所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

企业业务网站
选择区域/语言
Huawei Global - English
搜索
技术支持 文档中心
S2750, S5700, S6700 V200R005(C00&C01&C02&C03) 配置指南-用户接入与认证
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置采用HWTACACS方式进行认证、授权和计费

配置采用HWTACACS方式进行认证、授权和计费

与RADIUS相比,HWTACACS具有更加可靠的传输和加密特性,更加适合于安全控制。

HWTACACS方式进行认证、授权和计费

HWTACACS协议与RADIUS协议类似,主要是通过客户端/服务器模式与HWTACACS服务器通信来实现对接入用户进行认证、授权和计费。

采用HWTACACS方式进行认证、授权、计费可以防止非法用户对网络的攻击,HWTACACS还支持对命令行进行授权,比RADIUS更适用于进行安全控制。

为了避免设备和HWTACACS服务器之间的安全传输风险,建议设备和HWTACACS服务器之间的通信网络部署在一个安全域中。

配置流程

配置AAA方案

背景信息

如果需要采用HWTACACS方式进行认证、授权和计费,需要在认证方案中配置认证模式为HWTACACS认证,在授权方案中配置授权模式为HWTACACS授权,在计费方案中配置计费模式为HWTACACS计费。

配置认证模式为HWTACACS认证时还可以配置本地认证或不认证为备份认证模式。配置备份认证可以避免单一认证模式无响应而造成的认证失败。同理,配置授权模式为HWTACACS授权时还可以配置本地授权或不授权为备份授权模式。

缺省情况下,default和default_admin域内绑定了相同的认证方案default和计费方案default,如果用户想要修改default方案,可能会造成某一域内的用户认证或计费失败,请谨慎操作。

如果使用authentication-mode命令配置认证方式为不认证,则当用户上线时,用户输入任意的用户名和密码后都会认证成功。因此,为保护设备或网络安全,建议开启认证方式,保证用户经过认证后才可以访问设备或网络。

操作步骤

  • 配置认证方案
    1. 执行命令system-view,进入系统视图。
    2. 执行命令aaa,进入AAA视图。
    3. 执行命令authentication-scheme authentication-scheme-name,创建一个认证方案,并进入认证方案视图或直接进入一个已存在的认证方案视图。

      缺省情况下,设备中有一个认证方案,认证方案名称是default,不能删除,只能修改。

      缺省情况下,设备中有一个认证方案,认证方案名称是default,不能删除,只能修改。

    4. 执行命令authentication-mode hwtacacs,配置认证模式为HWTACACS认证。

      缺省情况下,认证模式为本地认证。

      如果需要配置本地认证方式为备份认证方式,请执行命令authentication-mode hwtacacs local

      如果在一个认证方案中使用多种认证模式,则认证模式的执行顺序为配置的先后顺序。只有在当前认证模式没有响应的情况下,才会采用下一种认证模式;如果在当前认证模式认证失败,则不会跳转到下一个认证模式进行认证。

    5. 执行命令quit,返回AAA视图。
    6. (可选)执行命令domainname-parse-direction { left-to-right | right-to-left },配置用户名和域名解析的方向,从左向右或从右向左。
    7. 执行命令quit,返回系统视图。
    8. (可选)执行命令aaa-authen-bypass enable time time-value,配置认证旁路时间。

      缺省情况下,未配置认证旁路时间。

  • 配置授权方案
    1. 执行命令system-view,进入系统视图。
    2. 执行命令aaa,进入AAA视图。
    3. 执行命令authorization-scheme authorization-scheme-name,创建一个授权方案,并进入授权方案视图或直接进入一个已存在的授权方案视图。

      缺省情况下,设备有一个授权方案,授权方案配置名是default,不能删除,只能修改。

    4. 执行命令authorization-mode { hwtacacs | local }* [ none ],配置授权模式。

      缺省情况下,授权模式为本地授权模式。

      如果采用HWTACACS授权模式,必须配置HWTACACS服务器模板,然后在用户所属域的视图下应用该服务器模板。

      如果在一个授权方案中使用多种授权模式,则授权模式的执行顺序为配置的先后顺序。只有在当前授权模式没有响应的情况下,才会采用下一种授权模式;如果当前授权模式失败,则不会采用下一种授权模式进行授权。

    5. (可选)执行命令authorization-cmd privilege-level hwtacacs [ local ] [ none ],配置某级别的用户按命令行授权。

      缺省情况下,0~15级用户都没有配置按命令行授权。

      如需使能按命令行授权功能,必须配置HWTACACS服务器模板,然后在用户所属域的视图下应用该服务器模板。

    6. 执行命令quit,返回AAA视图。
    7. 执行命令quit,返回系统视图。
    8. (可选)执行命令aaa-author-bypass enable time time-value,配置授权旁路时间。

      缺省情况下,未配置授权旁路时间。

    9. (可选)执行命令aaa-author-cmd-bypass enable time time-value,配置命令行授权旁路时间。

      缺省情况下,未配置命令行授权旁路时间。

  • 配置计费方案
    1. 执行命令system-view,进入系统视图。
    2. 执行命令aaa,进入AAA视图。
    3. 执行命令accounting-scheme accounting-scheme-name,创建一个计费方案,并进入计费方案视图或直接进入一个已存在的计费方案视图。

      缺省情况下,设备中有一个计费方案,计费方案配置名是default,不能删除,只能修改。

    4. 执行命令accounting-mode hwtacacs,配置计费模式。

      缺省情况下,计费模式采用不计费模式none

    5. (可选)执行命令accounting start-fail { online | offline },配置开始计费失败策略。

      缺省情况下,如果初始计费失败,不允许用户上线。

    6. (可选)执行命令accounting realtime interval,使能实时计费并设置计费间隔。

      缺省情况下,实时计费功能未使能。

    7. (可选)执行命令accounting interim-fail [ max-times times ] { online | offline },配置允许的实时计费请求最大无响应次数,以及实时计费失败后采取的策略。

      使能实时计费功能后,缺省情况下,允许的实时计费请求最大无响应次数为3次,实时计费失败后保持付费用户在线。

配置HWTACACS服务器模板

背景信息

配置HWTACACS服务器模板中的关键步骤是指定服务器的IP地址和端口号、HWTACACS共享密钥。其他的步骤如配置HWTACACS用户名格式、流量单位等都有缺省配置,用户可以根据实际需要进行修改。

HWTACACS服务器模板下配置的HWTACACS用户名格式、HWTACACS共享密钥等要与HWTACACS服务器上的配置一致。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令hwtacacs enable,使能HWTACACS功能。

    缺省情况下,HWTACACS功能处于使能状态。

  3. 执行命令hwtacacs-server template template-name,创建HWTACACS服务器模板,并进入HWTACACS服务器模板视图。
  4. 执行命令hwtacacs-server authentication ip-address [ port ] [ public-net | vpn-instance vpn-instance-name ](S2750、S5700SI、S5700LI、S5700S-LI不支持vpn-instance vpn-instance-name参数),配置HWTACACS主用认证服务器。

    缺省情况下,未配置HWTACACS主用认证服务器。

  5. (可选)执行命令hwtacacs-server authentication ip-address [ port ] [ public-net | vpn-instance vpn-instance-name ] secondary(S2750、S5700SI、S5700LI、S5700S-LI不支持vpn-instance vpn-instance-name参数),配置HWTACACS备用认证服务器。

    缺省情况下,未配置HWTACACS备用认证服务器。

  6. 执行命令hwtacacs-server authorization ip-address [ port ] [ public-net | vpn-instance vpn-instance-name ](S2750、S5700SI、S5700LI、S5700S-LI不支持vpn-instance vpn-instance-name参数),配置HWTACACS主用授权服务器。

    缺省情况下,未配置HWTACACS主用授权服务器。

  7. (可选)执行命令hwtacacs-server authorization ip-address [ port ] [ public-net | vpn-instance vpn-instance-name ] secondary(S2750、S5700SI、S5700LI、S5700S-LI不支持vpn-instance vpn-instance-name参数),配置HWTACACS备用授权服务器。

    缺省情况下,未配置HWTACACS备用授权服务器。

  8. 执行命令hwtacacs-server accounting ip-address [ port ] [ public-net | vpn-instance vpn-instance-name ](S2750、S5700SI、S5700LI、S5700S-LI不支持vpn-instance vpn-instance-name参数),配置HWTACACS主用计费服务器。

    缺省情况下,未配置HWTACACS主用计费服务器。

  9. (可选)执行命令hwtacacs-server accounting ip-address [ port ] [ public-net | vpn-instance vpn-instance-name ] secondary(S2750、S5700SI、S5700LI、S5700S-LI不支持vpn-instance vpn-instance-name参数),配置HWTACACS备用计费服务器。

    缺省情况下,未配置HWTACACS备用计费服务器。

  10. (可选)执行命令undo hwtacacs-server user-name domain-included配置设备向HWTACACS服务器发送的报文中用户名不包含域名

    缺省情况下,设备向HWTACACS服务器发送的报文中的用户名包含域名,即设备会把用户名和域名及域名分隔符一起发送给HWTACACS服务器进行认证。

  11. (可选)执行命令hwtacacs-server source-ip ip-address,配置HWTACACS的源IP地址。

    缺省情况下,未配置HWTACACS报文的源IP地址,此时设备使用实际出方向的接口的IP地址作为HWTACACS报文的源IP地址。

    指定HWTACACS的源IP地址后,使用该HWTACACS模板与服务器通信时,报文的源IP地址为指定的IP地址。此时,服务器也将使用指定的IP地址与设备通信。

  12. (可选)执行命令hwtacacs-server shared-key [ cipher ] key-string,配置HWTACACS的共享密钥。

    缺省情况下,没有配置HWTACACS的共享密钥。

  13. (可选)执行命令hwtacacs-server traffic-unit { byte | kbyte | mbyte | gbyte },配置HWTACACS流量单位。

    缺省情况下,设备使用字节(byte)作为HWTACACS流量单位。

  14. (可选)执行命令hwtacacs-server timer response-timeout interval,配置HWTACACS服务器应答超时时间。

    缺省情况下,HWTACACS应答超时时间为5秒。

    如果设备在应答超时时间内,没有收到HWTACACS服务器的回复,则认为服务器不可用。此时设备将尝试使用其他方式进行认证、授权。

  15. (可选)执行命令hwtacacs-server timer quiet interval,配置HWTACACS主服务器恢复激活时间。

    缺省情况下,主用服务器恢复激活状态前需要等待5分钟。

  16. 执行命令quit,返回系统视图。
  17. (可选)执行命令hwtacacs-server accounting-stop-packet resend { disable | enable number },配置计费结束报文的重传功能。

    缺省情况下,设备启用计费结束报文的重传功能,报文的重传次数为100。

  18. 执行命令return,返回用户视图。
  19. (可选)执行命令hwtacacs-user change-password hwtacacs-server template-name,修改用户在HWTACACS服务器上保存的用户密码。

    为充分保证设备安全,请用户定期修改密码。

(可选)配置业务方案

背景信息

接入用户需要获取授权信息才能上线,可以通过配置业务方案管理用户的授权信息。

在配置AAA的任务中,业务方案下只需要配置命令admin-user privilege level。其余命令在业务方案被其他特性(比如IPSec特性)调用时才需要配置。

设备切换为NAC传统模式时,业务方案下仅支持配置命令admin-user privilege level

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令aaa,进入AAA视图。
  3. 执行命令service-scheme service-scheme-name,创建一个业务方案并进入业务方案视图。

    缺省情况下,设备中没有创建业务方案。

  4. 执行命令admin-user privilege level level,配置用户可以作为管理员登录设备,同时指定登录时的管理员级别。

    level参数的取值范围是0~15。缺省情况下,未配置用户级别。

  5. (可选)执行命令dns ip-address,配置DNS主用服务器地址。

    缺省情况下,业务方案下没有配置DNS主用服务器。

  6. (可选)执行命令dns ip-address secondary,配置DNS备用服务器地址。

    缺省情况下,业务方案下没有配置DNS备用服务器。

配置域

背景信息

创建的认证方案、授权方案、计费方案、HWTACACS服务器模板,只有在域下应用后才能生效。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令aaa,进入AAA视图。
  3. 执行命令domain domain-name,创建域并进入域视图或直接进入一个已存在的域视图。

    缺省情况下,设备上存在名为“default”和“default_admin”两个域。可以修改这两个域下的配置,但是不能删除这两个域。

    • 用户认证时,如果输入不带域名的用户名,将到默认域认证,因此设备需通过domain(系统视图) domain-name [ admin ]命令设置domain-name为全局默认域。
    • 用户认证时,如果输入带域名的用户名,需要带上正确的域名domain-name

  4. 执行命令authentication-scheme authentication-scheme-name,配置域的认证方案。

    缺省情况下,域使用配置名为“default”的认证方案。

  5. (可选)执行命令authorization-scheme authorization-scheme-name,配置域的授权方案。

    缺省情况下,域下没有绑定授权方案。

  6. (可选)执行命令accounting-scheme accounting-scheme-name,配置域的计费方案。

    缺省情况下,域使用名为“default”的计费方案。“default”计费方案的策略为:计费模式为不计费,关闭实时计费开关。

  7. (可选)执行命令user-group group-name,配置对域下的用户下发用户组授权。

    缺省情况下,未配置对域下的用户下发用户组授权。

  8. (可选)执行命令service-scheme service-scheme-name,配置域的业务方案。

    缺省情况下,域下没有配置任何业务方案。

  9. 执行命令hwtacacs-server(AAA域视图) template-name,配置域的HWTACACS服务器模板。

    缺省情况下,没有配置域的HWTACACS服务器模板。

  10. (可选)执行命令state { active | block [ time-range time-name &<1–4> ] },配置域的状态为阻塞状态。

    当域处于阻塞状态时,属于该域的用户不能登录。缺省情况下,域创建后处于激活状态。

  11. 执行命令quit,退出域视图。
  12. (可选)执行命令domain-name-delimiter delimiter,配置域名分隔符。

    域名分隔符可以是 \ / : < > | @ ' % 中的某一个。

    缺省情况下,域名分隔符为@。

检查配置结果

操作步骤

  • 执行命令display aaa configuration,查看AAA的概要信息。
  • 执行命令display authentication-scheme [ authentication-scheme-name ],查看认证方案的配置信息。
  • 执行命令display authorization-scheme [ authorization-scheme-name ],查看授权方案的配置信息。
  • 执行命令display accounting-scheme [ accounting-scheme-name ],查看计费方案的配置信息。
  • 执行命令display service-scheme [ name name ],查看业务方案的配置信息。
  • 执行命令display hwtacacs-server template [ template-name [ verbose ] ],查看HWTACACS服务器模板的配置信息。
  • 执行命令display hwtacacs-server accounting-stop-packet { all | number | ip ip-address },查看HWTACACS服务器的计费停止报文信息。
  • 执行命令display domain [ name domain-name ],查看域的配置信息。
翻译
English
下载文档
更新时间:2022-05-25

文档编号:EDOC1000047403

浏览量:22850

下载量:4291

平均得分:
本文档适用于这些产品

相关版本

相关文档

数字签名

数字签名验证工具
分享
上一页 下一页

版权所有 © 华为技术有限公司 1998-2023。 保留一切权利。粤A2-20044005号

您正离开华为站点,前往: