- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
手册下载
21-H3C TAM 设备用户认证+RSA认证典型配置举例-整本手册.pdf (1.49 MB)
H3C TAM设备用户认证+RSA认证
典型配置举例
资料版本:5W117-20240515
产品版本:TAM (E6204)
Copyright © 2024 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目 录
在配置了向TAM进行设备用户身份认证并且TAM启用了RSA认证的网络中,用户登录设备时向TAM服务器发送认证请求,TAM会将用户认证请求转给RSA服务器,由RSA服务器来验证用户身份。TAM根据RSA服务器的验证结果允许或拒绝用户登录设备。
适用于需要使用动态密码的应用环境,如银行系统,可以提高密码的安全性。
接入设备支持TACACS+协议,网络中存在RSA服务器,用户具有RSA认证令牌。
某银行计划启用RSA认证系统,用户登录设备时,向TAM服务器发送认证请求,进行静态密码校验,校验完成后,TAM将认证请求转发给RSA服务器,由RSA服务器来验证设备用户身份,其中认证密码为动态密码。
· TAM服务器IP地址为192.168.7.196,查看方式如下:
· 在集群部署环境中,会涉及TAM服务器IP地址使用北向业务虚IP还是所在实际节点IP的问题,该地址请务必填写为北向业务虚IP。
· 下述步骤为查看TAM服务器IP地址的通用步骤,涉及到的IP地址与本文档无关,以查看TAM服务器IP地址“10.114.117.164”为例进行介绍。
a. 打开浏览器输入https://ip_address:8443/matrix/ui,打开Matrix页面。其中,ip_address为北向业务虚IP或节点IP。
b. 选择“部署”页签,单击“集群”菜单项,切换至“集群参数”页签,进入集群参数页面。
c. 该页面中的北向业务虚IP即为TAM服务器的IP地址,如图1所示。
图1 查看EIA服务器IP地址
· RSA服务器IP地址为192.168.3.95,设备IP地址为192.168.71.11。
图2 组网图
注:本案例中各部分使用的版本如下:
· TAM版本:TAM (E6204)
· H3C S5560-54C-PWR-EI Comware Software, Version 7.1.045, Release 1122P01
针对TAM需要配置以下功能:
(1) 增加设备
(2) 增加启用RSA认证的授权策略
(3) 配置RSA服务器
(4) 增加设备用户
增加设备是为了建立TAM服务器和设备之间的联动关系。
(1) 选择“自动化”页签。单击导航树中的“用户业务 > 设备用户”菜单项,切换至“设备管理(TACACS)”页签,进入设备管理(TACACS)页面,如图3所示。
(2) 单击<增加>按钮,进入设备配置页面,如图4所示。
配置设备参数如下:
¡ 共享密钥/确认共享密钥:此处的配置必须与设备命令行配置的共享密钥保持一致。本例采用“fine”作为共享密钥。
¡ 认证端口:此处必须与设备命令行配置的端口保持一致。本例采用缺省值49。
¡ 其他参数,保持缺省值。
(3) 增加设备。单击<增加IPv4设备>按钮,弹出“单个增加”及“批量增加”选项。
单个增加:
a. 选择“单个增加”项,弹出手工增加设备对话框,如图5所示。
b. 输入设备IP地址,单击<确定>按钮,完成配置。
· 批量增加:
a. 单击<批量增加>按钮,弹出批量增加设备窗口。
b. 在“起始IP地址”处输入设备的IP地址。设备的IP地址必须是设备连接TAM服务器的接口IP地址或接口所在VLAN的虚接口IP地址,如图6所示。
c. 单击<确定>按钮,增加设备成功,返回增加设备页面。
(4) 设备参数设置完成后的结果如图7所示。
(5) 单击<确定>按钮,增加设备完毕,进入增加设备结果页面。
(6) 单击<返回>按钮,返回设备管理页面,在设备列表中查看新增的设备,如图8所示。
配置启用RSA认证的授权策略步骤如下:
(1) 选择“自动化”页签,单击导航树中的“用户业务 > 设备用户”菜单项,切换至“授权策略管理”页签,进入授权策略管理页面,如图9所示。
图9 授权策略管理页面
(2) 单击<增加>按钮,进入增加授权策略页面,如图10所示。
参数说明:
¡ 输入授权策略名“RSA认证”。
¡ 勾选“启用RSA”项,选择设备用户密码校验方式为“TAM+RSA组合密码”。
¡ 其他参数保持缺省即可。
(3) 单击列表修改列的“修改”图标,弹出增加接入授权信息对话框,将“Shell Profile”项修改为“使用设备的缺省配置”,将“授权命令集”项修改为“不限”,如图11所示。
当Shell Profile选择“使用设备的缺省配置”表示用户登录设备后使用设备缺省提供的Shell Profile。此情况下,需保证设备的缺省用户角色授权功能处于开启状态,否则用户认证通过后无法正常连接设备。
(4) 单击<确定>按钮,完成增加授权策略操作,可在授权策略列表中查看新增的授权策略,如图12所示。
TAM将设备用户的认证请求转发给RSA服务器处理。RSA的验证结果决定用户是否能通过认证。
(1) 选择“自动化”页签。单击导航树中的“用户业务 >设备用户”菜单项,切换至“系统配置 > RSA认证参数”页签,进入RSA认证参数页面,如图13所示。
(2) 使能“启用RSA”选项,并配置RSA认证参数如下,结果如图14所示。
图14 RSA认证设置
参数说明:
¡ 动态密码长度:表示RSA动态密码的长度,本例设置为6。
¡ 配置RSA主服务器信息:
- 主服务器IP地址:RSA服务器的IPv4地址,本例为“192.168.3.95”。
- 主服务器端口:表示RSA服务器的目的端口,是指认证报文转发到目标RSA服务器的端口号,本例设置为1812。
- 主服务器密钥/确认密钥:表示TAM服务器与RSA服务器约定的共享密钥,是RADIUS报文转发时使用的密钥,本例为mytest。
¡ 启用RSA主备服务器自动切换:启用该功能后,需配置RSA备份服务器信息。当RSA主服务器故障时,会自动切换使用备份服务器;当RSA备份服务器故障时,又会自动切换至主服务器,本文档无需配置该项。
(3) 单击<确定>按钮保存配置。
设备用户是用户登录设备时使用的帐号,包含帐号名、密码和使用的授权策略等信息。
(1) 选择“自动化”页签,单击导航树中的“用户业务 > 设备用户”菜单项,切换至“设备用户(TACACS) > 所有设备用户”页签,进入所有设备用户页面,如图15所示。
(2) 单击<增加>按钮,进入增加设备用户页面。输入帐号名、登录密码并进行登录密码确认,用户的授权策略项选择“RSA认证”,其它参数保留缺省值,结果如图16所示。
(3) 单击<确定>按钮,设备用户增加完毕,在设备用户列表中查看新增的设备用户,如图17所示。
设备上需要配置TACACS方案、域、认证方式,使登录到设备上的用户到TAM中进行身份认证,进而由TAM转发给RSA服务器进行身份认证。以下使用Console口登录设备并进行配置,具体的命令及说明如下。
(1) 进入系统视图
<H3C>system-view
System View: return to User View with Ctrl+Z.
(2) 配置TACACS策略zz,认证、授权、计费服务器都指向TAM,认证、授权、计费端口与TAM中增加设备时的配置保持一致,用户名为不带域名格式。
[H3C] hwtacacs scheme zz
Create a new HWTACACS scheme.
[H3C-hwtacacs-zz] primary authentication 192.168.7.196 49
[H3C-hwtacacs-zz] primary authorization 192.168.7.196 49
[H3C-hwtacacs-zz] primary accounting 192.168.7.196 49
[H3C-hwtacacs-zz] key authentication simple fine
[H3C-hwtacacs-zz] key authorization simple fine
[H3C-hwtacacs-zz] key accounting simple fine
[H3C-hwtacacs-zz] user-name-format without-domain
[H3C-hwtacacs-zz] quit
(3) 创建domain,配置域引用的TACACS方案。配置登录认证和权限提升认证,配置登录授权和命令行授权,配置登录审计和命令行审计:
[H3C] domain hwt
[H3C-isp-hwt] authentication login hwtacacs-scheme zz
[H3C-isp-hwt] authentication super hwtacacs-scheme zz
[H3C-isp-hwt] authorization login hwtacacs-scheme zz
[H3C-isp-hwt] authorization command hwtacacs-scheme zz
[H3C-isp-hwt] accounting login hwtacacs-scheme zz
[H3C-isp-hwt] accounting command hwtacacs-scheme zz
[H3C-isp-hwt] quit
(4) 配置认证方式,开启Telnet开关,认证方式配置为AAA:
[H3C] telnet server enable
[H3C] user-interface vty 0 4
[H3C-ui-vty0-4] authentication-mode scheme
[H3C-ui-vty0-4] command authorization//命令行授权发送到认证服务器
[H3C-ui-vty0-4] command accounting//命令行审计发送到认证服务器
[H3C-ui-vty0-4] quit
[H3C] domain default enable hwt
(5) 登录后权限提升认证方式配置为AAA:
[H3C] super authentication-mode scheme
(1) 在RSA服务器上登录RSA Security Console,选择“Identity > Users > Add New”项,如图18所示。
图18 RSA Security Console-Add New Users
(2) 如图19所示,增加用户“rose”,确保其与TAM中增加的帐号名相同。
(3) 为用户分配token,有如下两种方法:
¡ 选择“Identity > Users > Manage
Existing”项,点击用户“rose”右侧的
,在弹出的下拉列表中选择“SecurID Tokens”项,选择需要为用户分配的token。
¡ 选择“Authentication > SecurID
Tokens > Manage Existing > Unassigned”项,点击Token右侧的
,在弹出的下拉列表中选择“Assign to User”项,选择待分配该token的用户。
(1) 在RSA服务器上登录RSA Security Console,选择“RADIUS > RADIUS Clients > Add New”项,如图20所示。
图20 RSA Security Console-Add New Clients
(2) 如图21所示,添加TAM为RADIUS Client方法如下:
a. 输入客户端名称,本例为“192.168.7.196”。
b. 客户端IP地址配置必须为TAM服务器IP地址,本例为“192.168.7.196.”。
c. 共享密钥配置必须与3.2.1 3. 配置RSA服务器中设置的密钥保持一致,本例为“mytest”。
(3) 单击<Save>按钮,增加RADIUS Client及与其关联的RSA Agent完成。
图23 RSA服务器上认证监听端口
使用Telnet方式认证步骤如下:
使用Telnet的方式登录到设备上,如图24所示,。
图24 Telnet到设备
输入用户名和密码,设备管理用户成功登录设备,如图25所示。其中,密码格式为静态密码+动态密码,例如本例中静态密码为1,RSA token上动态密码为123456,则输入密码为1123456。
选择“自动化”页签,单击导航树中的“用户业务 > 设备用户”菜单项,切换至“设备用户(TACACS) > 所有在线用户”页签,进入所有在线用户页面,查看在线用户,如图26所示。
支持
售前咨询
售后咨询
人工在线咨询
