telnet/ssh用户通过radius服务器认证的应用配置ssh用户和telnet用户通过radius服务器认证的配置类似,下面的描述以telnet用户的远端认证为例。
1. 组网需求
在图1-7所示的环境中,需要通过配置交换机实现radius服务器对登录交换机的telnet用户进行认证;
一台radius服务器(担当认证radius服务器的职责)与交换机相连,服务器ip地址为10.110.91.164;
设置交换机与认证radius服务器交互报文时的共享密钥为“expert”;
使用第三方radius服务器如cams时,radius方案中的server-type可以选择standard类型或extended类型;
在radius服务器上设置与交换机交互报文时的共享密钥为“expert”;设置验证的端口号;
添加telnet用户名及登录密码;
如果radius方案中设置交换机不从用户名中去除用户域名而是一起传给radius服务器,radius服务器上添加的telnet用户名应为“userid@isp-name”形式;
3. 配置步骤
配置telnet用户采用aaa认证方式。
system-view
[h3c] user-interface vty 0 4
[h3c-ui-vty0-4] authentication-mode scheme
配置domain。
[h3c] domain cams
[h3c-isp-cams] access-limit enable 10
[h3c-isp-cams] quit
配置radius方案。
[h3c] radius scheme cams
[h3c-radius-cams] accounting optional
[h3c-radius-cams] primary authentication 10.110.91.164 1812
[h3c-radius-cams] key authentication expert
[h3c-radius-cams] server-type extended
[h3c-radius-cams] user-name-format with-domain
[h3c-radius-cams] quit
配置domain和radius的关联。
[h3c] domain cams
[h3c-isp-cams] scheme radius-scheme cams
telnet用户登录时输入用户名userid @cams,以使用cams域进行认证。
1.7.2 ftp/telnet用户本地认证配置ftp用户与telnet用户通过本地认证的配置方法类似,下面描述仅以telnet用户为例。
1. 组网需求
如下图所示的环境中,现需要通过配置交换机实现对登录交换机的telnet用户进行本地认证。
3. 配置步骤
(1)方法一:使用本地认证方案。
进入系统视图。
system-view
system view: return to user view with ctrl+z.
[h3c]
配置telnet用户采用aaa认证方式。
[h3c] user-interface vty 0 4
[h3c-ui-vty0-4] authentication-mode scheme
[h3c-ui-vty0-4] quit
创建本地用户telnet。
[h3c] local-user telnet
[h3c-luser-telnet] service-type telnet
[h3c-luser-telnet] password simple aabbcc
[h3c-luser-telnet] attribute idle-cut 300 access-limit 5
[h3c] domain system
[h3c-isp-system] scheme local
使用telnet登录时输入用户名为telnet@system,以使用system域进行认证。
(2)方法二:使用本地radius服务器
这种方法与1.7.1 节中的远端radius认证方法类似,不同之处在于:
配置开启本地radius服务器,设置网络接入服务器ip地址为127.0.0.1,共享密钥为expert;配置本地用户;
radius scheme system
server-type huawei
primary authentication 127.0.0.1 1645
key authentication expert
user-name-format without-domain
domain system
scheme radius-scheme system
access-limit disable
state active
idle-cut disable
self-service-url disable
messenger time disable
domain default enable system
1.7.3 配置telnet用户通过tacacs服务器进行认证和授权1. 组网需求
通过配置交换机实现tacacs服务器对登录交换机的telnet用户进行认证、授权。
一台tacacs服务器(其担当认证、授权、计费服务器的职责)与交换机相连,服务器ip地址为10.110.91.164,设置交换机与认证、授权、计费tacacs服务器交互报文时的共享密钥均为“expert”,设置交换机除去用户名中的域名后再将之传给tacacs服务器。
在tacacs服务器上设置与交换机交互报文时的共享密钥为“expert”。
2. 组网图
3. 配置步骤
添加telnet用户。
此处略。
配置hwtacacs方案。
system-view
[h3c] hwtacacs scheme hwtac
[h3c-hwtacacs-hwtac] primary authentication 10.110.91.164 49
[h3c-hwtacacs-hwtac] primary authorization 10.110.91.164 49
[h3c-hwtacacs-hwtac] key authentication expert
[h3c-hwtacacs-hwtac] key authorization expert
[h3c-hwtacacs-hwtac] user-name-format without-domain
[h3c-hwtacacs-hwtac] quit
配置domain引用名为hwtac的hwtacacs方案。
[h3c] domain hwtacacs
[h3c-isp-hwtacacs] scheme hwtacacs-scheme hwtac
阅读(5440) | 评论(0) | 转发(0) |