NE20E-8 (V2R5)TACAS 认证telnet登陆后没有权限

发布时间:  2017-03-14 浏览次数:  106 下载次数:  0
问题描述

NE20E-8 TACAS 认证telnet登陆后没有权限,此配置放在NE40E 上没有问题

 

<JBHGZ-PE-RT01-HWNE20E>telnet 127.0.0.1
Trying 127.0.0.1 ...
Press CTRL+T to abort
Connected to 127.0.0.1 ...
***********************************************************
*           All rights reserved (2000-2011)               *
*       Without the owner's prior written consent,        *
* no decompiling or reverse-engineering shall be allowed. *
* Notice:                                                 *
*      This is a private communication system.            *
*   Unauthorized access or use may lead to prosecution.   *
***********************************************************


Login authentication


Username:jiyutong
Password:
Note: The max number of VTY users is 5, and the current number
      of VTY users on line is 3.
<JBHGZ-PE-RT01-HWNE20E>sys
                       ^
Error:Unrecognized command found at '^' position.

处理过程

查看主要配置如下:

hwtacacs-server template remote-aaa
 hwtacacs-server authentication 172.xx.0.4
 hwtacacs-server authorization 172.xx.0.4
 hwtacacs-server accounting 172.xx.0.4
 hwtacacs-server source-ip xx.xx.188.243
 hwtacacs-server shared-key cipher xxx
 undo hwtacacs-server user-name domain-included
#
aaa
 authentication-scheme default
  authentication-mode  none
 authentication-scheme remote-aaa
  authentication-mode  local  hwtacacs
  authentication-super  hwtacacs  super
 #
 authorization-scheme default
  authorization-mode  none
 authorization-scheme remote-aaa
  authorization-mode  local  hwtacacs
  authorization-cmd 15 hwtacacs local
 #
 accounting-scheme default
 accounting-scheme remote-aaa
  accounting-mode hwtacacs 
  accounting start-fail online           
 #
 domain default
 domain default_admin
  authentication-scheme  remote-aaa
  authorization-scheme remote-aaa
  hwtacacs-server remote-aaa
 #
 recording-scheme remote-aaa
  recording-mode hwtacacs remote-aaa
 #
 cmd recording-scheme remote-aaa

通过了解,此配置在NE40E上没有问题,但是同样的模板在NE20-8上可以登陆,但是没有权限进入系统视图

经确认:

在v2r5版本上,默认域是default域,而v8以及v5后续的版本上默认域是default_admin。
 
查看配置可以看到,v2r5的default域下没有配置,那么认证,授权,计费机制都是default,但是看看default的下的配置全部都是none,意味机制全部为none,这样登陆之后级别比较低,
具体可以通过命令行display user-interface来查看登陆用户的实际级别。
如下是为none的配置信息:
 authentication-scheme default
  authentication-mode  none----代表不认证
 authorization-scheme default
  authorization-mode  none  ---代表不授权
 accounting-scheme default---下面没有,代表不计费
 
需要修改认证授权计费的 remote-aaa机制都配置到default域下;
例如:
aaa视图下:
 domain default
  authentication-scheme  remote-aaa
  authorization-scheme remote-aaa
  hwtacacs-server remote-aaa

 

根因

v2r5版本上,默认域是default域,而v8以及v5后续的版本上默认域是default_admin。

解决方案


需要修改认证授权计费的 remote-aaa机制都配置到default域下;
例如:
aaa视图下:
 domain default
  authentication-scheme  remote-aaa
  authorization-scheme remote-aaa
  hwtacacs-server remote-aaa

测试OK

END