- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
31-iMC EIA 设备管理用户认证典型(TACACS)典型配置举例
本章节下载: 31-iMC EIA 设备管理用户认证典型(TACACS)典型配置举例 (3.95 MB)
iMC EIA设备管理用户认证(TACACS)
典型配置举例
资料版本:5W100-20231220
产品版本:iMC EIA 7.3 (E0630)
Copyright © 2025 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
本案例介绍设备管理员通过TACACS方式进行设备管理认证的配置方法。TACACS(Terminal Access Controller Access-Control System)是一种用于控制远程访问服务器的网络协议,它可以提供细粒度的访问控制,允许管理员根据需求设置不同的权限和策略。
适用于设备管理员登录设备时需要进行身份验证的场合,其特点为允许管理员根据需求设置不同的权限和策略。
配置前需确保终端、设备、服务器相互连通。
设备管理员登录设备时需要进行身份验证,具体组网如图1所示。EIA服务器IP地址为192.168.1.218,设备IP地址为192.168.30.100。
本案例中各部分使用的版本如下:
· EIA版本为iMC EIA 7.3 (E0630)
· 设备为H3C S3600V2-28TP-EI Comware Software, Version 5.20, Release 2103
本例在“设备认证管理视图”下进行配置,视图切换方式如下:单击页面右上角
按钮,选择“设备认证管理视图”菜单项,如图2所示,进入“设备认证管理”页面,如图3所示。
设备用户分组主要用于实现操作员的分权管理,即将同一类型的设备用户划分到同一个用户分组中,并为操作员分配该分组的操作权限。
(1) 在设备认证管理视图下,选择“用户管理”页签,单击左侧[设备用户分组]菜单项,选择“TACACS”页签,如图4所示。
图4 “TACACS”页签
(2) 单击<增加>按钮,进入增加设备用户分组页面,配置参数说明如表1所示。在“可以管理本分组的操作员”区段中选择可管理该分组的操作员,请按需选择,本例勾选“admin”,配置完成效果如图5所示。
|
参数 |
说明 |
|
分组名称 |
用户分组的标识,第一级分组不能重名;同一分组下的子分组不能重名 |
|
授权策略 |
可以选择系统缺省策略或由操作员手工创建的策略。其中“不支持命令行访问”表示该组用户不可管理设备,本例暂时保持默认配置,待后续策略创建后进行修改 |
|
父分组名称 |
该分组的上一级分组,按需配置。本例不配置 |
|
描述 |
设备用户分组的描述信息,便于后续维护。本例不配置 |
(3) 配置完成后单击<确定>按钮完成增加操作,返回设备用户分组页面,查看到新增的设备用户分组,如图6所示。
系统预置一个“未分组”,“未分组”在系统安装完后自动生成。“未分组”不能删除、不能增加子分组,修改时也不能修改名称和描述。
(1) 在设备认证管理视图下,选择“用户管理”页签,单击左侧[所有设备用户]菜单项,选择“TACACS”页签,如图7所示。
(2) 增加TACACS设备用户。单击<增加>按钮,进入增加设备用户页面,参数说明如表2所示,配置完成效果如图8所示。
|
参数 |
说明 |
|
帐号名 |
帐号名必须唯一,将在用户登录到设备进行设备认证时使用 |
|
用户名 |
按需配置,用户名可配置为设备管理者的真实姓名 |
|
登录密码/登录密码确认 |
输入两次相同的密码 |
|
设备用户分组 |
设备用户加入用户分组后,自动继承用户分组的权限策略,本例选择之前新增的设备用户分组 |
|
分组的授权策略 |
表示用户分组所使用的授权策略;当用户的授权策略未配置时,默认使用该用户所属分组的授权策略 |
|
用户的授权策略 |
选择用户使用的授权策略,也可以保持为空。如果保持为空,则用户使用用户分组的授权策略;如果选择了授权策略,则以用户的授权策略优先 |
|
在线数量限制 |
该参数表示最多允许多少个该用户同时在线,保持为空表示不限制同时在线数量 |
|
失效日期 |
从失效日期当天开始,设备用户将无法使用。保持为空,则表示设备用户不过期 |
|
启用权限提升密码 |
该功能可实现在用户登录设备后,如果输入权限提升命令并输入正确的密码,则用户将拥有设备最高的管理权限。勾选该项功能后,则需要配置权限提升密码和权限提升密码失效日期。如果权限提升密码失效日期为空则表示密码永不过期。最高权限提升级别:用户所能提升的最高权限级别。超过该级别,提升权限请求会被拒绝。本例不启用该功能 |
|
启用用户密码控制策略 |
决定了设备用户修改密码时是否受密码控制策略的限制。操作员设置用户密码时不受该参数影响。密码控制策略包括密码长度、密码必须包含的字符集合等。勾选后将显示“下次登录修改密码”配置项,其决定设备在下次登录的时,是否需要进行设置新密码。本例不启用该功能 |
|
授权IP列表 |
此列表是管理员配置的一组主机IP地址,在用户认证授权时,检查主机IP地址是否在授权范围内,此处请按实际情况进行配置 |
(3) 配置完成后单击<确定>按钮完成增加设备用户操作,返回所有设备用户页面,查看到新增的设备用户,如图9所示。
(1) 在设备认证管理视图下,选择“策略管理”页签,单击左侧[设备管理]菜单项,选择“TACACS”页签,如图10所示。
(2) 单击<增加>按钮增加TACACS设备,设备配置参数说明如表3所示,设备配置参数配置完成效果如图11所示。
表3 增加TACACS设备参数说明
|
参数 |
说明 |
|
共享密钥/确认共享密钥 |
输入两次相同的共享密钥。接入设备与系统配合进行认证时,使用该密钥互相验证对方的合法性。此处的配置必须与接入设备命令行配置的共享密钥保持一致。 |
|
认证端口 |
用于监听认证报文的端口,必须与设备侧设置的认证端口保持一致 |
|
设备区域 |
一个设备可以属于多个区域,即相当于设备分组 |
|
设备类型 |
一个设备只属于一种类型 |
|
单一连接 |
选择“支持”,表示设备与系统通信时支持在同一个TCP连接中建立多个会话;选择“不支持”,表示设备与系统通信时不支持在同一个TCP连接中建立多个会话,本例保持默认配置 |
|
Watchdog报文 |
选择“支持”,表示用户在线时系统通过接收设备周期性发送的Watchdog报文来维持用户的在线状态和时长;选择“支持”,表示用户在线时设备不发送Watchdog报文。该参数的配置必须与设备上配置保持一致,本例保持默认配置 |
(3) 在“设备管理”区段进行设备增加操作,支持以下设备增加方式:
¡ 选择:单击<选择>按钮,可从系统中的已有设备进行选择添加,如图12所示。
¡ 手工增加:单击<手工增加>按钮,选择“单个增加”菜单项,进入手工增加设备页面。
- 设备名称类型:如果选择设备名称类型为“FQDN”,则输入设备名称、设备IP地址,或者输入设备名称并单击<获取IP地址>按钮来向DNS服务器查询对应的IP地址。
- 若选择设备名称类型为“Sysname”,则输入设备名称、设备IP地址。
本例选择“手工增加”方式,配置完成效果如图13所示,单击<确定>按钮即可增加设备。
(4) 全部参数配置完成如图14所示。
(5) 单击<确定>按钮完成增加TACACS设备操作,返回设备管理页面可查看到新增的TACACS设备。
图15 新增的TACACS设备
本章节请按实际需求进行配置,如无此配置需求,可直接忽略本章节步骤。
Shell Profile主要是对设备用户登录设备的行为进行控制。欲使系统中配置的Shell Profile生效,必须在设备上启用登录授权功能。登录授权功能启用之后,设备用户一旦身份认证成功,系统将根据授权策略为设备用户设备Shell Profile,具体包括:接入控制列表、自动执行命令、授权级别、自定义属性、闲置时长和会话时长等。
(1) 选择“策略管理”页签,单击左侧[授权命令配置]菜单项,进入授权命令配置页面,如图16所示。
(2) 单击“Shell Profile配置”链接,进入Shell Profile配置页面,如图17所示
(3) 单击<增加>按钮,进入增加Shell Profile页面,参数说明如表4所示,配置完成效果如图18所示。
|
参数 |
说明 |
|
Shell Profile名称 |
名称必须唯一 |
|
接入控制列表 |
接入控制列表在设备上配置,其中规定了设备用户哪些IP地址可以登录设备。该参数需要设备支持,本例不配置 |
|
授权级别 |
授权级别对应了缺省的命令集。设备用户登录设备后,设备根据授权级别自动加载命令集,用户无法看到和执行非命令集中的命令。不同厂商的设备支持的授权级别范围各不相同,授权级别需要根据设备的支持范围来设置,本例配置为“15” |
|
闲置时长 |
用户登录设备后,如果在闲置时长内没有执行任何命令,则用户会被强制登出。该参数需要设备支持,本例配置为“5” |
|
会话时长 |
用户登录设备后,如果超过会话时长,则用户会被强制登出,本例配置为“5” |
|
自动执行命令 |
该命令在设备用户登录设备后会被自动执行。该参数需要设备支持,本例不配置 |
|
自定义属性 |
根据用户的需要和设备的支持情况来添加额外的属性。例如需要配置FTP授权目录时可增加一条自定义属性,内容为“ftp-directory=flash:/”,本例不配置 |
(4) 单击<确定>按钮完成增加Shell Profile操作,返回Shell Profile配置页面,可查看到新增的Shell Profile,如图19所示。
本章节请按实际需求进行配置,如无此配置需求,可直接忽略本章节步骤。
命令集主要是对设备用户使用命令的行为进行控制。欲使系统中配置的命令集生效,必须在设备上启用命令行授权功能。命令行授权功能启用之后,设备用户一旦身份认证成功,系统根据授权策略为设备用户设置命令集。用户执行命令时,设备根据命令集来判定是否允许用户执行。
(1) 选择“策略管理”页签,单击左侧[授权命令配置]菜单项,进入授权命令配置页面。单击“命令集配置”链接,进入命令集配置页面,如图20所示。
(2) 单击<增加>按钮,进入增加命令集页面,配置基本信息,本例参考配置如下,其他参数保持默认配置即可。
¡ 命令集名称:名称必须唯一,本例为“命令集测试”。
¡ 缺省授权方式:选择“允许”,表示用户可以使用未包含在命令集的命令;选择“拒绝”,表示用户不能使用未包含在命令集的命令。本例选择“允许”。
进行命令集信息配置,单击<增加>按钮,选择授权方式,选择“允许”,表示允许用户使用该窗口中配置的命令;选择“拒绝”,表示禁止用户使用该窗口中配置的命令;请按需进行配置,本例中缺省授权方式已选择为“允许”,故用户可以使用未包含在命令集的命令,全部参数配置完成效果如图21所示。
命令集信息配置中命令行支持正则表达式。例如:interface.*会匹配所有以interface开头的命令行。
(3) 单击<确定>按钮,完成增加命令集操作,可在命令集配置页面查看到新增的命令集,如图22所示。
本章节请按实际需求进行配置,如无此配置需求,可直接忽略本章节步骤。
EIA支持配置不同的授权时段策略。授权策略可以根据不同的授权时段策略对设备用户进行不同的授权。
(1) 选择“策略管理”页签,单击左侧[授权场景条件]菜单项,进入授权场景条件页面,如图23所示。
(2) 单击“授权时段策略管理”链接,进入授权时段策略管理页面,如图24所示。
(3) 单击<增加>按钮,进入增加授权时段策略页面,配置基本信息和授权时段信息,参数说明如表5所示,配置完成效果如图25、图26所示。
|
参数 |
说明 |
|
授权时段策略名称 |
名称必须唯一 |
|
生效时间/失效时间 |
授权时段策略的生效时间及失效时间 |
|
授权时段类型 |
配置授权时段,分为固定时间段、年为周期、月为周期、周为周期和日为周期。本例选择“固定时段”进行配置 · 固定时间段:接入开始时间/接入结束时间需要选择年、月、日、时、分、秒 · 年为周期:接入开始时间/接入结束时间需要选择月、日、时、分、秒 · 月为周期:接入开始时间/接入结束时间需要选择日、时、分、秒 · 周为周期:接入开始时间/接入结束时间需要选择周几、时、分、秒 · 日为周期:接入开始时间/接入结束时间需要选择时、分、秒 |
(4) 单击<确定>按钮,完成增加授权时段策略,如图27所示。
重复配置步骤可增加多个授权时段,最终生效的授权时段是所有授权时段的并集。
授权策略定义了不同接入场景下授权给设备用户的Shell Profile和命令集。一个策略可以包含多个接入场景。每个接入场景包含一个Shell Profile和一个命令集。如果设备用户同时匹配多个接入场景,则TAM会授权给用户优先级最高的接入场景中的Shell Profile和命令集。
(1) 选择“策略管理”页签,单击左侧[授权策略管理]菜单项,进入授权策略管理页面,如图28所示。
(2) 单击<增加>按钮,进入增加授权策略页面,如图29所示。
(3) 进行授权策略的基础信息与接入授权信息配置。本例参考配置如下,参数配置完成效果如图30所示。
¡ 授权策略名:本例为“授权策略”。
¡ 启用动态令牌:若不勾选“启用动态令牌”,则设备用户登录设备时,只需输入用户密码;若勾选“启用动态令牌”,则表示需要动态令牌对设备用户进行认证。本例不勾选“启用动态令牌”。
(4) 进行授权策略的接入授权信息配置。单击<增加>按钮,在弹出的对话框中进行参数配置,部分参数说明如表6所示,其他参数保持默认配置即可,配置完成效果如图31、图32所示,配置完成后单击<确定>按钮。
|
参数 |
说明 |
|
设备区域 |
本例设备所属的区域分组选择“不限”,表示任意设备区域都符合要求。选择其他的设备区域:则表示只有该设备区域的设备符合要求 |
|
设备类型 |
本例选择“不限”,表示任意设备类型都符合要求。选择特定的设备类型,表示只有该设备类型符合要求 |
|
授权时段 |
选择“不限”,表示任意时间段都符合要求。选择特定的时间段:表示只有该时间段符合要求。本例选择之前配置的“授权时段策略” |
|
Shell Profile |
选择“拒绝”表示设备拒绝用户登录。选择“使用设备缺省的配置”表示用户登录设备后使用设备缺省提供的Shell Profile。本例选择之前配置的“Shell Profile”,表示用户登录设备后使用配置的Shell Profile |
|
命令集 |
选择“不限”表示用户登录设备后可以执行任何命令。选择“禁止使用”表示用户登录设备后禁止执行任何命令。选择手动创建的命令集,表示用户登录设备后能执行的命令集。本例选择之前配置的“命令集测试” |
配置授权项时,选择任一设备区域表示选择了该区域及其所有子区域;选择任一设备类型表示选择了该类型及其所有子类型。
(5) 单击<确定>按钮,完成授权策略配置。
该章节配置目的为使设备用户分组和设备用户关联TACACS授权策略,有以下两种关联方式:
· 方式一:设备用户关联TACACS授权策略,适用于单个设备用户情况。
· 方式二:设备用户分组关联TACACS授权策略。若某个用户分组下的用户都要关联此授权策略,则可以给用户分组关联此授权策略,该用户分组下的用户都会被授权此策略。
下文将对两种关联方式分别进行介绍,本例选择方式二。
方式一:设备用户关联TACACS授权策略。
(1) 选择“用户管理”页签,单击[所有设备用户]菜单项,选择“TACACS”页签,如图33所示。
图33 TACACS设备用户
(2) 选择需要配置授权策略的用户,单击
按钮。在修改设备用户页面,参数“用户的授权策略”选择之前步骤配置的“授权策略”,配置完成效果如图34所示。
(3) 单击<确定>按钮,完成对设备用户授权策略的关联。
图35 设备用户关联授权策略成功
方式二:设备用户分组关联TACACS授权策略。
(1) 选择“用户管理”页签,单击[设备用户分组]菜单项,选择“TACACS”页签,如图36所示。
图36 TACACS设备用户分组
(2) 选择需要配置的设备用户分组,单击
按钮,进入修改设备用户分组页面,在授权策略处选择之前步骤配置的“授权策略”,配置完成效果如图37所示。
(3) 单击<确定>按钮,设备用户分组关联授权策略成功,如图38所示。
(4) 若增加TACACS设备用户时已关联TACACS设备用户分组,则设备用户的授权策略会自动关联到该分组下的授权策略,如图39所示。
若设备用户所在的分组和用户自身都已配置授权策略时,用户的授权策略优先级高于用户分组下的授权策略。
(1) 用户访问URL:http://IP:port/imc/noAuth/tam/login.jsf(其中IP为iMC服务器的IP地址,port为端口号,默认为8080),进入自助系统页面,输入用户名(即前文配置的TACACS设备用户)、密码,单击<登录>按钮,如图40所示。
(2) 登录成功后进入页面可查看当前登录用户的信息,如图41所示。
(1) 用户登录用户自助服务平台后,单击<修改密码>按钮,进入修改密码页面,如图42所示。
(2) 在修改密码页面,配置旧密码、新密码、确认密码。
¡ 旧密码:用户当前正在使用的密码。
¡ 密码:新设置的密码。
¡ 确认密码:与新设置的密码相同,在此处再输入一遍新密码。
(3) 输入满足密码控制策略的新密码后,单击<确定>按钮,密码修改成功后右上角将有修改成功提示,如图43所示。
(4) 单击右上角<注销>按钮注销自助页面,如图44所示,下次使用该帐号和新密码进行登录即可生效。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
