• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

01-设备管理

目录

04-管理用户认证典型配置举例(HWTACACS服务器)

本章节下载 04-管理用户认证典型配置举例(HWTACACS服务器)  (687.12 KB)

04-管理用户认证典型配置举例(HWTACACS服务器)

管理用户认证典型配置举例(HWTACACS服务器)

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Copyright © 2021 新华三技术有限公司 版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。

除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。

本文档中的信息可能变动,恕不另行通知。



1  简介

本文档介绍了通过HWTACACS服务器管理用户认证的典型配置举例。

2  特性使用指南

2.1  使用场合

需要通过HWTACACS服务器进行身份验证的场景。

2.2  配置前提

本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

3  配置举例

3.1  组网需求

AC和HWTACACS服务器通过交换机建立连接。AC的IP地址为192.168.100.133/24,与AC相连的HWTACACS服务器的IP地址为192.168.100.175/24。要求Telnet方式登录设备时,需要通过HWTACACS服务器进行身份验证。

图1 组网图

 

3.2  配置HWTACACS服务器(iMC)

说明

·     下面以iMC为例(使用iMC版本为:iMC PLAT 7.3、iMC EAD 7.3),说明HWTACACS server的基本配置。

·     在服务器上已经完成证书的安装。

 

1. 增加设备

登录进入iMC管理平台,增加设备的方法如下:

(1)     选择“用户”页签。

(2)     单击导航树中的“设备用户策略管理 > 设备管理”菜单项,进入“设备管理”页面。

(3)     单击<增加>按钮,进入“增加设备”页面:

¡     设置共享密钥为fine,其它保持缺省配置;

¡     选择或手工增加设备,添加IP地址为192.168.100.133的设备。

图2 增加设备页面

 

(4)     单击<确定>按钮,完成增加设备。

2. 增加启用认证的授权策略

增加启用认证的授权策略的方法如下:

(1)     选择“用户”页签。

(2)     单击导航树中的“设备用户策略管理 >授权命令配置>Shell Profile配置>增加Shell Profile”菜单项,进入“新增Shell Profile”页面:

¡     输入名称为授权级别;

¡     授权级别为15。

(3)     单击<确定>按钮,完成Shell Profile增加。

图3 新增Shell Profile页面

 

(4)     单击导航树中的“设备用户策略管理 > 授权策略管理”菜单项,进入“授权策略管理”页面。单击<增加>按钮,进入“增加授权策略”页面,新增名称为test的授权策略。

图4 增加授权策略

 

(5)     修改“接入授权信息”的缺省记录。点击图4中修改图标,弹出“修改接入授权信息”窗口:

¡     Shell Profile修改为1;

¡     授权命令集修改为不限。

图5 修改授权信息页面

 

(6)     单击<确定>按钮,完成修改接入授权信息,返回“增加授权策略”页面。

(7)     在“增加授权策略”页面,单击<确定>按钮,授权策略增加完毕。

3. 增加设备用户

设备用户是用户登录设备时使用的帐号,包含帐号名、密码和使用的授权策略等信息。

(1)     选择“用户”页签。

(2)     单击导航树中的“设备用户管理 > 所有设备用户”菜单项,进入“所有设备用户”页面。

(3)     单击<增加>按钮,进入“增加设备用户”页面:

¡     设置账号名为admin;

¡     登录密码为admin;

¡     用户的授权策略为test;

¡     其它保持缺省配置。

图6 增加设备用户

 

(4)     单击<确定>按钮,完成设备用户的增加。

3.3  配置AC

# 配置用户采用Telnet方式登录设备时采用scheme认证。

<H3C> system-view

[H3C] line vty 0 31

[H3C-line-vty0-31] authentication-mode scheme

[H3C-line-vty0-31] quit

# 配置HWTACACS方案,名称为test,主认证服务器的IP地址为192.168.100.175,端口号为49,配置主计费服务器的IP地址为192.168.100.175,端口号为49,配置主授权服务器的IP地址为192.168.100.175,端口号为49,配置认证、计费、授权密钥均为明文fine,用户名格式为without-domain。

[H3C] hwtacacs scheme test

[H3C-hwtacacs-test] primary authentication 192.168.100.175 49

[H3C-hwtacacs-test] primary authorization 192.168.100.175 49

[H3C-hwtacacs-test] primary accounting 192.168.100.175 49

[H3C-hwtacacs-test] key authentication simple fine

[H3C-hwtacacs-test] key authorization simple fine

[H3C-hwtacacs-test] key accounting simple fine

[H3C-hwtacacs-test] user-name-format without-domain

[H3C-hwtacacs-test] quit

# 配置名称为testdm的ISP域,并将认证、授权和计费的方式配置为使用HWTACACS方案test。

[H3C] domain testdm

[H3C-isp-testdm] authentication login hwtacacs-scheme test

[H3C-isp-testdm] authorization login hwtacacs-scheme test

[H3C-isp-testdm] accounting login hwtacacs-scheme test

[H3C-isp-testdm] quit

# 配置缺省的ISP域为testdm。

[H3C] domain default enable testdm

# 开启设备的Telnet服务器功能。

[H3C] telnet server enable

[H3C] quit

3.4  登录设备

以Telnet方式登录设备,输入用户名和密码(HWTACACS服务器上设备管理用户的帐号密码),登录成功后,使用display users命令查看用户的详细信息。

图7 登录设备

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们