《AAA认证配置方法.docx》由会员分享,可在线阅读,更多相关《AAA认证配置方法.docx(13页珍藏版)》请在课桌文档上搜索。
1、AAA认证配置方法:Telnet用户通过HWTACACS服务器认证授权、计费的应用配置1 .组网需求通过配置SWitCh实现HWTACACS服务器对登录SW计Ch的用户进展认证、授权、计费。:一台HWTACACS服务器(担当认证、授权、计费服务器的职责)与SWiteh相连,服务器IP地址为10.1.1.1oSwitch与认证、授权、计费HWTACACS服务器交互报文时的共享密钥均为expert,发送给Hwtacacs服务器的用户名中不带域名。在HWTACACS服务器上设置与SW让Ch交互报文时的共享密钥为expert。2 .组网图图1-7TeInet用户远端HWTACACS认证、授权和计费配置
2、组网图TelnetuserSwitchHwtacacsserver10.1.1.1/243 .配置步骤# 配置各接口的IP地址略)。# 开启SWitCh的TeInet服务器功能。system-viewSwitchtelnetserverenable# 配置Telnet用户登录采用AAA认证方式。Switchuser-interfacevtyO4Switch-i-vtyO-4authentication-modeschemeSwitch-Ui-VtyO-4quit# 配置HWTACACS方案。1-32SwitchhwtacacsschemehwtacSwitch-hwtacacs-hwtac10
3、.1.1.1 49Switch-hwtacacs-hwtac10.1.1.1 49Switch-hwtacacs-hwtac10.1.1.1 49Switch-hwtacacs-hwtacSwitch-hwtacacs-hwtacSwitch-hwtacacs-hwtacSwitch-hwtacacs-hwtacwithout-domainprimary authenticationprimary authorizationprimary accountingkey authentication expert key authorization expert key accounting ex
4、pert user-name-formatSwitch-hwtacacs-hwtacquit# 配置ISP域的AAA方案。SwitchdomainbbbSwitch-isp-bbbauthenticationloginhwtacacs-schemehwtacSwitch-isp-bbbauthorizationloginhwtacacs-schemehwtacSwitch-isp-bbbaccountingloginhwtacacs-schemehwtacSwitch-isp-bbbquit# 或者不区分用户类型,配置缺省的AAA方案。SwitchdomainbbbSwitch-isp-bbb
5、authenticationdefaulthwtacacs-schemehwtacSwitch-isp-bbbauthorizationdefaulthwtacacs-schemehwtacSwitch-isp-bbbaccountingdefaulthwtacacs-schemehwtac使用Telnet登录时输入用户名为usedlDbb,以使用域bbb进展认证。Telnet用户通过IOCal认证、HWTACACS授权、RADIUS计费的应用配置1 .组网需求通过配置SWitCh实现IOCal认证,HWTACACS授权和RADIUS计费。Telnet用户的用户名和密码为hello。口一台HW
6、TACACS服务器担当授权服务器的职责)与Switch相连,服务器IP地址为10.1.1.2。Switch与授权HWTACACS服务器交互报文时的共享密钥均为expert,发送给HWTACACS服务器的用户名中不带域名。,一台RADlUS服务器(担当计费服务器的职责)与SWitCh相连,服务器IP地址为10.1.1.1。Switch与计费RADiUS服务器交互报文时的共享密钥为experto其它接入如果需要此类AAA应用,和Telnet接入在域的AAA配置上类似,只有接入的区分。1-332 .组网图图1-8Telnet用户IoCal认证、HWTACACS授权和RADIUS计费配置组网图3 .配
7、置步骤# 配置各接口的IP地址略)。# 开启SWitCh的TeInet服务器功能。system-viewSwitchtelnetserverenable# 配置Telnet用户登录采用AAA认证方式。Switchuser-interfacevtyO4Switch-i-vtyO-4authentication-modeschemeSwitch-i-vtyO-4quit# 配置HWTACACS方案。SwitchhwtacacsschemehwtacSwitch-hwtacacs-hwtacprimary authorizationSwitch-hwtacacs-hwtackey authoriza
8、tion expertSwitch-hwtacacs-hwtacuser-name-formatWithOUt-domainSwitch-hwtacacs-hwtacquit# 配置RADlUS方案。SwitchradiusschemerdSwitch-radius-rdprimaryaccounting10.1.1.11813without-domainSwitch-radius-rdquitSwitch-radius-rdkey accounting expertSwitch-radius-rdserver-type extendedSwitch-radius-rduser-name-fo
9、rmat# 创立本地用户hello。Switchlocal-userhelloSwitch-luser-helloservice-typetelnetSwitch-Iuser-helIopasswordsimplehelloSwitch-luser-helloquit# 配置ISP域的AAA方案。SwitchdomainbbbSwitch-isp-bbbauthenticationloginlocal1-34Switch-isp-bbbauthorizationloginhwtacacs-schemehwtacSwitch-isp-bbbaccountingloginradius-scheme
10、rdSwitch-isp-bbbquit# 或者不区分用户类型,配置缺省的AAA方案。SwitchdomainbbbSwitch-isp-bbbauthenticationdefaultlocalSwitch-isp-bbbauthorizationdefaulthwtacacs-schemehwtacSwitch-isp-bbbaccountingdefaultradius-schemeimc使用Telnet登录时输入用户名为hellolDbb,以使用域bbb进展认证。SSH用户通过RADlUS服务器认证、授权、计费的应用配置1 .组网需求如图1-9所示,配置SW计Ch实现RADIUS服务器
11、对登录SWitCh的SSH用户进展认证、授权和计费。由一台iMC服务器担当认证/授权、计费RADIUS服务器的职责,服务器IP地址为10.111/24。Switch与认证/授权、计费RADIUS服务器交互报文时的共享密钥均为expert,向RADlUS服务器发送的用户名带域名。服务器根据用户名携带的域名来区分提供给用户的服务。2 .组网图图1-9SSH用户RADIUS认证、授权和计费配置组网图SSHuserSwitchRADIUSserver10.1.1.1/24Vlan-int2192.168.1.70/243 .配置步骤(1)酉己置RADlUSSerVeriMC)下面以iMC为例使用iMC
12、版本为:iMCPLAT3.20- R2602、iMCUAM3.60-E6102,说明RADIUSserver的基本配置。#增加接入设备。登录进入iMC管理平台,选择“业务页签,单击导航树中的接入业务/接入设备配置菜单项,进入接入设备配置页面,在该页面中单击“增加按钮,进入增加接入设备页面。口设置与SWitCh交互报文时的认证、计费共享密钥为expert;口设置认证及计费的端口号分别为1812和1813;1-35口选择业务类型为设备管理业务;选择接入设备类型为H3C;选择或手工增加接入设备,添加IP地址为10112的接入设备。图110增加接入设备#增加设备管理用户。选择“用户页签,单击导航树中的
13、接入用户视图/设备管理用户菜单项,进入设备管理用户列表页面,在该页面中单击V增加按钮,进入增加设备管理页面。口添加用户名hellolDbb和密码;选择服务类型为SSH;口增加所管理设备的IP地址,IP地址范围为“192.168.1.0192.168.1.255”。1-36图1-11增加设备管理用户(2)配置SWitCh#配置VLAN接口2的IP地址,SSH客户端将通过该地址连接SSH服务器。system-viewSwitchinterfacevlan-interface2Switch-Vlan-interface2ipaddress192.168.1.70255.255.255.0Switch
14、-Vlan-interface2quit# 配置VLAN接口3的IP地址,Switch将通过该地址与服务器通信。Switchinterfacevlan-interface3Switch-Vlan-interface3ipaddress10.1.1.2255.255.255.0Switch-Vlan-interface3quit# 生成RSA及DSA密钥对,并启动SSH服务器。Switchpublic-keylocalcreatersaSwitchpublic-keylocalcreatedsaSwitchsshserverenable# 配置SSH用户登录采用AAA认证方式。Switchuse
15、r-interfacevtyO4Switch-ui-vtyO-4authentication-modescheme1-37# 配置用户远程登录SWitCh的协议为SSH。Switch-i-vty0-4protocolinboundsshSwitch-ui-vtyO-4quit# 配置RADIUS方案。SwitchradiusschemeradSwitch-radius-radprimaryauthentication10.1.1.11812Switch-radius-radprimaryaccounting10.1.1.11813Switch-radius-radkeyauthenticati
16、onexpertSwitch-radius-radkey accounting expertSwitch-radius-raduser-name-formatwith-domainSwitch-radius-radquit# 配置ISP域的AAA方案。SwitchdomainbbbSwitch-isp-bbbauthenticationloginradius-schemeradSwitch-isp-bbbauthorizationloginSwitch-isp-bbbaccountingloginradius-schemeradSwitch-isp-bbbquit使用SSH登录时输入用户名为Dbb,以使用域bbb进展认证。SSH用户建设与SWitCh的连接在SSH客户端按照提示输入用户名hellobbb及密码,即可进入SW让Ch的用户界面。用户登录系统后所能访问的命令级别由iMC服务器授权,可通过设备管理用户界面的EXEC权限级别来设置
