• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

04-系统管理配置指导

目录

09-管理员认证配置指导

本章节下载 09-管理员认证配置指导  (193.32 KB)

09-管理员认证配置指导


1 管理员认证

1.1  概述

设备在管理员配置地方可以配置本地管理员、radius管理员和ldap管理员,以上三种管理员统一划分到本地管理员认证范围内,因为属于本地存在账户后续走本地管理员认证流程;外部管理员认证在设备本身不需要配置管理员,即只需要知道配置的第三方服务器上的用户账号密码进行登录设备即可;优点:减少维护复杂性、减少安全隐患、减少导致账号外泄的风险。

1.2  使用限制

·     三权模式不支持此功能;

·     选择外部认证时,只支持选择服务器对象且只能选择一个,不支持多选,不支持服务器组。

1.3  新建管理员账号

表1-1所示步骤新建认证类型为本地认证管理员账号。

表1-1 新建管理员账号,配置认证类型为本地认证

操作

命令

说明

进入系统视图

system-view

-

进入配置视图

configure terminal

-

新建管理账号及密码

user administrator username local password authorized-table username

必选

设置第一授权登录设备管理IP

user administrator username authorized-address  first  A.B.C.D/M

必选

 

表1-2所示步骤新建认证类型为radius管理员账号,前提先完成设备与radius配置。

表1-2 新建管理员账号,配置认证类型为radius

操作

命令

说明

进入系统视图

system-view

-

进入配置视图

configure terminal

-

新建管理账号及密码

user administrator username radius radiusserver authorized-table username

必选

设置第一授权登录设备管理IP

user administrator username authorized-address  first  A.B.C.D/M

必选

 

表1-3所示步骤新建认证类型为ldap管理员账号,前提先完成设备与ldap配置。

表1-3 新建管理员账号,配置认证类型为ldap

操作

命令

说明

进入系统视图

system-view

-

进入配置视图

configure terminal

-

新建管理账号及密码

user administrator username ldap ldapserver authorized-table username

必选

设置第一授权登录设备管理IP

user administrator username authorized-address  first  A.B.C.D/M

必选

 

按下表所示步骤设置管理员密码周期。

表1-4 设置管理员密码周期

操作

命令

说明

进入配置视图

configure terminal

-

新建管理账号及密码

user administrator NAME pwd-cycle-duration <0-7> pwd-end-time <0-2147483648>

可选

NAME:管理员账户名称。
pwd-cycle-duration <0-7> 密码周期, 0到7天
pwd-end-time <0-2147483648> 到期时间,单位:秒。

 

1.4  管理员认证配置举例

1.4.1  管理员认证类型为本地配置举例

1. 组网需求

按照如下组网配置设备与终端IP地址。

图1-1 管理员认证类型为本地组网图

 

2. 配置思路

·     开启设备相应接口http/https

·     创建管理员账号及密码

3. 配置步骤

(1)     接口下开启http/https服务

host#system-view

host(config)# interface ge2

host(config-ge0)#ip add 192.168.1.1/24

host(config-ge0)#allow access all

 

(2)     配置管理账号密码

host(config)# user administrator admin local admin@123 authorized-table admin

host(config)# user administrator admin authorized-address first 0.0.0.0/0

 

4. 验证配置

使用本地认证方式管理员账号登录设备。

图1-2 使用本地认证方式管理员账号登录设备

 

1.4.2  管理员认证类型为ldap配置举例

1. 组网需求

按照如下组网配置设备与终端IP地址。

图1-3 管理员认证类型为ldap组网图

 

2. 配置思路

·     开启设备相应接口http/https

·     配置ldap服务器

·     创建认证类型为ldap的账号

3. 配置步骤

(1)     接口下开启http/https服务

host#system-view

host(config)# interface ge2

host(config-ge0)#ip add 192.168.1.1/24

host(config-ge0)#allow access all

 

(2)     配置ldap服务器:

host(config)# ldap ldap1

host (config-ldap)# ldap 172.18.0.39 389

host (config-ldap)# cnid upn

host (config-ldap)# dn ou=userou,dc=ceshi,dc=ad,dc=com

host (config-ldap)# bindtype simple user cn=administrator,cn=Users,dc=ceshi,dc=ad,dc=com passwd 1234@abcd

 

(3)     配置管理账号密码

host(config)# user administrator admin ldap ldap1 authorized-table admin

host(config)# user administrator admin authorized-address first 0.0.0.0/0

 

4. 验证配置

使用ldap认证方式管理员账号登录设备。

图1-4 使用ldap认证方式管理员账号登录设备

 

1.4.3  管理员认证类型为radius配置举例

1. 组网需求

按照如下组网配置设备与终端IP地址。

图1-5 管理员认证类型为radius组网图

 

2. 配置思路

·     开启设备相应接口http/https

·     配置radius服务器

·     创建认证类型为radius的账号

 

3. 配置步骤

(1)     接口下开启http/https服务

host#system-view

host(config)# interface ge2

host(config-ge0)#ip add 192.168.1.1/24

host(config-ge0)#allow access all

 

(2)     配置radius服务器:

host(config)# radius-server radius01 10.0.163.9 000000

 

(3)     配置管理账号密码

host(config)# user administrator admin radius radius01 authorized-table admin

host(config)# user administrator admin authorized-address first 0.0.0.0/0

 

4. 验证配置

使用radius认证方式管理员账号登录设备。

图1-6 使用radius认证方式管理员账号登录设备

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们