所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S1720, S2700, S5700, S6720 V200R012(C00&C20) 配置指南-用户接入与认证

本文档介绍了用户接入与认证的配置,具体包括AAA配置、NAC配置和策略联动配置。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置采用HWTACACS协议进行认证、授权和计费示例

配置采用HWTACACS协议进行认证、授权和计费示例

组网需求

图1-32所示,用户要求:

  • Switch对接入用户先用HWTACACS服务器进行认证,如果认证没有响应,再使用本地认证。
  • Switch对接入用户先用HWTACACS服务器进行授权,如果授权没有响应,再使用本地授权。
  • Switch对接入用户采用HWTACACS计费。
  • 对用户进行实时计费,计费间隔为3分钟。
  • HWTACACS主用服务器为10.7.66.66/24,备用服务器为10.7.66.67/24,服务器的认证、授权和计费端口号均为49。
图1-32  采用HWTACACS协议对用户进行认证、计费和授权组网图

配置思路

采用如下的思路配置对用户使用本地和HWTACACS认证、HWTACACS授权和进行实时计费。

  1. 配置HWTACACS服务器模板。
  2. 配置认证方案、授权方案、计费方案。
  3. 在域下应用HWTACACS服务器模板、认证方案、授权方案、计费方案。
说明:
  • 配置前请确保各设备之间路由可达。
  • 请确保HWTACACS服务器模板内的共享密钥与HWTACACS服务器上的配置保持一致。

  • 如果HWTACACS服务器不接受包含域名的用户名,可以在HWTACACS服务器模板视图下,配置命令undo hwtacacs-server user-name domain-included使设备向HWTACACS服务器发送的报文中的用户名不包含域名。

  • 域被配置成全局默认域之后,用户的用户名中携带该域名或者不携带域名时,会使用全局默认域下的AAA配置信息。
  • 配置命令undo hwtacacs-server user-name domain-included后,设备仅会修改发送报文中的用户名格式,不会影响用户所属的域。例如,配置该命令后,用户名为“user@huawei.com”的用户仍使用huawei.com域下的AAA配置信息。

操作步骤

  1. 使能HWTACACS功能。

    <HUAWEI> system-view
    [HUAWEI] sysname Switch
    [Switch] hwtacacs enable
    

  2. 配置HWTACACS服务器模板。

    # 配置HWTACACS服务器模板ht。

    [Switch] hwtacacs-server template ht

    # 配置HWTACACS主用认证、授权、计费服务器的IP地址和端口。

    [Switch-hwtacacs-ht] hwtacacs-server authentication 10.7.66.66 49
    [Switch-hwtacacs-ht] hwtacacs-server authorization 10.7.66.66 49
    [Switch-hwtacacs-ht] hwtacacs-server accounting 10.7.66.66 49

    # 配置HWTACACS备用认证、授权、计费服务器的IP地址和端口。

    [Switch-hwtacacs-ht] hwtacacs-server authentication 10.7.66.67 49 secondary
    [Switch-hwtacacs-ht] hwtacacs-server authorization 10.7.66.67 49 secondary
    [Switch-hwtacacs-ht] hwtacacs-server accounting 10.7.66.67 49 secondary

    # 配置HWTACACS服务器密钥。

    [Switch-hwtacacs-ht] hwtacacs-server shared-key cipher Huawei@2012
    [Switch-hwtacacs-ht] quit

  3. 配置认证方案、授权方案、计费方案。

    # 配置认证方案l-h,认证模式为先进行HWTACACS认证,后进行本地认证。

    [Switch] aaa
    [Switch-aaa] authentication-scheme l-h
    [Switch-aaa-authen-l-h] authentication-mode hwtacacs local
    [Switch-aaa-authen-l-h] quit

    # 配置授权方案hwtacacs,授权模式为先进行HWTACACS授权,后进行本地授权。

    [Switch-aaa] authorization-scheme hwtacacs
    [Switch-aaa-author-hwtacacs] authorization-mode hwtacacs local
    [Switch-aaa-author-hwtacacs] quit

    # 配置计费方案hwtacacs,计费模式为HWTACACS,并配置当开始计费失败时,允许用户上线

    [Switch-aaa] accounting-scheme hwtacacs
    [Switch-aaa-accounting-hwtacacs] accounting-mode hwtacacs
    [Switch-aaa-accounting-hwtacacs] accounting start-fail online

    # 配置实时计费间隔为3分钟。

    [Switch-aaa-accounting-hwtacacs] accounting realtime 3
    [Switch-aaa-accounting-hwtacacs] quit

  4. 配置huawei域,在域下采用l-h认证方案、HWTACACS授权方案、HWTACACS计费方案、ht的HWTACACS模板。

    [Switch-aaa] domain huawei
    [Switch-aaa-domain-huawei] authentication-scheme l-h
    [Switch-aaa-domain-huawei] authorization-scheme hwtacacs
    [Switch-aaa-domain-huawei] accounting-scheme hwtacacs
    [Switch-aaa-domain-huawei] hwtacacs-server ht
    [Switch-aaa-domain-huawei] quit
    [Switch-aaa] quit
    

  5. 配置AAA本地认证。

    [Switch] aaa
    [Switch-aaa] local-user user1 password irreversible-cipher Huawei@123
    [Switch-aaa] local-user user1 service-type http
    [Switch-aaa] local-user user1 privilege level 15
    [Switch-aaa] quit
    

  6. 配置全局默认管理域。

    [Switch] domain huawei admin

  7. 验证配置结果。

    # 在Switch上执行命令display hwtacacs-server template,可以观察到该HWTACACS服务器模板的配置与要求一致。

    [Switch] display hwtacacs-server template ht
      ---------------------------------------------------------------------------   
      HWTACACS-server template name   : ht                                          
      Primary-authentication-server   : 10.7.66.66:49:-                            
      Primary-authorization-server    : 10.7.66.66:49:-                            
      Primary-accounting-server       : 10.7.66.66:49:-                            
      Secondary-authentication-server : 10.7.66.67:49:-                            
      Secondary-authorization-server  : 10.7.66.67:49:-                            
      Secondary-accounting-server     : 10.7.66.67:49:-                            
      Current-authentication-server   : 10.7.66.66:49:-                            
      Current-authorization-server    : 10.7.66.66:49:-                            
      Current-accounting-server       : 10.7.66.66:49:-                            
      Source-IP-address               : 0.0.0.0                                     
      Shared-key                      : **************** 
      Quiet-interval(min)             : 5                                           
      Response-timeout-Interval(sec)  : 5                                           
      Domain-included                 : Yes                                         
      Traffic-unit                    : B                                           
      ---------------------------------------------------------------------------   

    # 同时在Switch上执行命令display domain,可以观察到该域的配置与要求一致。

    [Switch] display domain name huawei
    
      Domain-name                     : huawei
      Domain-state                    : Active
      Authentication-scheme-name      : l-h
      Accounting-scheme-name          : hwtacacs
      Authorization-scheme-name       : hwtacacs
      Service-scheme-name             : -
      RADIUS-server-template          : default
      HWTACACS-server-template        : ht
      User-group                      : -
      Push-url-address                : -
    

配置文件

Switch的配置文件

#
sysname Switch
#
domain huawei admin
#
hwtacacs-server template ht
 hwtacacs-server authentication 10.7.66.66
 hwtacacs-server authentication 10.7.66.67 secondary
 hwtacacs-server authorization 10.7.66.66
 hwtacacs-server authorization 10.7.66.67 secondary
 hwtacacs-server accounting 10.7.66.66
 hwtacacs-server accounting 10.7.66.67 secondary
 hwtacacs-server shared-key cipher %^%#VznDEFI11##ZC>1@:=xUO^!OP~*<c1$FoD*zXPGJ%^%#
#
aaa
 authentication-scheme l-h
  authentication-mode hwtacacs local
 authorization-scheme hwtacacs
  authorization-mode hwtacacs local
 accounting-scheme hwtacacs
  accounting-mode hwtacacs
  accounting realtime 3
  accounting start-fail online 
 domain huawei
  authentication-scheme l-h
  accounting-scheme hwtacacs
  authorization-scheme hwtacacs
  hwtacacs-server ht
 local-user user1 password irreversible-cipher $1a$+:!j;\;$Z!$&%}p%ctzj"W`GM;APoC=XPLB=L-vJG3-'3Dhyci;$
 local-user user1 privilege level 15                                                       
 local-user user1 service-type http
#
return 
翻译
下载文档
更新时间:2018-12-24

文档编号:EDOC1100038441

浏览量:30912

下载量:1238

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页