Switch实现使用LDAP服务器对登录Switch的SSH用户进行认证,且认证通过后具有缺省的用户角色network-operator。
· 一台LDAP认证服务器与Switch相连,服务器IP地址为10.1.1.1。服务器域名为ldap.com。
· 在LDAP服务器上设置管理员administrator的密码为admin!123456;并添加用户名为aaa的用户,密码为ldap!123456。
图5 SSH用户LDAP认证配置组网图
· 目前设备支持LDAPv2和LDAPv3两个协议版本。设备上配置的LDAP版本号需要与服务器支持的版本号保持一致。
· 目前设备暂不支持使用LDAP进行授权。
(1) 配置LDAP服务器
本文以Microsoft Windows 2003 Server的Active Directory为例,说明该例中LDAP服务器的基本配置。
# 添加用户aaa。
· 在LDAP服务器上,选择[开始/管理工具]中的[Active Directory用户和计算机],打开Active Directory用户管理界面;
· 在Active Directory用户管理界面的左侧导航树中,点击ldap.com节点下的“Users”按钮;
· 选择[操作/新建/用户],打开[新建对象-用户]对话框;
· 在对话框中输入用户登录名aaa,并单击<下一步>按钮。
图6 新建用户aaa
· 在弹出的对话框的“密码”区域框内输入用户密码ldap!123456,并单击<下一步>按钮。用户帐户的其它属性(密码的更改方式、密码的生存方式、是否禁用帐户)请根据实际情况选择配置,图中仅为示例。
图7 设置用户密码
· 单击<完成>按钮,创建新用户aaa。
# 将用户aaa加入Users组。
· 在Active Directory用户管理界面的左侧导航树中,点击ldap.com节点下的“Users”按钮;
· 在右侧的Users信息框中右键单击用户aaa,选择“属性”项;
· 在弹出的[aaa属性]对话框中选择“隶属于”页签,并单击<添加(D)...>按钮。
图8 修改用户属性
· 在弹出的[选择组]对话框的可编辑区域框中输入对象名称“Users”,单击<确定>,完成用户aaa添加到Users组。
图9 添加用户aaa到用户组Users
# 完成用户aaa的添加之后,还需要配置管理员用户administrator的密码为admin!123456。
· 在右侧的Users信息框中右键单击管理员用户administrator,选择“设置密码(S)...”项;
· 在弹出的密码添加对话框中设置管理员密码,详细过程略。
(2) 配置Switch
# 配置VLAN接口2的IP地址,SSH用户将通过该地址连接Switch。
<Switch> system-view
[Switch] interface vlan-interface 2
[Switch-Vlan-interface2] ip address 192.168.1.20 24
[Switch-Vlan-interface2] quit
# 配置VLAN接口3的IP地址,Switch将通过该地址与LDAP服务器通信。
[Switch] interface vlan-interface 3
[Switch-Vlan-interface3] ip address 10.1.1.2 24
[Switch-Vlan-interface3] quit
# 生成本地RSA及DSA密钥对。
[Switch] public-key local create rsa
The range of public key modulus is (512 ~ 2048).
If the key modulus is greater than 512, it will take a few minutes.
Press CTRL+C to abort.
Input the modulus length [default = 1024]:
Generating Keys...
...++++++
..............++++++
........++++++++
...................++++++++
Create the key pair successfully.
[Switch] public-key local create dsa
The range of public key modulus is (512 ~ 2048).
If the key modulus is greater than 512, it will take a few minutes.
Press CTRL+C to abort.
Input the modulus length [default = 1024]:
Generating Keys...
.++++++++++++++++++++++++++++++++++++++++++++++++++*
........+......+.....+......................................+..+................
.......+..........+..............+.............+...+.....+...............+..+...
...+.................+..........+...+....+.......+.....+............+.........+.
........................+........+..........+..............+.....+...+..........
..............+.........+..........+...........+........+....+..................
.....+++++++++++++++++++++++++++++++++++++++++++++++++++*
Create the key pair successfully.
# 使能SSH服务器功能。
[Switch] ssh server enable
# 设置SSH用户登录用户界面的认证方式为AAA认证。
[Switch] user-interface vty 0 15
[Switch-ui-vty0-15] authentication-mode scheme
[Switch-ui-vty0-15] quit
# 使能缺省用户角色授权功能,使得认证通过后的SSH用户具有缺省的用户角色network-operator。
[Switch] role default-role enable
# 创建LDAP服务器。
[Switch] ldap server ldap1
# 配置LDAP认证服务器的IP地址。
[Switch-ldap-server-ldap1] ip 10.1.1.1
# 配置具有管理员权限的用户DN。
[Switch-ldap-server-ldap1] login-dn cn=administrator,cn=users,dc=ldap,dc=com
# 配置具有管理员权限的用户密码。
[Switch-ldap-server-ldap1] login-password simple admin!123456
# 配置查询用户的起始目录。
[Switch-ldap-server-ldap1] search-base-dn dc=ldap,dc=com
[Switch-ldap-server-ldap1] quit
# 创建LDAP方案。
[Switch] ldap scheme ldap-shm1
# 配置LDAP认证服务器。
[Switch-ldap-ldap-shm1] authentication-server ldap1
[Switch-ldap-ldap-shm1] quit
# 创建ISP域bbb,为login用户配置AAA认证方法为LDAP认证、不授权、不计费。
[Switch] domain bbb
[Switch-isp-bbb] authentication login ldap-scheme ldap-shm1
[Switch-isp-bbb] authorization login none
[Switch-isp-bbb] accounting login none
[Switch-isp-bbb] quit
用户向Switch发起SSH连接,按照提示输入用户名aaa@bbb及正确的密码ldap!123456后,可成功登录Switch,并具有用户角色network-operator所拥有的命令行执行权限。
#
vlan 2
#
interface Vlan-interface2
ip address 192.168.1.20 255.255.255.0
#
vlan 3
#
interface Vlan-interface3
ip address 10.1.1.2 255.255.255.0
#
interface Ten-GigabitEthernet1/0/2
port access vlan 2
#
interface Ten-GigabitEthernet1/0/3
port access vlan 3
#
user-interface vty 0 15
authentication-mode scheme
user-role network-operator
#
ssh server enable
#
ldap server ldap1
login-dn cn=administrator,cn=users,dc=ldap,dc=com
search-base-dn dc=ldap,dc=com
ip 10.1.1.1
login-password cipher $c$3$2yaMeNBO6mF7267n61Bow4cNHoMhBAT2muA6wyHp2A==
#
ldap scheme ldap-shm1
authentication-server ldap1
#
domain bbb
authentication login ldap-scheme ldap-shm1
authorization login none
accounting login none
#
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!