华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
部署TACACS对命令行进行授权
由于路由器的配置模型和业务极其复杂,导致路由器的命令行规模庞大。为了简化路由器的管理维护,路由器通常使用基于角色的权限管理,而不是基于身份的权限管理。因此,在分配一个管理员权限时,通常会将这一等级的全部命令行开放给该管理员。
在实际的网络运维过程中,此管理员并不需要其对应等级权限的全部命令行权限,因此,需要部署TACACS系统,来限制该管理员可以使用的命令行集合。
在路由器上配置TACACS命令行授权,在TACACS服务器上进行命令行授权,完成该配置样例输出。
配置采用HWTACACS协议对用户进行按命令行授权示例
组网需求
如图7-1所示。用户通过设备访问网络,用户处于huawei域,级别是3,该用户不需要执行3级全部命令,为了实现精细化管理,保证设备的安全性,需要通过HWTACACS实现对用户按命令行授权。
HWTACACS服务器IP地址为192.168.66.66/24,认证端口号为49,授权端口号为49。
配置思路
采用如下的思路配置用HWTACACS协议对用户进行命令行授权。
- 配置HWTACACS服务器模板。
- 配置认证方案、授权方案,对用户按命令行进行授权。
- 在域上引用HWTACACS服务器模板、认证方案、授权方案。
数据准备
为完成此配置举例,需准备以下数据:
- HWTACACS主(备)认证服务器的IP地址。
- HWTACACS主(备)授权服务器的IP地址。
操作步骤
配置HWTACACS服务器模板
# 配置HWTACACS服务器模板ht。
<HUAWEI> system-view [~HUAWEI] hwtacacs-server template ht [*HUAWEI] commit
# 配置HWTACACS认证、授权服务器IP地址和端口。
[~HUAWEI-hwtacacs-ht] hwtacacs-server authentication 192.168.66.66 49 [*HUAWEI-hwtacacs-ht] hwtacacs-server authorization 192.168.66.66 49
# 配置HWTACACS服务器密钥。
[*HUAWEI-hwtacacs-ht] hwtacacs-server shared-key cipher it-is-my-secret [*HUAWEI-hwtacacs-ht] commit [~HUAWEI-hwtacacs-ht] quit
- 配置认证方案、授权方案,对用户按命令行进行授权
# 进入AAA视图。
[~HUAWEI] aaa
# 配置认证方案l-h,认证方法为HWTACACS认证。
[*HUAWEI–aaa] authentication-scheme l-h [*HUAWEI-aaa-authen-l-h] authentication-mode hwtacacs [*HUAWEI-aaa-authen-l-h] commit [~HUAWEI-aaa-authen-l-h] quit
# 配置授权方案hwtacacs,授权方法为HWTACACS,对级别为3的用户实现按命令行授权。
[~HUAWEI–aaa] authorization-scheme hwtacacs [*HUAWEI–aaa-author-hwtacacs] authorization-mode hwtacacs [*HUAWEI–aaa-author-hwtacacs] authorization-cmd 3 hwtacacs [*HUAWEI–aaa-author-hwtacacs] commit [~HUAWEI–aaa-author-hwtacacs] quit
- 配置huawei域,在域下采用l-h认证方案、HWTACACS授权方案、ht的HWTACACS模板
[~HUAWEI-aaa] domain huawei [*HUAWEI-aaa-domain-huawei] authentication-scheme l-h [*HUAWEI-aaa-domain-huawei] authorization-scheme hwtacacs [*HUAWEI-aaa-domain-huawei] hwtacacs-server ht [*HUAWEI-aaa-domain-huawei] commit [~HUAWEI-aaa-domain-huawei] quit [~HUAWEI-aaa] quit
- 检查配置结果
在Device上执行display authorization-scheme hwtacacs命令后,可以看到对级别为3的用户按命令行进行授权。
<HUAWEI> display authorization-scheme hwtacacs --------------------------------------------------------------------------- Authorization-scheme-name : hwtacacs Authorization-method : HWTACACS authorization Authorization-cmd usergroup : Local Authorization-cmd level 0 : Local Authorization-cmd level 1 : Local Authorization-cmd level 2 : Local Authorization-cmd level 3 : HWTACACS Authorization-cmd level 4 : Local Authorization-cmd level 5 : Local Authorization-cmd level 6 : Local Authorization-cmd level 7 : Local Authorization-cmd level 8 : Local Authorization-cmd level 9 : Local Authorization-cmd level 10 : Local Authorization-cmd level 11 : Local Authorization-cmd level 12 : Local Authorization-cmd level 13 : Local Authorization-cmd level 14 : Local Authorization-cmd level 15 : Local
配置文件
# Sysname HUAWEI # hwtacacs-server template ht hwtacacs-server authentication 192.168.66.66 hwtacacs-server authorization 192.168.66.66 hwtacacs-server shared-key cipher %^%#XMNsMz!>uA.icY~2{Y\VkFp27X<QS/dQ<lI.mvDI%^%# # aaa local-user client001 password irreversible-cipher $1a$
