《H3C配置AAA文档》由会员分享,可在线阅读,更多相关《H3C配置AAA文档(11页珍藏版)》请在金锄头文库上搜索。
1、AAA认证配置方法:Telnet 用户通过HWTACACS 服务器认证、授权、计费的应用配置1. 组网需求通过配置 Switch 实现HWTACACS 服务器对登录Switch 的用户进行认证、授权、计费。 一台 HWTACACS 服务器(担当认证、授权、计费服务器的职责)与Switch 相连,服务器IP地址为10.1.1.1。 Switch 与认证、授权、计费HWTACACS 服务器交互报文时的共享密钥均为expert,发送给HWTACACS 服务器的用户名中不带域名。 在 HWTACACS 服务器上设置与Switch 交互报文时的共享密钥为expert。2. 组网图图1-7 Telnet
2、用户远端HWTACACS 认证、授权和计费配置组网图InternetTelnet user SwitchHWTACACS server10.1.1.1/243. 配置步骤# 配置各接口的IP 地址(略)。# 开启Switch 的Telnet 服务器功能。 system-viewSwitch telnet server enable# 配置Telnet 用户登录采用AAA 认证方式。Switch user-interface vty 0 4Switch-ui-vty0-4 authentication-mode schemeSwitch-ui-vty0-4 quit# 配置HWTACACS 方案
3、。1-32Switch hwtacacs scheme hwtacSwitch-hwtacacs-hwtac primary authentication 10.1.1.1 49Switch-hwtacacs-hwtac primary authorization 10.1.1.1 49Switch-hwtacacs-hwtac primary accounting 10.1.1.1 49Switch-hwtacacs-hwtac key authentication expertSwitch-hwtacacs-hwtac key authorization expertSwitch-hwta
4、cacs-hwtac key accounting expertSwitch-hwtacacs-hwtac user-name-format without-domainSwitch-hwtacacs-hwtac quit# 配置ISP 域的AAA 方案。Switch domain bbbSwitch-isp-bbb authentication login hwtacacs-scheme hwtacSwitch-isp-bbb authorization login hwtacacs-scheme hwtacSwitch-isp-bbb accounting login hwtacacs-s
5、cheme hwtacSwitch-isp-bbb quit# 或者不区分用户类型,配置缺省的AAA 方案。Switch domain bbbSwitch-isp-bbb authentication default hwtacacs-scheme hwtacSwitch-isp-bbb authorization default hwtacacs-scheme hwtacSwitch-isp-bbb accounting default hwtacacs-scheme hwtac使用Telnet 登录时输入用户名为useridbbb,以使用域bbb 进行认证。Telnet 用户通过local
6、 认证、HWTACACS 授权、RADIUS 计费的应用配置1. 组网需求通过配置 Switch 实现local 认证,HWTACACS 授权和RADIUS 计费。Telnet 用户的用户名和密码为hello。 一台 HWTACACS服务器(担当授权服务器的职责)与Switch 相连,服务器IP 地址为10.1.1.2。Switch 与授权HWTACACS 服务器交互报文时的共享密钥均为expert,发送给HWTACACS服务器的用户名中不带域名。 一台 RADIUS 服务器(担当计费服务器的职责)与Switch 相连,服务器IP 地址为10.1.1.1。Switch 与计费RADIUS 服务
7、器交互报文时的共享密钥为expert。其它接入如果需要此类 AAA 应用,和Telnet 接入在域的AAA 配置上类似,只有接入的区分。1-332. 组网图图1-8 Telnet 用户local 认证、HWTACACS 授权和RADIUS 计费配置组网图3. 配置步骤# 配置各接口的IP 地址(略)。# 开启Switch 的Telnet 服务器功能。 system-viewSwitch telnet server enable# 配置Telnet 用户登录采用AAA 认证方式。Switch user-interface vty 0 4Switch-ui-vty0-4 authenticatio
8、n-mode schemeSwitch-ui-vty0-4 quit# 配置HWTACACS 方案。Switch hwtacacs scheme hwtacSwitch-hwtacacs-hwtac primary authorization 10.1.1.2 49Switch-hwtacacs-hwtac key authorization expertSwitch-hwtacacs-hwtac user-name-format without-domainSwitch-hwtacacs-hwtac quit# 配置RADIUS 方案。Switch radius scheme rdSwitc
9、h-radius-rd primary accounting 10.1.1.1 1813Switch-radius-rd key accounting expertSwitch-radius-rd server-type extendedSwitch-radius-rd user-name-format without-domainSwitch-radius-rd quit# 创建本地用户hello。Switch local-user helloSwitch-luser-hello service-type telnetSwitch-luser-hello password simple he
10、lloSwitch-luser-hello quit# 配置ISP 域的AAA 方案。Switch domain bbbSwitch-isp-bbb authentication login local1-34Switch-isp-bbb authorization login hwtacacs-scheme hwtacSwitch-isp-bbb accounting login radius-scheme rdSwitch-isp-bbb quit# 或者不区分用户类型,配置缺省的AAA 方案。Switch domain bbbSwitch-isp-bbb authentication d
11、efault localSwitch-isp-bbb authorization default hwtacacs-scheme hwtacSwitch-isp-bbb accounting default radius-scheme imc使用Telnet 登录时输入用户名为hellobbb,以使用域bbb 进行认证。SSH 用户通过RADIUS 服务器认证、授权、计费的应用配置1. 组网需求如 图1-9所示,配置Switch实现RADIUS服务器对登录Switch的SSH用户进行认证、授权和计费。 由一台 iMC 服务器担当认证/授权、计费RADIUS 服务器的职责,服务器IP 地址为10
12、.1.1.1/24。 Switch 与认证/授权、计费RADIUS 服务器交互报文时的共享密钥均为expert,向RADIUS服务器发送的用户名带域名。服务器根据用户名携带的域名来区分提供给用户的服务。2. 组网图图1-9 SSH 用户RADIUS 认证、授权和计费配置组网图InternetSSH user SwitchRADIUS server10.1.1.1/24Vlan-int2192.168.1.70/243. 配置步骤(1) 配置RADIUS server (iMC)下面以 iMC 为例(使用iMC 版本为:iMC PLAT 3.20-R2602、iMC UAM 3.60-E6102
13、),说明RADIUSserver 的基本配置。# 增加接入设备。登录进入 iMC 管理平台,选择“业务”页签,单击导航树中的接入业务/接入设备配置菜单项,进入接入设备配置页面,在该页面中单击“增加”按钮,进入增加接入设备页面。 设置与 Switch 交互报文时的认证、计费共享密钥为expert; 设置认证及计费的端口号分别为 1812 和1813;1-35 选择业务类型为设备管理业务; 选择接入设备类型为 H3C; 选择或手工增加接入设备,添加 IP 地址为10.1.1.2 的接入设备。图1-10 增加接入设备# 增加设备管理用户。选择“用户”页签,单击导航树中的接入用户视图/设备管理用户菜单
14、项,进入设备管理用户列表页面,在该页面中单击按钮,进入增加设备管理页面。 添加用户名 hellobbb 和密码; 选择服务类型为 SSH; 增加所管理设备的 IP 地址,IP 地址范围为“192.168.1.0192.168.1.255”。1-36图1-11 增加设备管理用户(2) 配置Switch# 配置VLAN 接口2 的IP 地址,SSH 客户端将通过该地址连接SSH 服务器。 system-viewSwitch interface vlan-interface 2Switch-Vlan-interface2 ip address 192.168.1.70 255.255.255.0Switch-Vlan-interface2 quit# 配置VLAN 接口3 的IP 地址,Switch 将通过该地址与服务器通信。Switch interface vlan-interface 3Switch-Vlan-interface3 ip address 10.1.1.2 255.255.255.0Switch-Vlan-interface3 quit# 生成RSA 及DSA 密钥对,并启动SSH 服务器。Switch public-key local create rsaSwitch public-key local create dsaSwitch ssh server ena
