配置采用本地方式进行认证和授权
配置采用本地方式进行认证和授权后,设备根据本地的用户信息对接入用户进行认证和授权。
配置本地用户
背景信息
当采用本地方式进行认证和授权时,需要在设备上配置用户的认证和授权信息,如用户名、密码、优先级等。
更改本地账号的权限(密码、接入类型、FTP目录、级别等)后,已经在线的用户权限不会被更改,新上线的用户则以新的权限为准。
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令aaa,进入AAA视图。
- (可选)执行命令user-password complexity-check,使能对密码进行复杂度检查功能。
缺省情况下,设备对密码进行复杂度检查。
为充分保证设备安全,请用户不要关闭密码复杂度检查功能,并定期修改密码。
- 根据实际情况,选择一种方式创建本地账号并配置该账号的登录密码:
执行命令local-user user-name password,创建本地帐号,并配置本地账号的登录密码。
您可以在《S系列交换机缺省帐号与密码》(企业网、运营商)文档中获取各种缺省帐号与密码信息。获取该文档需要权限,如需升级权限,请查看网站帮助。
执行命令local-user user-name password { cipher | irreversible-cipher } password,创建本地帐号,并配置本地账号的登录密码。
您可以在《S系列交换机缺省帐号与密码》(企业网、运营商)文档中获取各种缺省帐号与密码信息。获取该文档需要权限,如需升级权限,请查看网站帮助。
如果用户名中带域名分隔符(如“@”、“|”、“%”等符号),并且没有执行命令domainname-parse-direction right-to-left设置域名解析方向,则认为分隔符前面的部分是用户名,后面部分是域名。如果没有分隔符,则整个字符串为用户名,普通用户默认到default域认证,管理用户默认到default_admin域进行认证。
当用户输入密码时,直接以明文形式输入存在安全风险,建议用户以交互式方式输入。
- 执行命令local-user user-name service-type { 8021x | bind | ftp | http | ppp | ssh | telnet | terminal | web | x25-pad } *,配置允许本地用户的接入类型。
缺省情况下,本地用户可以使用所有的接入类型。
新增用户支持所有接入类型,包含Telnet、SSH、FTP、HTTP、Terminal等管理用户类型,具有安全风险,建议仅配置需要的接入类型。
配置用户的接入类型为Telnet、FTP或HTTP时存在安全风险,建议配置用户的接入类型为SSH。
配置本地用户的接入类型前,用户已经存在时,需注意:- 如果密码使用的是不可逆加密算法,则只允许配置管理类的接入类型。
- 如果密码使用的是可逆加密算法,则允许配置普通类或者管理类的接入类型,不允许配置普通类与管理类的混合类接入类型,并且当配置为管理类的接入类型时,加密算法自动转换成不可逆加密算法。
- (可选)执行命令local-user user-name privilege level level,配置本地用户的级别。
- (可选)执行命令local-user user-name idle-timeout minutes [ seconds ],配置指定用户的闲置切断时间。
设置用户连接的超时时间为0或者过长会导致终端一直处于登录状态,存在安全风险,建议用户执行命令lock锁定当前连接。
- (可选)执行命令local-user user-name ftp-directory directory,配置允许FTP用户访问的FTP目录。
缺省情况下,允许FTP用户访问的FTP目录为空。
若配置本地用户的接入类型为FTP方式,则必须配置本地用户的FTP目录,且本地用户的级别不能低于管理级,否则FTP用户无法登录。
- (可选)执行命令local-user user-name expire-date expire-date,配置本地账号的有效期。
缺省情况下,本地账号永久有效。
- (可选)执行命令local-user user-name time-range time-name,配置本地账号的接入时间段。
缺省情况下,未配置本地账号的接入时间段,即任意时间都允许接入。
- (可选)执行命令local-user user-name state { active | block },配置本地用户的状态。
缺省情况下,本地用户的状态为激活态。
设备对处于激活态和阻塞态用户的处理方式如下:
若用户状态为激活态,将接收该用户的认证请求并做进一步处理。
若用户状态为阻塞态,将拒绝该用户的认证请求。
- (可选)执行命令local-user user-name access-limit max-number,配置指定用户可建立的连接数目。
缺省情况下,不限制用户可建立的连接数目。
- (可选)执行命令local-aaa-user
wrong-password retry-interval retry-interval retry-time retry-time block-time block-time,使能本地帐号锁定功能并配置用户的重试时间间隔、连续认证失败的限制次数及帐号锁定时间。
缺省情况下,本地帐号锁定功能处于使能状态,用户的重试时间间隔为5分钟、连续输入错误密码的限制次数为3次,帐号锁定时间为5分钟。
- 执行命令return,返回用户视图。
- (可选)执行命令local-user change-password,修改本地用户的登录密码。
为充分保证设备安全,请用户定期修改密码。
(可选)配置业务方案
背景信息
接入用户需要获取授权信息才能上线,可以通过配置业务方案管理用户的授权信息。
在配置AAA的任务中,业务方案下只需要配置命令admin-user privilege level。其余命令在业务方案被其他特性(比如IPSec特性)调用时才需要配置。
设备切换为NAC传统模式时,业务方案下仅支持配置命令admin-user privilege level。
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令aaa,进入AAA视图。
- 执行命令service-scheme service-scheme-name,创建一个业务方案并进入业务方案视图。
缺省情况下,设备中没有创建业务方案。
- 执行命令admin-user privilege level level,配置用户可以作为管理员登录设备,同时指定登录时的管理员级别。
level参数的取值范围是0~15。缺省情况下,未配置用户级别。
- (可选)执行命令dns ip-address,配置DNS主用服务器地址。
缺省情况下,业务方案下没有配置DNS主用服务器。
- (可选)执行命令dns ip-address secondary,配置DNS备用服务器地址。
缺省情况下,业务方案下没有配置DNS备用服务器。
配置域
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令aaa,进入AAA视图。
- 执行命令domain domain-name,创建域并进入域视图或进入一个已存在的域视图。
缺省情况下,设备存在两个域:“default”和“default_admin”。“default”用于普通接入用户的域,“default_admin”用于管理员的域。
- 执行命令authentication-scheme authentication-scheme-name,配置域的认证方案。
缺省情况下,域使用配置名为default的认证方案。
- 执行命令authorization-scheme authorization-scheme-name,配置域的授权方案。
缺省情况下,域下没有绑定授权方案。
- (可选)执行命令user-group group-name,配置对域下的用户下发用户组授权。
缺省情况下,未配置对域下的用户下发用户组授权。
- (可选)执行命令service-scheme service-scheme-name,配置域的业务方案。
缺省情况下,域下没有配置任何业务方案。
- (可选)执行命令state { active | block [ time-range time-name &<1–4> ] },配置域的状态为阻塞状态。
当域处于阻塞状态时,属于该域的用户不能登录。缺省情况下,域创建后处于激活状态。
- 执行命令quit,退出域视图。
- (可选)执行命令domain-name-delimiter delimiter,配置域名分隔符。
域名分隔符可以是 \ / : < > | @ ' % 中的某一个。
缺省情况下,域名分隔符为@。
检查配置结果
操作步骤
- 执行命令display aaa configuration,查看AAA的概要信息。
- 执行命令display authentication-scheme [ authentication-scheme-name ],查看认证方案的配置信息。
- 执行命令display authorization-scheme [ authorization-scheme-name ],查看授权方案的配置信息。
- 执行命令display domain [ name domain-name ],查看域的配置信息。
- 执行命令display local-user [ domain domain-name | state { active | block } | username username ] *,查看本地用户的属性信息。
