44-HWTACACS
本章节下载: 44-HWTACACS (449.32 KB)
HWTACACS(HW Terminal Access Controller Access Control System,HW终端访问控制器控制系统协议)是在TACACS(RFC1492)基础上进行了功能增强的安全协议。该协议与RADIUS协议类似,用于实现AAA的协议,且采用客户端/服务器模式实现NAS与HWTACACS服务器之间的通信。
HWTACACS协议主要用于终端用户的认证、授权和计费。其典型应用是对需要登录到设备上进行操作的终端用户进行认证、授权以及对终端用户执行的操作进行记录。设备作为HWTACACS的客户端,将用户名和密码发给HWTACACS服务器进行验证,用户验证通过并得到授权之后可以登录到设备上进行操作,HWTACACS服务器上会记录用户对设备执行过的命令。
HWTACACS方案中定义了设备和HWTACACS服务器之间进行信息交互所必须的一些参数。当创建一个新的HWTACACS方案之后,需要对属于此方案的HWTACACS服务器的IP地址、TCP端口号和报文共享密钥进行设置,这些服务器包括认证、授权和计费服务器,而每种服务器又有主服务器和从服务器的区别。每个HWTACACS方案的属性包括:主服务器的IP地址、从服务器的IP地址、共享密钥等。
(1) 在导航栏中选择“认证 > HWTACACS”,进入如图1-1所示的页面。
(2) 单击<新建>按钮,进入新建HWTACACS方案的配置页面,如图1-2所示。
(3) 配置HWTACACS方案,详细配置如表1-1所示。
(4) 单击<确定>按钮完成操作。
表1-1 HWTACACS方案的详细配置
配置项 |
说明 |
方案名称 |
缺省情况下,存在一个名称为system的HWTACACS方案 通过Web首次配置HWTACACS功能时,默认方案名为system,该名称不可更改。点击<确认>后,再次新建HWTACACS方案,可以创建新的HWTACACS方案 |
通用配置 |
设置HWTACACS方案的通用参数,包括用户名格式、认证、授权、计费服务器共享密钥等,详细配置请参见“1.2.2 高级配置” |
HWTACACS服务器配置 |
设置HWTACACS认证服、授权和计费服务器信息,详细配置请参见“1.2.3 HWTACACS服务器配置” |
(1) 单击“高级”前的扩展按钮,可以展开通用参数中的高级配置,如图1-3所示。
(2) 配置通用参数,详细配置表1-2如所示。
配置项 |
说明 |
用户名格式 |
设置发送给HWTACACS服务器的用户名格式 接入用户通常以“userid@isp-name”的格式命名,“@”后面的部分为域名,如果HWTACACS服务器不接受带域名的用户名时,可以配置将用户名的域名去除后再传送给HWTACACS服务器 l 带域名:表示发送给HWTACACS服务器的用户名带域名 l 不带域名:表示发送给HWTACACS服务器的用户名不带域名 l 保持用户原始输入:表示发送给HWTACACS服务器的用户名保持用户原始的输入,不做任何修改 |
认证服务器共享密钥 |
设置HWTACACS认证报文、HWTACACS授权报文和HWTACACS计费报文的共享密钥 HWTACACS客户端与HWTACACS服务器通过设置共享密钥来验证报文的合法性。只有在密钥一致的情况下,彼此才能接收对方发来的报文并作出响应 必须保证设备上设置的共享密钥与HWTACACS服务器上的完全一致 设备优先采用“HWTACACS服务器配置”中指定的共享密钥,此处指定的共享密钥仅在“HWTACACS服务器配置”中未指定相应共享密钥的情况下使用 |
确认认证服务器共享密钥 |
|
授权服务器共享密钥 |
|
确认授权服务器共享密钥 |
|
计费服务器共享密钥 |
|
确认计费服务器共享密钥 |
|
静默时间间隔 |
设置HWTACACS服务器恢复激活状态的时间 设置主服务器恢复激活状态的时间 当主服务器不可达时,状态变为block,设备会与状态为active的备份服务器交互,并开启超时定时器,在设定的一定时间间隔之后,将主服务器的状态恢复为active。这段时间被称为静默时间间隔 输入空时,恢复静默时间间隔为缺省值 当静默时间间隔设置为0时,若当前用户使用的认证或计费服务器不可达,则设备并不会切换它的状态,而是保持其为active,并且将使用该服务器的用户认证或计费的报文发送给下一个状态为active的服务器,而后续其它用户的认证请求报文仍然可以发送给该服务器进行处理 若判断主服务器不可达是网络端口短暂中断或者服务器忙碌造成的,则可以结合网络的实际运行状况,将静默时间间隔设置为0,使得用户尽可能的集中在主服务器上进行认证和计费 |
服务器应答超时时间 |
设置HWTACACS服务器应答超时时间 如果在HWTACACS请求报文(认证/授权请求或计费请求)传送出去一段时间后,设备还没有得到HWTACACS服务器的响应,则有必要重传HWTACACS请求报文,以保证用户确实能够得到HWTACACS服务,这段时间被称为服务器应答超时时间 输入空时,恢复应答超时时间为缺省值 由于HWTACACS是基于TCP实现的,因此,服务器应答超时或TCP超时都可能导致与HWTACACS服务器的连接断开 |
实时计费间隔 |
设置实时计费的时间间隔,取值必须为3的整数倍 为了对用户实施实时计费,有必要定期向服务器发送用户的实时计费信息,通过设置实时计费的时间间隔,设备会每隔设定的时间向HWTACACS服务器发送一次在线用户的计费信息。如果服务器对实时计费报文没有正常响应,设备也不会强制切断在线用户 输入空时,恢复实时计费的时间间隔为缺省值 实时计费间隔的取值对设备和HWTACACS服务器的性能有一定的相关性要求,取值越小,对设备和HWTACACS服务器的性能要求越高。建议当用户量比较大(≥1000)时,尽量把该间隔的值设置得大一些。实时计费间隔与用户量之间的推荐比例关系请参见“1.4 配置注意事项” |
缓存未得到响应的停止计费报文 |
设置允许或禁止在设备上缓存没有得到响应的停止计费请求报文 由于停止计费请求报文涉及到话单结算,并最终影响收费多少,对用户和ISP都有比较重要的影响,因此设备应该尽最大努力把它发送给HWTACACS计费服务器。所以,如果HWTACACS计费服务器对设备发出的停止计费请求报文没有响应,设备应将其缓存在本机上,然后发送直到HWTACACS计费服务器产生响应,或者在发送的次数达到指定的次数限制后将其丢弃 |
停止计费报文最大发送次数 |
设置当出现没有得到响应的停止计费请求时,将该报文存入设备缓存后,发送停止计费请求报文的最大次数 当停止计费缓存为Disable状态时,该值无效 输入空时,恢复停止计费请求报文传送次数为缺省值 |
HWTACACS报文源IP地址 |
设备向HWTACACS服务器发送HWTACACS报文时使用的源IP地址 HWTACACS服务器上通过IP地址来标识接入设备,并根据收到的HWTACACS报文的源IP地址是否与服务器所管理的接入设备的IP地址匹配,来决定是否处理来自该接入设备的认证、授权或计费请求。因此,为保证认证、授权和计费报文可被服务器正常接收并处理,接入设备上发送HWTACACS报文使用的源地址必须与HWTACACS服务器上指定的接入设备的IP地址保持一致 如果不指定此地址,则以发送报文的接口地址作为源IP地址 |
流量数据的单位 |
设置发送到HWTACACS服务器的流量数据的单位 l Byte:表示流量数据的单位为字节 l Kilo-byte:表示流量数据的单位为千字节 l Mega-byte:表示流量数据的单位为兆字节 l Giga-byte:表示流量数据的单位为千兆字节 |
数据包的单位 |
设置发送到HWTACACS服务器的数据包的单位 l One-packet:表示数据包的单位为包 l Kilo-packet:表示数据包的单位为千包 l Mega-packet:表示数据包的单位为兆包 l Giga-packet:表示数据包的单位为千兆包 |
(1) 在“HWTACACS服务器配置”中单击<添加>按钮,弹出如图1-4所示的页面。
(2) 为HWTACACS方案添加HWTACACS服务器,详细配置如表1-3所示。
(3) 单击<确定>按钮,关闭弹出的页面,完成服务器的配置。
表1-3 HWTACACS服务器的详细配置
配置项 |
说明 |
服务器类型 |
设置要添加的HWTACACS服务器类型,包括:主认证服务器、主授权服务器、主计费服务器、从认证服务器、从授权服务器、从计费服务器 |
IP地址 |
设置HWTACACS服务器的IPv4地址 主认证/授权/计费服务器和从认证/授权/计费服务器的IP地址不能相同 |
端口 |
设置HWTACACS服务器的TCP端口号 |
密钥 |
设置HWTACACS服务器的共享密钥 当HWTACACS服务器中未指定共享密钥时,使用HWTACACS方案的通用配置中指定的共享密钥 |
确认密钥 |
通过配置Switch实现HWTACACS服务器对Telnet登录Switch的用户进行认证、授权、计费。
l 由一台HWTACACS服务器担当认证、授权、计费服务器的职责,服务器IP地址为10.1.1.1/24。
l Switch与认证、授权、计费HWTACACS服务器交互报文时的共享密钥均为expert,向HWTACACS服务器发送的用户名中不带域名。
图1-5 HWTACACS配置组网图
在HWTACACS服务器上设置其与Switch交互报文时的共享密钥为expert,添加Telnet用户名及密码。具体配置略。
开启Telnet服务器功能,并配置Telnet用户登录采用AAA认证方式。具体配置略。
(1) 配置各接口IP地址和所属安全域。(略)
(2) 配置HWTACACS方案system。
步骤1:在导航栏中选择“认证 > HWTACACS”,进入HWTACACS的配置页面。
步骤2:单击<新建>按钮,进入新建HWTACACS方案的配置页面。
步骤3:选择用户名格式为“不带域名”。
步骤4:在“HWTACACS服务器配置”中单击<添加>按钮,弹出添加HWTACACS服务器的配置页面。
步骤5:在弹出的页面上进行如下配置,如图1-6所示。
l 选择服务器类型为“主认证服务器”。
l 输入IP地址为“10.1.1.1”。
l 输入端口为“49”。
l 输入密钥为“expert”。
l 输入确认密钥为“expert”。
步骤6:单击<确定>按钮,关闭弹出的页面,完成主认证服务器的配置。
图1-6 配置HWTACACS认证服务器
步骤7:在“HWTACACS服务器配置”中单击<添加>按钮,弹出添加HWTACACS服务器的配置页面。
步骤8:在弹出的页面上进行如下配置,如图1-7所示。
l 选择服务器类型为“主授权服务器”。
l 输入IP地址为“10.1.1.1”。
l 输入端口为“49”。
l 输入密钥为“expert”。
l 输入确认密钥为“expert”。
步骤9:单击<确定>按钮,关闭弹出的页面,完成主授权服务器的配置。
图1-7 配置HWTACACS授权服务器
步骤10:在“HWTACACS服务器配置”中单击<添加>按钮,弹出添加HWTACACS服务器的配置页面。
步骤11:在弹出的页面上进行如下配置,如图1-8所示。
l 选择服务器类型为“主计费服务器”。
l 输入IP地址为“10.1.1.1”。
l 输入端口为“49”。
l 输入密钥为“expert”。
l 输入确认密钥为“expert”。
步骤12:单击<确定>按钮,关闭弹出的页面,完成主计费服务器的配置。
图1-8 配置HWTACACS计费服务器
步骤13:完成上述配置后的新建HWTACACS方案的页面如图1-9所示,单击<确定>按钮完成操作。
配置HWTACACS客户端时需要注意如下事项:
(1) 有用户在线时,不能删除HWTACACS方案,并且不能修改HWTACACS服务器IP地址。
(2) 只有在设备与HWTACACS认证/授权/计费服务器没有报文交互时,才允许删除该服务器。
(3) 目前HWTACACS不支持对FTP用户进行计费。
(4) 实时计费间隔与用户量之间的推荐比例关系如表1-4所示。
用户数 |
实时计费间隔(分钟) |
1~99 |
3 |
100~499 |
6 |
500~999 |
12 |
≥1000 |
≥15 |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!