所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

NE40E V800R010C00 配置指南 - 安全加固 01

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
部署TACACS对命令行进行授权

部署TACACS对命令行进行授权

由于路由器的配置模型和业务极其复杂,导致路由器的命令行规模庞大。为了简化路由器的管理维护,路由器通常使用基于角色的权限管理,而不是基于身份的权限管理。因此,在分配一个管理员权限时,通常会将这一等级的全部命令行开放给该管理员。

在实际的网络运维过程中,此管理员并不需要其对应等级权限的全部命令行权限,因此,需要部署TACACS系统,来限制该管理员可以使用的命令行集合。

路由器上配置TACACS命令行授权,在TACACS服务器上进行命令行授权,完成该配置样例输出。

配置采用HWTACACS协议对用户进行按命令行授权示例

组网需求

图7-1所示。用户通过设备访问网络,用户处于huawei域,级别是3,该用户不需要执行3级全部命令,为了实现精细化管理,保证设备的安全性,需要通过HWTACACS实现对用户按命令行授权。

HWTACACS服务器IP地址为192.168.66.66/24,认证端口号为49,授权端口号为49。

图7-1  基于TACACS系统的命令行授权

配置思路

采用如下的思路配置用HWTACACS协议对用户进行命令行授权。

  1. 配置HWTACACS服务器模板。
  2. 配置认证方案、授权方案,对用户按命令行进行授权。
  3. 在域上引用HWTACACS服务器模板、认证方案、授权方案。
数据准备

为完成此配置举例,需准备以下数据:

  • HWTACACS主(备)认证服务器的IP地址。
  • HWTACACS主(备)授权服务器的IP地址。
操作步骤
  1. 配置HWTACACS服务器模板

    # 配置HWTACACS服务器模板ht。

    <HUAWEI> system-view
    [~HUAWEI] hwtacacs-server template ht
    [*HUAWEI] commit
    

    # 配置HWTACACS认证、授权服务器IP地址和端口。

    [~HUAWEI-hwtacacs-ht] hwtacacs-server authentication 192.168.66.66 49
    [*HUAWEI-hwtacacs-ht] hwtacacs-server authorization 192.168.66.66 49
    

    # 配置HWTACACS服务器密钥。

    [*HUAWEI-hwtacacs-ht] hwtacacs-server shared-key cipher it-is-my-secret
    [*HUAWEI-hwtacacs-ht] commit
    [~HUAWEI-hwtacacs-ht] quit
    
  2. 配置认证方案、授权方案,对用户按命令行进行授权

    # 进入AAA视图。

    [~HUAWEI] aaa

    # 配置认证方案l-h,认证方法为HWTACACS认证。

    [*HUAWEI–aaa] authentication-scheme l-h
    [*HUAWEI-aaa-authen-l-h] authentication-mode hwtacacs
    [*HUAWEI-aaa-authen-l-h] commit
    [~HUAWEI-aaa-authen-l-h] quit
    

    # 配置授权方案hwtacacs,授权方法为HWTACACS,对级别为3的用户实现按命令行授权。

    [~HUAWEI–aaa] authorization-scheme hwtacacs
    [*HUAWEI–aaa-author-hwtacacs] authorization-mode hwtacacs
    [*HUAWEI–aaa-author-hwtacacs] authorization-cmd 3 hwtacacs
    [*HUAWEI–aaa-author-hwtacacs] commit
    [~HUAWEI–aaa-author-hwtacacs] quit
    
  3. 配置huawei域,在域下采用l-h认证方案、HWTACACS授权方案、ht的HWTACACS模板
    [~HUAWEI-aaa] domain huawei
    [*HUAWEI-aaa-domain-huawei] authentication-scheme l-h
    [*HUAWEI-aaa-domain-huawei] authorization-scheme hwtacacs
    [*HUAWEI-aaa-domain-huawei] hwtacacs-server ht
    [*HUAWEI-aaa-domain-huawei] commit
    [~HUAWEI-aaa-domain-huawei] quit
    [~HUAWEI-aaa] quit
    
  4. 检查配置结果

    Device上执行display authorization-scheme hwtacacs命令后,可以看到对级别为3的用户按命令行进行授权。

    <HUAWEI> display authorization-scheme hwtacacs
    ---------------------------------------------------------------------------
    Authorization-scheme-name    : hwtacacs
    Authorization-method         : HWTACACS authorization
    Authorization-cmd usergroup  : Local
    Authorization-cmd level 0    : Local
    Authorization-cmd level 1    : Local
    Authorization-cmd level 2    : Local
    Authorization-cmd level 3    : HWTACACS
    Authorization-cmd level 4    : Local
    Authorization-cmd level 5    : Local
    Authorization-cmd level 6    : Local
    Authorization-cmd level 7    : Local
    Authorization-cmd level 8    : Local
    Authorization-cmd level 9    : Local
    Authorization-cmd level 10   : Local
    Authorization-cmd level 11   : Local
    Authorization-cmd level 12   : Local
    Authorization-cmd level 13   : Local
    Authorization-cmd level 14   : Local
    Authorization-cmd level 15   : Local
配置文件
#
Sysname HUAWEI
#
hwtacacs-server template ht
 hwtacacs-server authentication 192.168.66.66
 hwtacacs-server authorization 192.168.66.66
 hwtacacs-server shared-key cipher %^%#XMNsMz!>uA.icY~2{Y\VkFp27X<QS/dQ<lI.mvDI%^%#
#
aaa
 local-user client001 password irreversible-cipher $1a$![l=a#\%@V=uB8E9kwCz1<Wo~K!IJf/,7p`&^Sh7<SK>oK.c8p4Ah<d<_'4y$
 local-user huawei service-type ftp
 local-user huawei ftp-directory cfcard:
 authentication-scheme default0
 authentication-scheme default1
 authentication-scheme default
 authentication-mode local radius
 authentication-scheme l-h
  authentication-mode hwtacacs
 #
 authorization-scheme default
 authorization-scheme hwtacacs
  authorization-mode hwtacacs
  authorization-cmd 3 hwtacacs
 #
 accounting-scheme default0
 accounting-scheme default1
 accounting-scheme default        
#
domain default
 domain huawei
  authentication-scheme l-h
  authorization-scheme hwtacacs
  hwtacacs-server ht   
#
return
下载文档
更新时间:2018-07-12

文档编号:EDOC1100028554

浏览量:4023

下载量:121

平均得分:
本文档适用于这些产品
相关文档
相关版本
分享
上一页 下一页