一起学习如何配置AAA认证(AAA认证配置)
华为
配置管理员使用Radius+Local方式认证并授权用户级别。
1.配置Stelnet登录。
#在服务器端生成本地密钥对。
system-view
sysname switch
dsa local-key-pair create
#配置VTY用户界面0~14的认证方式为AAA认证,支持的协议为SSH。
user-interface vty 0 14
authentication-mode aaa
protocol inbound ssh
quit
#开启设备的SSH服务器功能。
ssh server-source -I vlanif 10 #假设VLANIF 10为管理网口。有管理网口的设备需要执行此步骤,从而将管理网口配置为SSH服务器端的源接口,提高系统安全性。
stelnet server enable
#配置所有SSH用户的认证方式为Password认证、服务方式为Stelnet。
ssh authentication-type default password
2.配置RADIUS认证。
#配置RADIUS服务器模板,实现与RADIUS服务器的通信。
radius-server template 1
radius-server authentication 10.1.6.6 1812
radius-server accounting 10.1.6.6 1813
radius-server shared-key cipher Example@123
quit
#配置AAA认证方案,指定认证方式为RADIUS+local。
aaa
authentication-scheme sch1
authentication-mode radius local
quit
#配置计费方案acc1,指定计费方式为RADIUS计费。
accounting-scheme acc1
accounting-mode radius
accounting start-fail online
quit
#在域下引用AAA认证方案,RADIUS服务器模板。
domain example.com
authentication-scheme sch1
accounting-schme acc1
radius-server 1
quit
#配置example.com为全局默认管理域。
domain example.com admin
3.配置本地认证。
#配置本地账号“user1”,密码“Example@123”,级别为15级。
aaa
local-user user1 password irreversible-cipher Example@123
local-user user1 service-type ssh
local-user user1 privilege level 15
return
4.配置RADIUS服务器。
添加设备、添加用户、配置用户级别为15级。
5.验证配置结果。
管理员通过STelnet客户端软件登录交换机。
display access-user username user1 detail #查看用户user1的信息。
H3C
SSH用户的RADIUS认证和授权配置。
1.配置RADIUS服务器
增加接入设备、增加设备管理用户。
2.配置交换机。
#生成RAS及DSA密钥对。
system-view
public-key local create rsa
public-key local create dsa
#使能SSH服务器功能。
ssh server enable
#设置SSH用户登录用户线的认证方式为AAA认证。
line vty 0 63
authentication-mode scheme
quit
#使能缺省用户角色授权功能,使得认证通过后的SSH用户具有缺省的用户角色network-operator。
role default-role enable
#创建RADIUS方案rad。
radius scheme rad
#配置主认证服务器的IP地址为10.1.1.1,认证端口号为1812。
primary authentication 10.1.1.1 1812
#配置与认证服务器交互报文时的共享密钥为明文expert。
key authentication simple expert
#配置向RADIUS服务器发送的用户名要携带域名。
user-name-format with-domain
quit
#创建ISP域bbb,为login用户配置AAA认证方法为RADIUS认证/授权、不计费。
domain bbb
authentication login radius-scheme rad
authentication login radius-scheme rad
accounting login none
quit
3.验证配置。
用户向switch发起SSH连接,按照提示输入用户名和密码,可成功登录switch。
锐捷
1.创建Radius服务器,并设置相关参数。
config radius add 1 192.168.1.111 key 123456 default #添加radius服务器,地址为192.168.1.111,交换机和radius服务器之间的密钥为123456,认证UDP端口号为1812,超时时间为5秒,重新传输值为2。
2.全局启用AAA。
enable auth-policy #全局启用AAA。
3.创建login方法列表,并设置认证首选方法为Radius认证,第二方法为交换机本地认证。
create authen_login method_list_name ruijie #创建一个名为“ruijie”的用户定义Login方法列表。
config authen_login method_list_name ruijie method radius local #配置Login方法列表“ruijie”的首选认证方法为“radius”,次选认证方法为交换机本地认证。
4.设置特权密码ruijie,用于认证需要获取admin权限的用户。
config admin local_enable #配置管理员的本地启用密码。
5.配置HTTP用户的认证所采用的认证方法列表为步骤3中创建的ruijie方法列表。
config authen application http login method_list_name ruijie # 配置HTTTP用户采用“ruijie”认证方法列表。
6.交换机本地设置user级别的HTTP用户账号。
create web_account user 1 #创建Web帐号,用户名为1,访问权限为“user”。
7.配置radius服务器。
1)添加交换机的IP、Key值。
2)创建登入交换机的用户名和密码。
8.验证配置。
在PC的WEB流量器上输入URL“192.168.1.200”尝试登录交换机。
