admin 管理员组文章数量: 1086019
2024年4月15日发(作者:linux怎么看进程有没有运行)
1.13 AAA典型配置举例
1.13.1 SSH用户的RADIUS认证和授权配置
1. 组网需求
如图1-12所示,SSH用户主机与Router直接相连,Router与一台RADIUS服务器
相连,需要实现使用RADIUS服务器对登录Router的SSH用户进行认证和授权。
由一台iMC服务器(IP地址为10.1.1.1/24)担当认证/授权RADIUS服务器的
职责;
Router与RADIUS服务器交互报文时使用的共享密钥为expert,认证/授权、
计费的端口号分别为1812和1813;
Router向RADIUS服务器发送的用户名携带域名;
SSH用户登录Router时使用RADIUS服务器上配置的用户名hello
@
bbb以及
密码进行认证,认证通过后具有缺省的用户角色network-operator。
2. 组网图
图1-12 SSH用户RADIUS认证/授权配置组网图
3. 配置步骤
(1) 配置RADIUS服务器(iMC PLAT 5.0)
下面以iMC为例(使用iMC版本为:iMC PLAT 5.0(E0101)、iMC UAM 5.0(E0101)),
说明RADIUS服务器的基本配置。
# 增加接入设备。
登录进入iMC管理平台,选择“业务”页签,单击导航树中的[接入业务/接入设备管
理/接入设备配置]菜单项,进入接入设备配置页面,在该页面中单击“增加”按钮,进入
增加接入设备页面。
设置与Router交互报文时使用的认证、计费共享密钥为“expert”;
设置认证及计费的端口号分别为“1812”和“1813”;
选择业务类型为“设备管理业务”;
选择接入设备类型为“H3C”;
选择或手工增加接入设备,添加IP地址为10.1.1.2的接入设备;
其它参数采用缺省值,并单击<确定>按钮完成操作。
添加的接入设备IP地址要与Router发送RADIUS报文的源地址保持一致。缺省情况
下,设备发送RADIUS报文的源地址是发送RADIUS报文的接口IP地址。
若设备上通过命令nas-ip或者radius nas-ip指定了发送RADIUS报文的源地
址,则此处的接入设备IP地址就需要修改并与指定源地址保持一致。
若设备使用缺省的发送RADIUS报文的源地址,例如,本例中为接口
GigabitEthernet1/0/2的IP地址10.1.1.2,则此处接入设备IP地址就选择10.1.1.2。
图1-13 增加接入设备
# 增加设备管理用户。
选择“用户”页签,单击导航树中的[接入用户视图/设备管理用户]菜单项,进入设备
管理用户列表页面,在该页面中单击<增加>按钮,进入增加设备管理用户页面。
输入用户名“hello@bbb”和密码;
选择服务类型为“SSH”;
添加所管理设备的IP地址,IP地址范围为“10.1.1.0~10.1.1.255”;
单击<确定>按钮完成操作。
添加的所管理设备的IP地址范围要包含添加的接入设备的IP地址。
图1-14 增加设备管理用户
(2) 配置Router
# 配置接口GigabitEthernet2/0/1的IP地址,SSH用户将通过该地址连接Router。
[Router] interface gigabitethernet 2/0/1
[Router-GigabitEthernet2/0/1] ip address 192.168.1.70 255.255.255.0
[Router-GigabitEthernet2/0/1] quit
# 配置接口GigabitEthernet2/0/2的IP地址,Router将通过该地址与服务器通信。
[Router] interface gigabitethernet 2/0/2
[Router-GigabitEthernet2/0/2] ip address 10.1.1.2 255.255.255.0
[Router-GigabitEthernet2/0/2] quit
# 创建本地RSA及DSA密钥对。
[Router] public-key local create rsa
[Router] public-key local create dsa
# 使能SSH服务器功能。
[Router] ssh server enable
# 设置SSH用户登录用户线的认证方式为AAA认证。
[Router] line vty 0 63
[Router-line-vty0-63] authentication-mode scheme
[Router-line-vty0-63] quit
# 使能缺省用户角色授权功能,使得认证通过后的SSH用户具有缺省的用户角色
network-operator。
[Router] role default-role enable
# 创建RADIUS方案rad。
[Router] radius scheme rad
# 配置主认证服务器的IP地址为10.1.1.1,认证端口号为1812。
[Router-radius-rad] primary authentication 10.1.1.1 1812
# 配置与认证服务器交互报文时的共享密钥为明文expert。
[Router-radius-rad] key authentication simple expert
# 配置向RADIUS服务器发送的用户名要携带域名。
[Router-radius-rad] user-name-format with-domain
[Router-radius-rad] quit
# 创建ISP域bbb,为login用户配置AAA认证方法为RADIUS认证/授权、不计费。
由于RADIUS服务器的授权信息是随认证应答报文发给RADIUS客户端的,所以必须保证
认证和授权方案相同。
[Router] domain bbb
[Router-isp-bbb] authentication login radius-scheme rad
[Router-isp-bbb] authorization login radius-scheme rad
[Router-isp-bbb] accounting login none
[Router-isp-bbb] quit
4. 验证配置
用户向Router发起SSH连接,按照提示输入用户名hello@bbb及正确的密码后,
可成功登录Router,并具有用户角色network-operator所拥有的命令行执行权限。
1.13.2 SSH用户的本地认证和授权配置
1. 组网需求
如图1-15所示,配置Router实现对登录Router的SSH用户进行本地认证和授权,
并授权该用户具有用户角色network-admin。
2. 组网图
图1-15 SSH用户本地认证/授权配置组网图
3. 配置步骤
# 配置接口GigabitEthernet2/0/1的IP地址,SSH用户将通过该地址连接Router。
[Router] interface gigabitethernet 2/0/1
[Router-GigabitEthernet2/0/1] ip address 192.168.1.70 255.255.255.0
[Router-GigabitEthernet2/0/1] quit
# 创建本地RSA及DSA密钥对。
[Router] public-key local create rsa
[Router] public-key local create dsa
# 使能SSH服务器功能。
[Router] ssh server enable
# 设置SSH用户登录用户线的认证方式为AAA认证。
[Router] line vty 0 63
[Router-line-vty0-63] authentication-mode scheme
[Router-line-vty0-63] quit
# 创建设备管理类本地用户ssh。
[Router] local-user ssh class manage
# 配置该本地用户的服务类型为SSH。
[Router-luser-manage-ssh] service-type ssh
# 配置该本地用户密码为明文123456TESTplat&!。(若是FIPS模式下,只能使用交
互式方式设置)
[Router-luser-manage-ssh] password simple 123456TESTplat&!
# 配置该本地用户的授权用户角色为network-admin
[Router-luser-manage-ssh] authorization-attribute user-role network-admin
[Router-luser-manage-ssh] quit
# 创建ISP域bbb,为login用户配置AAA认证方法为本地认证和本地授权。
[Router] domain bbb
[Router-isp-bbb] authentication login local
[Router-isp-bbb] authorization login local
[Router-isp-bbb] quit
4. 验证配置
用户向Router发起SSH连接,按照提示输入用户名ssh@bbb及正确的密码后,可
成功登录Router,并具有用户角色network-admin所拥有的命令行执行权限。
1.13.3 SSH用户的HWTACACS认证、授权、计费配置
1. 组网需求
如图1-16所示,配置Router实现使用HWTACACS服务器对登录Router的SSH用
户进行认证、授权、计费。
由一台HWTACACS服务器担当认证、授权、计费服务器的职责,服务器IP地
址为10.1.1.1/24。
Router与认证、授权、计费HWTACACS服务器交互报文时的共享密钥均为
expert,向HWTACACS服务器发送的用户名不带域名。
认证通过后的SSH用户具有缺省的用户角色network-operator。
2. 组网图
图1-16 SSH用户HWTACACS认证、授权和计费配置组网图
3. 配置步骤
(1) 配置HWTACACS服务器
# 在HWTACACS服务器上设置与Router交互报文时的共享密钥为expert;添加SSH
用户名及密码。(略)
(2) 配置Router
# 创建HWTACACS方案hwtac。
[Router] hwtacacs scheme hwtac
# 配置主认证服务器的IP地址为10.1.1.1,认证端口号为49。
[Router-hwtacacs-hwtac] primary authentication 10.1.1.1 49
# 配置主授权服务器的IP地址为10.1.1.1,授权端口号为49。
[Router-hwtacacs-hwtac] primary authorization 10.1.1.1 49
# 配置主计费服务器的IP地址为10.1.1.1,计费端口号为49。
[Router-hwtacacs-hwtac] primary accounting 10.1.1.1 49
# 配置与认证、授权、计费服务器交互报文时的共享密钥均为明文expert。
[Router-hwtacacs-hwtac] key authentication simple expert
[Router-hwtacacs-hwtac] key authorization simple expert
[Router-hwtacacs-hwtac] key accounting simple expert
# 配置向HWTACACS服务器发送的用户名不携带域名。
[Router-hwtacacs-hwtac] user-name-format without-domain
[Router-hwtacacs-hwtac] quit
# 创建ISP域bbb,为login用户配置AAA认证方法为HWTACACS认证/授权/计费。
[Router] domain bbb
[Router-isp-bbb] authentication login hwtacacs-scheme hwtac
[Router-isp-bbb] authorization login hwtacacs-scheme hwtac
[Router-isp-bbb] accounting login hwtacacs-scheme hwtac
[Router-isp-bbb] quit
# 创建本地RSA及DSA密钥对。
[Router] public-key local create rsa
[Router] public-key local create dsa
# 使能SSH服务器功能。
[Router] ssh server enable
# 使能缺省用户角色授权功能,使得认证通过后的SSH用户具有缺省的用户角色
network-operator。
[Router] role default-role enable
# 设置SSH用户登录用户线的认证方式为AAA认证。
[Router] line vty 0 15
[Router-line-vty0-15] authentication-mode scheme
[Router-line-vty0-15] quit
# 配置接口GigabitEthernet2/0/1的IP地址,SSH用户将通过该地址连接Router。
[Router] interface gigabitethernet 2/0/1
[Router-GigabitEthernet2/0/1] ip address 192.168.1.70 255.255.255.0
[Router-GigabitEthernet2/0/1] quit
# 配置接口GigabitEthernet2/0/2的IP地址,Router将通过该地址与服务器通信。
[Router] interface gigabitethernet 2/0/2
[Router-GigabitEthernet2/0/2] ip address 10.1.1.2 255.255.255.0
[Router-GigabitEthernet2/0/2] quit
4. 验证配置
用户向Router发起SSH连接,按照提示输入正确用户名及密码后,可成功登录Router,
并具有用户角色network-operator所拥有的命令行执行权限。
1.13.6 PPP用户的HWTACACS认证、授权、计费配置
1. 组网需求
如图1-27所示,Router A和Router B之间使用串口互连,要求Router A使用
HWTACACS服务器对Router B进行PAP认证,以及使用HWTACACS服务器进行授权
和计费,Router B不需要对Router A进行认证、授权和计费。
2. 组网图
图1-27 PPP用户的HWTACACS认证、授权、计费组网图
3. 配置步骤
(1) 配置HWTACACS服务器
# 在HWTACACS服务器上设置与Router A交互报文时的共享密钥为expert;添加
PPP用户名userb及密码passb,具体配置步骤略。
(2) 配置Router A
# 创建HWTACACS方案hwtac。
[RouterA] hwtacacs scheme hwtac
# 配置主认证、主授权、主计费服务器的IP地址为10.1.1.1,认证端口号为49,采
用单连接方式。
[RouterA-hwtacacs-hwtac] primary authentication 10.1.1.1 49
single-connection
[RouterA-hwtacacs-hwtac] primary authorization 10.1.1.1 49
single-connection
[RouterA-hwtacacs-hwtac] primary accounting 10.1.1.1 49 single-connection
# 配置与认证、授权、计费服务器交互报文时的共享密钥均为expert。
[RouterA-hwtacacs-hwtac] key authentication simple expert
[RouterA-hwtacacs-hwtac] key authorization simple expert
[RouterA-hwtacacs-hwtac] key accounting simple expert
# 配置向HWTACACS服务器发送的用户名不携带域名。
[RouterA-hwtacacs-hwtac] user-name-format without-domain
[RouterA-hwtacacs-hwtac] quit
# 创建ISP域bbb,为PPP用户配置AAA认证方法为HWTACACS认证、授权、计
费。
[RouterA] domain bbb
[RouterA-isp-bbb] authentication ppp hwtacacs-scheme hwtac
[RouterA-isp-bbb] authorization ppp hwtacacs-scheme hwtac
[RouterA-isp-bbb] accounting ppp hwtacacs-scheme hwtac
[RouterA-isp-bbb] quit
# 配置接口Serial2/2/0的封装的链路层协议为PPP。
[RouterA] interface serial 2/2/0
[RouterA-Serial2/2/0] link-protocol ppp
# 配置Router A认证Router B的方式为PAP,并使用ISP域bbb作为认证域。
[RouterA-Serial2/2/0] ppp authentication-mode pap domain bbb
# 配置接口的IP地址。
[RouterA-Serial2/2/0] ip address 200.1.1.1 24
(3) 配置Router B
# 配置接口Serial2/2/0的封装的链路层协议为PPP。
[RouterB] interface serial 2/2/0
[RouterB-Serial2/2/0] link-protocol ppp
# 配置RouterB被Router A以PAP方式认证时使用的PAP用户名和密码。
[RouterB-Serial2/2/0] ppp pap local-user userb password simple passb
# 配置接口的IP地址。
[RouterB-Serial2/2/0] ip address 200.1.1.2 24
4. 验证配置
以上配置完成后,通过display interface serial命令,查看接口Serial2/1/0的信息,
发现接口的物理层和链路层的状态都是up状态,并且PPP的LCP和IPCP都是opened
状态,说明链路的PPP协商已经成功,并且Router A和Router B可以互相ping通对方。
版权声明:本文标题:H3C AAA认证配置 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://www.roclinux.cn/b/1713168913a622241.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论