Chinaunix首页 | 论坛 | 博客

qsh

  • 博客访问: 4034230
  • 博文数量: 1015
  • 博客积分: 15904
  • 博客等级: 上将
  • 技术积分: 8572
  • 用 户 组: 普通用户
  • 注册时间: 2008-07-04 19:16
文章分类

全部博文(1015)

文章存档

2019年(1)

2017年(1)

2016年(19)

2015年(27)

2014年(30)

2013年(95)

2012年(199)

2011年(72)

2010年(109)

2009年(166)

2008年(296)

分类: 系统运维

2012-08-08 10:11:07

telnet/ssh用户通过radius服务器认证的应用配置

ssh用户和telnet用户通过radius服务器认证的配置类似,下面的描述以telnet用户的远端认证为例。


1. 组网需求

在图1-7所示的环境中,需要通过配置交换机实现radius服务器对登录交换机的telnet用户进行认证;

一台radius服务器(担当认证radius服务器的职责)与交换机相连,服务器ip地址为10.110.91.164;

设置交换机与认证radius服务器交互报文时的共享密钥为“expert”;
使用第三方radius服务器如cams时,radius方案中的server-type可以选择standard类型或extended类型;

在radius服务器上设置与交换机交互报文时的共享密钥为“expert”;设置验证的端口号;
添加telnet用户名及登录密码;

如果radius方案中设置交换机不从用户名中去除用户域名而是一起传给radius服务器,radius服务器上添加的telnet用户名应为“userid@isp-name”形式;



3. 配置步骤

配置telnet用户采用aaa认证方式。

system-view

[h3c] user-interface vty 0 4

[h3c-ui-vty0-4] authentication-mode scheme

配置domain。

[h3c] domain cams

[h3c-isp-cams] access-limit enable 10

[h3c-isp-cams] quit

配置radius方案。

[h3c] radius scheme cams

[h3c-radius-cams] accounting optional

[h3c-radius-cams] primary authentication 10.110.91.164 1812

[h3c-radius-cams] key authentication expert

[h3c-radius-cams] server-type extended

[h3c-radius-cams] user-name-format with-domain

[h3c-radius-cams] quit

配置domain和radius的关联。

[h3c] domain cams

[h3c-isp-cams] scheme radius-scheme cams

telnet用户登录时输入用户名userid @cams,以使用cams域进行认证。


1.7.2 ftp/telnet用户本地认证配置

ftp用户与telnet用户通过本地认证的配置方法类似,下面描述仅以telnet用户为例。


1. 组网需求

如下图所示的环境中,现需要通过配置交换机实现对登录交换机的telnet用户进行本地认证。


3. 配置步骤

(1)方法一:使用本地认证方案。

进入系统视图。

system-view

system view: return to user view with ctrl+z.

[h3c]

配置telnet用户采用aaa认证方式。

[h3c] user-interface vty 0 4

[h3c-ui-vty0-4] authentication-mode scheme

[h3c-ui-vty0-4] quit

创建本地用户telnet。

[h3c] local-user telnet

[h3c-luser-telnet] service-type telnet

[h3c-luser-telnet] password simple aabbcc

[h3c-luser-telnet] attribute idle-cut 300 access-limit 5

[h3c] domain system

[h3c-isp-system] scheme local

使用telnet登录时输入用户名为telnet@system,以使用system域进行认证。




(2)方法二:使用本地radius服务器

这种方法与1.7.1 节中的远端radius认证方法类似,不同之处在于:

配置开启本地radius服务器,设置网络接入服务器ip地址为127.0.0.1,共享密钥为expert;配置本地用户;


radius scheme system

server-type huawei

primary authentication 127.0.0.1 1645

key authentication expert

user-name-format without-domain

domain system

scheme radius-scheme system

access-limit disable

state active

idle-cut disable

self-service-url disable

messenger time disable

domain default enable system


1.7.3 配置telnet用户通过tacacs服务器进行认证和授权

1. 组网需求

通过配置交换机实现tacacs服务器对登录交换机的telnet用户进行认证、授权。

一台tacacs服务器(其担当认证、授权、计费服务器的职责)与交换机相连,服务器ip地址为10.110.91.164,设置交换机与认证、授权、计费tacacs服务器交互报文时的共享密钥均为“expert”,设置交换机除去用户名中的域名后再将之传给tacacs服务器。

在tacacs服务器上设置与交换机交互报文时的共享密钥为“expert”。

2. 组网图



3. 配置步骤

添加telnet用户。

此处略。

配置hwtacacs方案。

system-view

[h3c] hwtacacs scheme hwtac

[h3c-hwtacacs-hwtac] primary authentication 10.110.91.164 49

[h3c-hwtacacs-hwtac] primary authorization 10.110.91.164 49

[h3c-hwtacacs-hwtac] key authentication expert

[h3c-hwtacacs-hwtac] key authorization expert

[h3c-hwtacacs-hwtac] user-name-format without-domain

[h3c-hwtacacs-hwtac] quit

配置domain引用名为hwtac的hwtacacs方案。

[h3c] domain hwtacacs

[h3c-isp-hwtacacs] scheme hwtacacs-scheme hwtac
 
阅读(5440) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~