H3C AAA认证配置

1.13 AAA典型配置举例

1.13.1 SSH用户的RADIUS认证和授权配置

1. 组网需求

如图1-12所示，SSH用户主机与Router直接相连，Router与一台RADIUS服务器

相连，需要实现使用RADIUS服务器对登录Router的SSH用户进行认证和授权。

由一台iMC服务器（IP地址为10.1.1.1/24）担当认证/授权RADIUS服务器的

职责；

Router与RADIUS服务器交互报文时使用的共享密钥为expert，认证/授权、

计费的端口号分别为1812和1813；

Router向RADIUS服务器发送的用户名携带域名；

SSH用户登录Router时使用RADIUS服务器上配置的用户名hello

@

bbb以及

密码进行认证，认证通过后具有缺省的用户角色network-operator。

2. 组网图

图1-12 SSH用户RADIUS认证/授权配置组网图

3. 配置步骤

(1) 配置RADIUS服务器（iMC PLAT 5.0）

下面以iMC为例（使用iMC版本为：iMC PLAT 5.0(E0101)、iMC UAM 5.0(E0101)），

说明RADIUS服务器的基本配置。

# 增加接入设备。

登录进入iMC管理平台，选择“业务”页签，单击导航树中的[接入业务/接入设备管

理/接入设备配置]菜单项，进入接入设备配置页面，在该页面中单击“增加”按钮，进入

增加接入设备页面。

设置与Router交互报文时使用的认证、计费共享密钥为“expert”；

设置认证及计费的端口号分别为“1812”和“1813”；

选择业务类型为“设备管理业务”；

选择接入设备类型为“H3C”；

选择或手工增加接入设备，添加IP地址为10.1.1.2的接入设备；

其它参数采用缺省值，并单击<确定>按钮完成操作。

添加的接入设备IP地址要与Router发送RADIUS报文的源地址保持一致。缺省情况

下，设备发送RADIUS报文的源地址是发送RADIUS报文的接口IP地址。

若设备上通过命令nas-ip或者radius nas-ip指定了发送RADIUS报文的源地

址，则此处的接入设备IP地址就需要修改并与指定源地址保持一致。

若设备使用缺省的发送RADIUS报文的源地址，例如，本例中为接口

GigabitEthernet1/0/2的IP地址10.1.1.2，则此处接入设备IP地址就选择10.1.1.2。

图1-13 增加接入设备

# 增加设备管理用户。

选择“用户”页签，单击导航树中的[接入用户视图/设备管理用户]菜单项，进入设备

管理用户列表页面，在该页面中单击<增加>按钮，进入增加设备管理用户页面。

输入用户名“hello@bbb”和密码；

选择服务类型为“SSH”；

添加所管理设备的IP地址，IP地址范围为“10.1.1.0～10.1.1.255”；

单击<确定>按钮完成操作。

添加的所管理设备的IP地址范围要包含添加的接入设备的IP地址。

图1-14 增加设备管理用户

(2) 配置Router

# 配置接口GigabitEthernet2/0/1的IP地址，SSH用户将通过该地址连接Router。

system-view

[Router] interface gigabitethernet 2/0/1

[Router-GigabitEthernet2/0/1] ip address 192.168.1.70 255.255.255.0

[Router-GigabitEthernet2/0/1] quit

# 配置接口GigabitEthernet2/0/2的IP地址，Router将通过该地址与服务器通信。

[Router] interface gigabitethernet 2/0/2

[Router-GigabitEthernet2/0/2] ip address 10.1.1.2 255.255.255.0

[Router-GigabitEthernet2/0/2] quit

# 创建本地RSA及DSA密钥对。

[Router] public-key local create rsa

[Router] public-key local create dsa

# 使能SSH服务器功能。

[Router] ssh server enable

# 设置SSH用户登录用户线的认证方式为AAA认证。

[Router] line vty 0 63

[Router-line-vty0-63] authentication-mode scheme

[Router-line-vty0-63] quit

# 使能缺省用户角色授权功能，使得认证通过后的SSH用户具有缺省的用户角色

network-operator。

[Router] role default-role enable

# 创建RADIUS方案rad。

[Router] radius scheme rad

# 配置主认证服务器的IP地址为10.1.1.1，认证端口号为1812。

[Router-radius-rad] primary authentication 10.1.1.1 1812

# 配置与认证服务器交互报文时的共享密钥为明文expert。

[Router-radius-rad] key authentication simple expert

# 配置向RADIUS服务器发送的用户名要携带域名。

[Router-radius-rad] user-name-format with-domain

[Router-radius-rad] quit

# 创建ISP域bbb，为login用户配置AAA认证方法为RADIUS认证/授权、不计费。

由于RADIUS服务器的授权信息是随认证应答报文发给RADIUS客户端的，所以必须保证

认证和授权方案相同。

[Router] domain bbb

[Router-isp-bbb] authentication login radius-scheme rad

[Router-isp-bbb] authorization login radius-scheme rad

[Router-isp-bbb] accounting login none

[Router-isp-bbb] quit

4. 验证配置

用户向Router发起SSH连接，按照提示输入用户名hello@bbb及正确的密码后，

可成功登录Router，并具有用户角色network-operator所拥有的命令行执行权限。

1.13.2 SSH用户的本地认证和授权配置

1. 组网需求

如图1-15所示，配置Router实现对登录Router的SSH用户进行本地认证和授权，

并授权该用户具有用户角色network-admin。

2. 组网图

图1-15 SSH用户本地认证/授权配置组网图

3. 配置步骤

# 配置接口GigabitEthernet2/0/1的IP地址，SSH用户将通过该地址连接Router。

system-view

[Router] interface gigabitethernet 2/0/1

[Router-GigabitEthernet2/0/1] ip address 192.168.1.70 255.255.255.0

[Router-GigabitEthernet2/0/1] quit

# 创建本地RSA及DSA密钥对。

[Router] public-key local create rsa

[Router] public-key local create dsa

# 使能SSH服务器功能。

[Router] ssh server enable

# 设置SSH用户登录用户线的认证方式为AAA认证。

[Router] line vty 0 63

[Router-line-vty0-63] authentication-mode scheme

[Router-line-vty0-63] quit

# 创建设备管理类本地用户ssh。

[Router] local-user ssh class manage

# 配置该本地用户的服务类型为SSH。

[Router-luser-manage-ssh] service-type ssh

# 配置该本地用户密码为明文123456TESTplat&!。（若是FIPS模式下，只能使用交

互式方式设置）

[Router-luser-manage-ssh] password simple 123456TESTplat&!

# 配置该本地用户的授权用户角色为network-admin

[Router-luser-manage-ssh] authorization-attribute user-role network-admin

[Router-luser-manage-ssh] quit

# 创建ISP域bbb，为login用户配置AAA认证方法为本地认证和本地授权。

[Router] domain bbb

[Router-isp-bbb] authentication login local

[Router-isp-bbb] authorization login local

[Router-isp-bbb] quit

4. 验证配置

用户向Router发起SSH连接，按照提示输入用户名ssh@bbb及正确的密码后，可

成功登录Router，并具有用户角色network-admin所拥有的命令行执行权限。

1.13.3 SSH用户的HWTACACS认证、授权、计费配置

1. 组网需求

如图1-16所示，配置Router实现使用HWTACACS服务器对登录Router的SSH用

户进行认证、授权、计费。

由一台HWTACACS服务器担当认证、授权、计费服务器的职责，服务器IP地

址为10.1.1.1/24。

Router与认证、授权、计费HWTACACS服务器交互报文时的共享密钥均为

expert，向HWTACACS服务器发送的用户名不带域名。

认证通过后的SSH用户具有缺省的用户角色network-operator。

2. 组网图

图1-16 SSH用户HWTACACS认证、授权和计费配置组网图

3. 配置步骤

(1) 配置HWTACACS服务器

# 在HWTACACS服务器上设置与Router交互报文时的共享密钥为expert；添加SSH

用户名及密码。（略）

(2) 配置Router

# 创建HWTACACS方案hwtac。

system-view

[Router] hwtacacs scheme hwtac

# 配置主认证服务器的IP地址为10.1.1.1，认证端口号为49。

[Router-hwtacacs-hwtac] primary authentication 10.1.1.1 49

# 配置主授权服务器的IP地址为10.1.1.1，授权端口号为49。

[Router-hwtacacs-hwtac] primary authorization 10.1.1.1 49

# 配置主计费服务器的IP地址为10.1.1.1，计费端口号为49。

[Router-hwtacacs-hwtac] primary accounting 10.1.1.1 49

# 配置与认证、授权、计费服务器交互报文时的共享密钥均为明文expert。

[Router-hwtacacs-hwtac] key authentication simple expert

[Router-hwtacacs-hwtac] key authorization simple expert

[Router-hwtacacs-hwtac] key accounting simple expert

# 配置向HWTACACS服务器发送的用户名不携带域名。

[Router-hwtacacs-hwtac] user-name-format without-domain

[Router-hwtacacs-hwtac] quit

# 创建ISP域bbb，为login用户配置AAA认证方法为HWTACACS认证/授权/计费。

[Router] domain bbb

[Router-isp-bbb] authentication login hwtacacs-scheme hwtac

[Router-isp-bbb] authorization login hwtacacs-scheme hwtac

[Router-isp-bbb] accounting login hwtacacs-scheme hwtac

[Router-isp-bbb] quit

# 创建本地RSA及DSA密钥对。

[Router] public-key local create rsa

[Router] public-key local create dsa

# 使能SSH服务器功能。

[Router] ssh server enable

# 使能缺省用户角色授权功能，使得认证通过后的SSH用户具有缺省的用户角色

network-operator。

[Router] role default-role enable

# 设置SSH用户登录用户线的认证方式为AAA认证。

[Router] line vty 0 15

[Router-line-vty0-15] authentication-mode scheme

[Router-line-vty0-15] quit

# 配置接口GigabitEthernet2/0/1的IP地址，SSH用户将通过该地址连接Router。

[Router] interface gigabitethernet 2/0/1

[Router-GigabitEthernet2/0/1] ip address 192.168.1.70 255.255.255.0

[Router-GigabitEthernet2/0/1] quit

# 配置接口GigabitEthernet2/0/2的IP地址，Router将通过该地址与服务器通信。

[Router] interface gigabitethernet 2/0/2

[Router-GigabitEthernet2/0/2] ip address 10.1.1.2 255.255.255.0

[Router-GigabitEthernet2/0/2] quit

4. 验证配置

用户向Router发起SSH连接，按照提示输入正确用户名及密码后，可成功登录Router，

并具有用户角色network-operator所拥有的命令行执行权限。

1.13.6 PPP用户的HWTACACS认证、授权、计费配置

1. 组网需求

如图1-27所示，Router A和Router B之间使用串口互连，要求Router A使用

HWTACACS服务器对Router B进行PAP认证，以及使用HWTACACS服务器进行授权

和计费，Router B不需要对Router A进行认证、授权和计费。

2. 组网图

图1-27 PPP用户的HWTACACS认证、授权、计费组网图

3. 配置步骤

(1) 配置HWTACACS服务器

# 在HWTACACS服务器上设置与Router A交互报文时的共享密钥为expert；添加

PPP用户名userb及密码passb，具体配置步骤略。

(2) 配置Router A

# 创建HWTACACS方案hwtac。

system-view

[RouterA] hwtacacs scheme hwtac

# 配置主认证、主授权、主计费服务器的IP地址为10.1.1.1，认证端口号为49，采

用单连接方式。

[RouterA-hwtacacs-hwtac] primary authentication 10.1.1.1 49

single-connection

[RouterA-hwtacacs-hwtac] primary authorization 10.1.1.1 49

single-connection

[RouterA-hwtacacs-hwtac] primary accounting 10.1.1.1 49 single-connection

# 配置与认证、授权、计费服务器交互报文时的共享密钥均为expert。

[RouterA-hwtacacs-hwtac] key authentication simple expert

[RouterA-hwtacacs-hwtac] key authorization simple expert

[RouterA-hwtacacs-hwtac] key accounting simple expert

# 配置向HWTACACS服务器发送的用户名不携带域名。

[RouterA-hwtacacs-hwtac] user-name-format without-domain

[RouterA-hwtacacs-hwtac] quit

# 创建ISP域bbb，为PPP用户配置AAA认证方法为HWTACACS认证、授权、计

费。

[RouterA] domain bbb

[RouterA-isp-bbb] authentication ppp hwtacacs-scheme hwtac

[RouterA-isp-bbb] authorization ppp hwtacacs-scheme hwtac

[RouterA-isp-bbb] accounting ppp hwtacacs-scheme hwtac

[RouterA-isp-bbb] quit

# 配置接口Serial2/2/0的封装的链路层协议为PPP。

[RouterA] interface serial 2/2/0

[RouterA-Serial2/2/0] link-protocol ppp

# 配置Router A认证Router B的方式为PAP，并使用ISP域bbb作为认证域。

[RouterA-Serial2/2/0] ppp authentication-mode pap domain bbb

# 配置接口的IP地址。

[RouterA-Serial2/2/0] ip address 200.1.1.1 24

(3) 配置Router B

# 配置接口Serial2/2/0的封装的链路层协议为PPP。

system-view

[RouterB] interface serial 2/2/0

[RouterB-Serial2/2/0] link-protocol ppp

# 配置RouterB被Router A以PAP方式认证时使用的PAP用户名和密码。

[RouterB-Serial2/2/0] ppp pap local-user userb password simple passb

# 配置接口的IP地址。

[RouterB-Serial2/2/0] ip address 200.1.1.2 24

4. 验证配置

以上配置完成后，通过display interface serial命令，查看接口Serial2/1/0的信息，

发现接口的物理层和链路层的状态都是up状态，并且PPP的LCP和IPCP都是opened

状态，说明链路的PPP协商已经成功，并且Router A和Router B可以互相ping通对方。