所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S1720, S2700, S5700, S6720 V200R012(C00&C20) 配置指南-用户接入与认证

本文档介绍了用户接入与认证的配置,具体包括AAA配置、NAC配置和策略联动配置。

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置HWTACACS服务器模板

配置HWTACACS服务器模板

背景信息

配置HWTACACS服务器模板中的关键步骤是指定服务器的IP地址和端口号、HWTACACS共享密钥。其他的步骤如配置HWTACACS用户名格式、流量单位等都有缺省配置,用户可以根据实际需要进行修改。

HWTACACS服务器模板下配置的HWTACACS用户名格式、HWTACACS共享密钥等要与HWTACACS服务器上的配置一致。

说明:

S1720GF、S1720GFR-P、S1720GW-E、S1720GWR-E、S1720X-E、S2720EI、S5720LI、S5720S-LI、S5720SI、S5720S-SI、S5720I-SI、S5730SI、S5730S-EI、S5720EI、S5720HI、S5730HI、S6720HI、S6720LI、S6720S-LI、S6720SI、S6720S-SI、S6720EI和S6720S-EI支持vpn-instance vpn-instance-name

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令hwtacacs enable,使能HWTACACS功能。

    缺省情况下,HWTACACS功能处于使能状态。

  3. 执行命令hwtacacs-server template template-name,创建HWTACACS服务器模板,并进入HWTACACS服务器模板视图。

    缺省情况下,设备上没有HWTACACS服务器模板。

  4. 配置HWTACACS认证、授权、计费服务器:

    配置

    命令

    说明

    配置HWTACACS认证服务器

    hwtacacs-server authentication ip-address [ port ] [ public-net | vpn-instance vpn-instance-name ] [ secondary ]

    缺省情况下,未配置HWTACACS认证服务器。

    配置HWTACACS授权服务器

    hwtacacs-server authorization ip-address [ port ] [ public-net | vpn-instance vpn-instance-name ] [ secondary ]

    缺省情况下,未配置HWTACACS授权服务器。

    配置HWTACACS计费服务器

    hwtacacs-server accounting ip-address [ port ] [ public-net | vpn-instance vpn-instance-name ] [ secondary ]

    缺省情况下,未配置HWTACACS计费服务器。

  5. 配置与HWTACACS服务器对接选项:

    步骤

    命令

    说明

    配置HWTACACS服务器的共享密钥

    hwtacacs-server shared-key [ cipher ] key-string

    缺省情况下,没有配置HWTACACS服务器的共享密钥。

    (可选)配置设备向HWTACACS服务器发送的报文中用户名的格式

    • 用户名包含域名:hwtacacs-server user-name domain-included
    • 用户名不包含域名:undo hwtacacs-server user-name domain-included

    缺省情况下,设备向HWTACACS服务器发送的报文中的用户名包含域名,即设备会把用户名和域名及域名分隔符一起发送给HWTACACS服务器进行认证。

    (可选)配置HWTACACS流量单位

    hwtacacs-server traffic-unit { byte | kbyte | mbyte | gbyte }

    缺省情况下,设备使用字节(byte)作为HWTACACS流量单位。

    (可选)配置设备与HWTACACS服务器通信的源IP地址。

    hwtacacs-server source-ip ip-address

    缺省情况下,未配置HWTACACS报文的源IP地址,此时设备使用实际出方向的接口的IP地址作为HWTACACS报文的源IP地址。

  6. (可选)配置HWTACACS服务器应答超时时间和激活时间:

    步骤

    命令

    说明

    配置HWTACACS服务器应答超时时间

    hwtacacs-server timer response-timeout interval

    缺省情况下,HWTACACS应答超时时间为5秒。

    如果设备在应答超时时间内,没有收到HWTACACS服务器的回复,则认为服务器不可用。此时设备将尝试使用其他方式进行认证、授权。

    配置HWTACACS主服务器恢复激活时间

    hwtacacs-server timer quiet interval

    缺省情况下,主用服务器恢复激活状态前需要等待5分钟。

  7. 执行命令quit,返回系统视图。
  8. (可选)执行命令hwtacacs-server accounting-stop-packet resend { disable | enable number },配置计费结束报文的重传功能。

    缺省情况下,设备启用计费结束报文的重传功能,报文的重传次数为100。

  9. 执行命令return,返回用户视图。
  10. (可选)执行命令hwtacacs-user change-password hwtacacs-server template-name,修改用户在HWTACACS服务器上保存的用户密码。

    说明:

    为充分保证设备安全,请用户定期修改密码。

翻译
下载文档
更新时间:2018-12-24

文档编号:EDOC1100038441

浏览量:33189

下载量:1270

平均得分:
本文档适用于这些产品

相关版本

相关文档

Share
上一页 下一页