所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S1720, S2700, S5700, S6720 V200R012(C00&C20) 配置指南-用户接入与认证

本文档介绍了用户接入与认证的配置,具体包括AAA配置、NAC配置和策略联动配置。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置用户通过Telnet登录设备的身份认证示例(RADIUS认证)

配置用户通过Telnet登录设备的身份认证示例(RADIUS认证)

组网需求

图1-30所示,网络中部署了RADIUS服务器,企业希望管理员使用RADIUS认证方式,通过Telnet登录设备来远程管理设备:

  1. 管理员输入正确的用户名和密码才能通过Telnet登录设备。
  2. 管理员通过Telnet登录设备后,可以执行命令级别为0~15的所有命令行。
图1-30  配置用户通过Telnet登录设备的身份认证组网图(RADIUS认证)

配置思路

采用如下思路配置用户通过Telnet登录设备的身份认证:

  1. 使能Telnet服务器功能。
  2. 配置VTY用户界面的用户验证方式为aaa。
  3. 配置RADIUS认证:创建RADIUS服务器模板、AAA认证方案和业务方案并在域下引用。
  4. 配置管理员所属域为全局默认管理域。
说明:
  • 配置前请确保各设备之间路由可达。
  • 请确保RADIUS服务器模板内的共享密钥和RADIUS服务器上的配置保持一致。

  • 如果RADIUS服务器不接受包含域名的用户名,可以在RADIUS服务器模板视图下,配置命令undo radius-server user-name domain-included使设备向RADIUS服务器发送的报文中的用户名不包含域名。

  • 域被配置成全局默认管理域之后,管理用户的用户名中携带该域名或者不携带域名时,会使用全局默认管理域下的AAA配置信息。
  • 配置命令undo radius-server user-name domain-included后,设备仅会修改发送报文中的用户名格式,不会影响用户所属的域。例如,配置该命令后,用户名为“user@huawei.com”的用户仍使用huawei.com域下的AAA配置信息。

操作步骤

  1. 使能Telnet服务器功能。

    <HUAWEI> system-view
    [HUAWEI] sysname Switch
    [Switch] telnet server enable
    

  2. 配置VTY用户界面的验证方式为aaa。

    [Switch] user-interface maximum-vty 15
    [Switch] user-interface vty 0 14
    [Switch-ui-vty0-14] authentication-mode aaa  
    [Switch-ui-vty0-14] protocol inbound telnet  
    [Switch-ui-vty0-14] quit
    

  3. 配置RADIUS认证。

    # 配置RADIUS服务器模板,实现与RADIUS服务器的通信。

    [Switch] radius-server template 1
    [Switch-radius-1] radius-server authentication 10.1.6.6 1812
    [Switch-radius-1] radius-server shared-key cipher Huawei@123
    [Switch-radius-1] quit
    

    # 配置AAA认证方案,指定认证方式为RADIUS。

    [Switch] aaa
    [Switch-aaa] authentication-scheme sch1
    [Switch-aaa-authen-sch1] authentication-mode radius
    [Switch-aaa-authen-sch1] quit
    

    # 配置用户级别为15。

    [Switch-aaa] service-scheme sch1
    [Switch-aaa-service-sch1] admin-user privilege level 15
    [Switch-aaa-service-sch1] quit
    

    # 在域下引用AAA认证方案、RADIUS服务器模板以及业务方案。

    [Switch-aaa] domain huawei.com
    [Switch-aaa-domain-huawei.com] authentication-scheme sch1
    [Switch-aaa-domain-huawei.com] radius-server 1
    [Switch-aaa-domain-huawei.com] service-scheme sch1
    [Switch-aaa-domain-huawei.com] quit
    [Switch-aaa] quit
    

  4. 配置管理员所属域为全局默认管理域,这样管理员通过Telnet登录设备时就不需要输入域名。

    [Switch] domain huawei.com admin
    

  5. 验证配置结果。

    # 在设备上执行命令test-aaa,测试该管理员用户能否通过认证。

    [Switch] test-aaa user1 Huawei@1234 radius-template 1

    # 管理员在PC上单击“运行”->输入“cmd”,进入Windows的命令行提示符界面,执行telnet命令,并输入用户名user1和密码Huawei@1234,通过Telnet方式登录设备。

    C:\Documents and Settings\Administrator> telnet 10.1.2.10
    Username:user1
    Password:***********

配置文件

Switch的配置文件

#
sysname Switch
#
domain huawei.com admin 
#
telnet server enable
#
radius-server template 1                                                        
 radius-server shared-key cipher %^%#Q75cNQ6IF(e#L4WMxP~%^7'u17,]D87GO{"[o]`D%^%#
 radius-server authentication 10.1.6.6 1812 weight 80                           
#
aaa
 authentication-scheme sch1    
  authentication-mode radius  
 service-scheme sch1             
  admin-user privilege level 15
 domain huawei.com            
  authentication-scheme sch1     
  service-scheme sch1 
  radius-server 1      
# 
user-interface maximum-vty 15  
user-interface vty 0 14          
 authentication-mode aaa  
 protocol inbound telnet          
#
return 

相关资料

AAA属性查询工具

使用AAA属性查询工具可以查询交换机AAA属性的详细信息。使用AAA属性查询工具不需要注册华为帐号。

AAA属性查询工具

翻译
下载文档
更新时间:2018-12-24

文档编号:EDOC1100038441

浏览量:30577

下载量:1235

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页