- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
34-iMC TAM 设备用户认证+RSA认证典型配置举例
本章节下载: 34-iMC TAM 设备用户认证+RSA认证典型配置举例 (1.27 MB)
iMC TAM设备用户认证+RSA认证
典型配置举例
资料版本:5W129-20250519
产品版本:iMC EIA 7.3 (E0633)
Copyright © 2025 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目 录
在配置了向TAM进行设备用户身份认证并且TAM启用了RSA认证的网络中,用户登录设备时向TAM服务器发送认证请求,TAM会将用户认证请求转给RSA服务器,由RSA服务器来验证用户身份。TAM根据RSA服务器的验证结果允许或拒绝用户登录设备。
适用于需要使用动态密码的应用环境,可以提高密码的安全性,推荐使用场景如下:
· 金融系统:银行交易、网银登录等场景需动态密码确保资金安全。
· 企业办公:VPN远程接入和云服务登录采用动态密码验证员工身份。
· 政务服务:政务系统登录使用动态密码满足等保合规要求。
· 医疗健康:电子病历系统通过动态密码保护患者隐私数据。
接入设备支持TACACS+协议,网络中存在RSA服务器,用户具有RSA认证令牌。
某银行计划启用RSA认证系统,用户登录设备时,向TAM服务器发送认证请求,进行静态密码校验,然后TAM将认证请求转发给RSA服务器,由RSA服务器来验证设备用户身份,其中认证密码为动态密码。
TAM服务器IP地址为192.168.40.139,RSA服务器IP地址为192.168.3.95,设备IP地址为192.168.30.111。
注:本案例中各部分使用的版本如下:
· TAM:iMC TAM 7.3 (E0633)
· H3C S5500-28C-SI :Comware Software,Version 5.20,Release 2215
图1 组网图
针对TAM需要配置以下功能:
(1) 增加设备
(2) 增加启用RSA认证的授权策略
(3) 配置RSA服务器
(4) 增加设备用户
增加设备是为了建立TAM服务器和设备之间的联动关系。
(1) 选择“用户”页签,单击导航树中的“设备用户策略管理 > 设备管理”菜单项,进入“设备管理”页面,如下图所示。
(2) 单击<增加>按钮,进入“增加设备”页面,如下图所示。
(3) 配置设备参数如下:
¡ 共享密钥/确认共享密钥:此处的配置必须与设备命令行配置的共享密钥保持一致。本例采用“fine”作为共享密钥。
¡ 认证端口:此处必须与设备命令行配置的端口保持一致。本例采用缺省值49。
¡ 其他参数,保持缺省值。
(4) 配置设备,有自动选择和手工增加两种方法。
¡ 在设备列表中单击<选择>按钮,弹出选择设备窗口,根据IP地址从系统中选择设备。单击<确定>按钮,增加设备成功,返回增加接入设备页面。
¡ 在设备列表中单击<手工增加>按钮,选择“单个增加”选项,弹出手工增加设备窗口,如下图所示。在设备IP地址处输入设备的IP地址。单击<确定>按钮,增加设备成功,返回增加接入设备页面。
图4 手工增加设备
如选择“批量增加”选择,在“起始IP地址”处输入设备的IP地址。设备的IP地址必须是设备连接TAM服务器的接口IP地址或接口所在VLAN的虚接口IP地址。
(5) 设备参数设置完成后的结果如下图所示。
(6) 单击<确定>按钮,增加设备完毕,进入“增加设备结果”页面。
(7) 单击<返回>按钮,返回“设备管理”页面,在设备列表中查看新增的设备,如下图所示。
配置启用RSA认证的授权策略。
(1) 选择“用户”页签,单击导航树中的“设备用户策略管理 > 授权策略管理”菜单项,进入“授权策略管理”页面,如下图所示。
图7 授权策略管理页面
(2) 单击<增加>按钮,进入“增加授权策略”页面,如下图所示,配置授权策略基本信息如下:
¡ 输入授权策略名“RSA认证”。
¡ 勾选“启用动态令牌”项,选择设备用户密码校验方式为“TAM+动态令牌组合密码”。
¡ 其他参数保持缺省即可。
(3) 修改“接入授权信息”的缺省记录。单击“修改”图标
,弹出“接入授权信息”窗口,将“Shell Profile”修改为“使用设备的缺省配置”,将“授权命令集”设置为“不限”,如下图所示。
当Shell Profile选择“使用设备的缺省配置”表示用户登录设备后使用设备缺省提供的Shell Profile。此情况下,需保证设备的缺省用户角色授权功能处于开启状态,否则用户认证通过后无法正常连接设备。
(4) 单击<确定>按钮,完成修改接入授权信息,返回“增加授权策略”页面。
(5) 单击<确定>按钮,授权策略增加完毕,可在授权策略列表中查看新增的授权策略,如下图所示。
TAM将设备用户的认证请求转发给RSA服务器处理。RSA的验证结果决定用户是否能通过认证。
(1) 选择“用户”页签,单击导航树中的“设备用户策略管理 > 业务参数配置 > 系统配置”菜单项,单击“动态令牌认证参数配置”对应的配置图标
,如下图所示。
(2) 进入“配置动态令牌认证相关参数”页面,选中“启用动态令牌”选项,并配置动态令牌认证参数如下:
¡ 动态密码长度:表示RSA动态密码的长度,本例设置为6。
¡ RSA主服务器配置信息
- 主服务器IP地址:RSA服务器的IPv4地址,本例为“192.168.3.95”。
- 主服务器端口:表示RSA服务器的目的端口,是指认证报文转发到目标RSA服务器的端口号,本例设置为1812。
- 主服务器密钥/确认密钥:表示TAM服务器与RSA服务器约定的共享密钥,是RADIUS报文转发时使用的密钥,本例为mytest。
¡ 启用RSA主备服务器自动切换:启用该功能后,需配置RSA备份服务器信息。当RSA主服务器故障时,会自动切换使用备份服务器;当RSA备份服务器故障时,又会自动切换至主服务器,本文档无需配置该项。
参数设置完成后的结果如下图所示。
(3) 单击<确定>按钮保存配置。
设备用户是用户登录设备时使用的帐号,包含帐号名、密码和使用的授权策略等信息。
(1) 选择“用户”页签,单击导航树中的“设备用户管理 > 所有设备用户”菜单项,进入“所有设备用户”页面,如下图所示。
(2) 单击<增加>按钮,进入“增加设备用户”页面,输入帐号名、登录密码和登录密码确认,用户的授权策略选择“RSA认证”,其它参数保留缺省值,参数设置完成后的效果如下图所示。
(3) 单击<确定>按钮,设备用户增加完毕,在设备用户列表中查看新增的设备用户,如下图所示。
设备上需要配置TACACS方案、域、认证方式,使登录到设备上的用户到TAM中进行身份认证,进而由TAM转发给RSA服务器进行身份认证。
以下使用Windows的命令行窗口Telnet到设备并进行配置,具体的命令及说明如下:
配置TACACS策略test,认证、授权、计费服务器都指向TAM,认证、授权、计费端口与TAM中增加设备时的配置保持一致,用户名为不带域名格式。
<H3C>system-view
System View: return to User View with Ctrl+Z.
[H3C] hwtacacs scheme test
[H3C-hwtacacs-test] primary authentication 192.168.0.97 49
[H3C-hwtacacs-test] primary authorization 192.168.0.97 49
[H3C-hwtacacs-test] primary accounting 192.168.0.97 49
//认证、授权、计费服务器都指向TAM,认证、授权、计费端口与TAM中增加设备时的配置保持一致。
[H3C-hwtacacs-test] key authentication fine
[H3C-hwtacacs-test] key authorization fine
[H3C-hwtacacs-test] key accounting fine
//认证、授权、计费共享密钥与TAM中增加接入设备时的配置保持一致。
[H3C-hwtacacs-test] user-name-format without-domain
[H3C-hwtacacs-test] quit
配置域引用的TACACS方案。配置登录认证和权限提升认证,配置登录授权和命令行授权,配置登录审计和命令行审计。
[H3C] domain testdm
[H3C-isp-testdm] authentication login hwtacacs-scheme test
[H3C-isp-testdm] authentication super hwtacacs-scheme test
[H3C-isp-testdm] authorization login hwtacacs-scheme test
[H3C-isp-testdm] authorization command hwtacacs-scheme test
[H3C-isp-testdm] accounting login hwtacacs-scheme test
[H3C-isp-testdm] accounting command hwtacacs-scheme test
[H3C-isp-testdm]quit
开启Telnet开关,认证方式配置为AAA,登录后权限提升认证方式配置为AAA。
[H3C] telnet server enable
[H3C] user-interface vty 0 4
[H3C-ui-vty0-4] authentication-mode scheme
[H3C-ui-vty0-4] command authorization
//命令行授权发送到认证服务器
[H3C-ui-vty0-4] command accounting
//命令行授权发送到认证服务器
[H3C-ui-vty0-4] quit
[H3C] super authentication-mode scheme
[H3C] domain default enable testdm
登录后权限提升认证方式配置为AAA。
[H3C] super authentication-mode scheme
(1) 在RSA服务器上登录RSA Security Console,选择“Identity > Users > Add New”项,如下图所示。
图16 RSA Security Console-Add New Users
(2) 如下图所示,增加用户“rose”,确保其与iMC上TAM中增加的帐号同名。
(3) 为用户分配token,有如下两种方法:
¡ 选择“Identity > Users > Manage Existing”项,单击用户“rose”右侧的
,在弹出的下拉列表中选择“SecurID Tokens”项,选择需要为用户分配的token。
¡ 选择“Authentication > SecurID Tokens > Manage Existing > Unassigned”项,单击Token右侧的
,在弹出的下拉列表中选择“Assign to User”项,选择待分配该token的用户。
(1) 在RSA服务器上登录RSA Security Console,选择“RADIUS > RADIUS Clients > Add New”项,如下图所示。
图18 RSA Security Console-Add New Clients
(2) 如下图所示,添加TAM为RADIUS Client方法如下:
a. 输入客户端名称,本例为“192.168.40.139”。
b. 客户端IP地址配置必须为TAM服务器IP地址,本例为“192.168.40.139”。
c. 共享密钥配置必须与3.2.1 3. 配置RSA服务器中时设置的密钥保持一致,本例为“mytest”。
(3) 单击<Save>按钮,增加RADIUS Client及与其关联的RSA Agent完成。
图21 RSA服务器上认证监听端口
使用Telnet方式认证步骤如下:
使用Telnet的方式登录到设备上,如下图所示。
图22 Telnet到设备
输入用户名和密码,设备管理用户成功登录设备,如下图所示。其中,密码格式为静态密码+动态密码,例如本例中静态密码为1,RSA token上动态密码为123456,则输入密码为1123456。
图23 输入用户名和密码
(1) 选择“用户”页签。单击导航树中的“设备用户管理 > 所有在线用户”菜单项,查看在线用户,如下图所示。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
