iMC EIA设备管理用户认证

典型配置

资料版本：5W109-20230706

产品版本：iMC EIA 7.3 (E0630)

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

除新华三技术有限公司的商标外，本手册中出现的其它公司的商标、产品标识及商品名称，由各自权利人拥有。

本文档中的信息可能变动，恕不另行通知。

1 介绍

本案例介绍设备管理员以Telnet方式登录设备时需要进行身份验证，验证通过后才能登录设备。

2 特性使用指南

2.1 使用场合

适用于设备管理员登录设备时需要进行身份验证的场合。

2.2 配置前提

配置前需确保终端、设备、服务器相互连通。

3 配置举例

3.1 组网需求

设备管理员登录设备时需要进行身份验证，具体组网如图1所示。EIA服务器IP地址为192.168.1.218，设备IP地址为192.168.30.100。

图1 组网图

本案例中各部分使用的版本如下：

· EIA版本为iMC EIA 7.3 (E0630)

· 设备为H3C S3600V2-28TP-EI Comware Software, Version 5.20, Release 2103

3.2 配置步骤

3.2.1 增加接入设备

将需要管理的设备增加为EIA中的接入设备，增加接入设备的方法如下：

(1) 选择“用户”页签。

(2) 单击导航树中的[接入策略管理>接入设备管理>接入设备配置]菜单项，进入接入设备配置页面，如图2所示。

图2 接入设备配置

(3) 单击<增加>按钮，进入增加接入设备页面。如图3所示。

图3 增加接入设备页面

(4) 配置接入设备。关联接入设备有两种方法：

¡ 在设备列表中单击<选择>按钮从iMC平台中选择设备。

¡ 在设备列表中单击<手工增加>按钮，手工配置接入设备。

无论采用哪种方式，接入设备的IP地址都必须满足以下要求：

¡ 如果在接入设备上配置radius scheme时配置了nas ip命令，则EIA中接入设备的IP地址必须与nas ip的配置保持一致。

¡ 如果未配置nas ip命令，则EIA中接入设备的IP地址必须是设备连接EIA服务器的接口IP地址（或接口所在VLAN的虚接口IP地址）。

从iMC平台中选择设备时，设备的IP地址无法修改。因此如果设备加入iMC平台时使用的IP地址不满足上述要求，则可以采用手工增加的方式增加接入设备。本例采用手工增加的方式进行说明。

单击设备列表中的<手工增加>按钮，弹出手工增加接入设备窗口，输入接入设备的IP地址，如图4所示。

图4 手工输入接入设备的IP地址

(5) 单击<确定>按钮，返回增加接入设备页面。

(6) 继续进行接入设备配置，参数说明如表1所示，配置完成效果如图5所示。

表1 公共参数

参数	说明
认证端口	EIA监听RADIUS认证报文的端口。此处的配置必须与接入设备命令行配置的认证端口保持一致。EIA和接入设备一般都会采用默认端口1812。
计费端口	EIA监听RADIUS计费报文的端口。此处的配置必须与接入设备命令行配置的计费端口保持一致。EIA和接入设备一般都会采用默认端口1813。
业务类型	在下拉框中选择该设备承载的业务，包括接入用户业务和设备管理业务等。接入用户业务用于用户接入和使用网络，设备管理业务用于设备管理员登录和管理设备。支持的具体业务类型请以实际版本为准，本例选择“不限”。
接入设备类型	在下拉框中选择接入设备的厂商和类型。下拉框中包含了Standard、EIA系统预定义和管理员自定义的厂商和类型。支持标准RADIUS协议的设备都可以选择Standard。系统预定义的厂商和类型有以下几种，包括H3C(General)、3COM(General)、HUAWEI(General)、CISCO(General)、RG(General)、HP(MSM)、HP(Comware)、MICROSOFT(General)、JUNIPER(General)和HP(ProCurve)。
业务分组	在下拉框中选择接入设备所属的业务分组。将接入设备加入不同的业务分组以便进行分权管理。本例选择“未分组”。
共享密钥/确认共享密钥	输入两次相同的共享密钥。接入设备与EIA配合进行认证时，使用该密钥互相验证对方的合法性。此处的配置必须与接入设备命令行配置的共享密钥保持一致。如果系统参数中的“密钥显示方式”设置为明文时，只需输入一次共享密钥即可。
接入位置分组	为接入设备指定接入位置分组。一个接入设备只能属于一个接入位置分组。本例选择“无”。

图5 接入设备

(7) 单击<确定>按钮，完成增加接入设备。

3.2.2 增加设备管理用户

设备管理用户即可以登录并管理设备的用户。

增加设备管理用户的方法如下：

(1) 选择“用户”页签。

(2) 单击导航树中的[接入用户管理>设备管理用户>设备管理用户]菜单项，进入设备管理用户页面。如图6所示。

图6 设备管理用户页面

(3) 单击<增加>按钮，进入增加设备管理用户页面。如图7所示。

图7 增加设备管理用户页面

(4) 配置以下参数，其他参数保持默认配置即可，配置完成效果如图10所示。

¡ 帐号名：输入登录设备时使用的用户名。

¡ 用户密码：输入登录设备时使用的密码。

¡ 密码确认：再次输入密码。

¡ 邮箱地址：设备管理用户的邮箱。

¡ 认证密码方式：设备管理用户的登录认证方式，本例选择为“账号密码”。

¡ 登录类型：选择登录类型，本案例选择Telnet。

¡ EXEC权限级别：EXEC权限级别是指在设备上执行命令的权限。该参数数值越大，权限越高，在设备上可执行的命令就越多。不同设备的管理权限等级分级不同，请以设备为准，H3C设备的管理权限分为0级~3级，本例配置为“3”。

¡ 角色名：输入绑定的角色名。该参数表示设备管理用户登录设备后被下发的角色，目前仅H3C部分设备支持。本例保持为空。

¡ 绑定的用户IP地址列表：单击<增加>按钮，添加绑定的用户IP地址列表，如图8所示。设备管理用户只有使用属于该IP范围的终端才能登录设备。

图8 绑定的用户IP地址列表

¡ 所管理设备IP地址列表：单击<增加>按钮，添加所管理设备IP地址列表，如图9所示。设备管理用户只能管理该IP范围内的设备，因此应包含增加接入设备时配置的IP地址。

图9 所管理设备IP地址列表

图10 配置设备管理用户参数

(5) 单击<确定>按钮，完成增加设备管理用户，如图11所示。

图11 完成增加设备管理用户

3.2.3 配置接入设备

配置用户登录时完成身份验证的AAA服务器，将iMC EIA指定为AAA服务器。

以下使用Windows的CLI窗口Telnet到接入设备并进行配置，具体方法如下：

(1) 以Telnet方式登录接入设备，并进入系统视图。

(2) 配置用户Telnet登录时通过scheme认证。

[H3C]user-interface vty 0 4

[H3C-ui-vty0-4]authentication-mode scheme

[H3C-ui-vty0-4]quit

(3) 配置RADIUS scheme。IP地址指向iMC EIA服务器，监听端口、共享密钥需与EIA中接入设备的配置保持一致。

[H3C]radius scheme 391

New Radius scheme

[H3C-radius-391]primary authentication 192.168.1.218 1812

[H3C-radius-391]primary accounting 192.168.1.218 1813

[H3C-radius-391]key authentication 123

[H3C-radius-391]key accounting 123

[H3C-radius-391]nas-ip 192.168.30.100

[H3C-radius-391]server-type extended

[H3C-radius-391]user-name-format with-domain

[H3C-radius-391]quit

iMC EIA和设备配合对Telnet用户进行认证时，登录名与帐号名的配置必须符合表2的约束关系，本案例中采用第一种组合。

表2 登录名与帐号名约束关系

登录名	设备用于认证的Domain	设备配置的相关命令	iMC中设备管理用户的账号名
X@Y	Y	With-domain	X@Y
X@Y	Y	Without-domain	X
X	[Default Domain]（缺省域）	With-domain	X@[Default Domain]
X	[Default Domain]（缺省域）	Without-domain	X