华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置AAA方案
配置AAA方案
背景信息
如果需要采用HWTACACS方式进行认证、授权和计费,需要在认证方案中配置认证模式为HWTACACS认证,在授权方案中配置授权模式为HWTACACS授权,在计费方案中配置计费模式为HWTACACS计费。
配置认证模式为HWTACACS认证时还可以配置本地认证为备份认证模式。配置备份认证可以避免单一认证模式无响应而造成的认证失败。同理,配置授权模式为HWTACACS授权时还可以配置本地授权或不授权为备份授权模式。
![]()
缺省情况下,default和default_admin域内绑定了相同的认证方案default、授权方案default和计费方案default,如果用户想要修改default方案,可能会造成某一域内的用户认证、授权或计费失败,请谨慎操作。
操作步骤
- 配置认证方案
- 执行命令system-view,进入系统视图。
- 执行命令aaa,进入AAA视图。
- 执行命令authentication-scheme authentication-scheme-name,创建一个认证方案,并进入认证方案视图或直接进入一个已存在的认证方案视图。
缺省情况下,设备中有一个认证方案,认证方案名称是default,不能删除,只能修改。
- 执行命令authentication-mode hwtacacs,配置认证模式为HWTACACS认证。
缺省情况下,认证模式为本地认证。
如果需要配置本地认证方式为备份认证方式,请执行命令authentication-mode hwtacacs local。
![]()
如果在一个认证方案中使用多种认证模式,则认证模式的执行顺序为配置的先后顺序。只有在当前认证模式没有响应的情况下,才会采用下一种认证模式;如果在当前认证模式认证失败,则不会跳转到下一个认证模式进行认证。
- 执行命令commit,提交配置。
- 配置授权方案
- 执行命令system-view,进入系统视图。
- 执行命令aaa,进入AAA视图。
- 执行命令authorization-scheme authorization-scheme-name,创建一个授权方案,并进入授权方案视图或直接进入一个已存在的授权方案视图。
缺省情况下,设备有一个授权方案,授权方案配置名是default,不能删除,只能修改。
- 执行命令authorization-mode { hwtacacs | if-authenticated | local } * [ none ],配置授权模式。
缺省情况下,授权模式为本地授权模式。
如果采用HWTACACS授权模式,必须配置HWTACACS服务器模板,然后在用户所属域的视图下应用该服务器模板。
![]()
如果在一个授权方案中使用多种授权模式,则授权模式的执行顺序为配置的先后顺序。只有在当前授权模式没有响应的情况下,才会采用下一种授权模式;如果当前授权模式失败,则不会采用下一种授权模式进行授权。
- (可选)执行命令authorization-cmd [ privilege-level ] { local | hwtacacs } *,配置某级别的用户按命令行授权。
缺省情况下,0~15级用户都没有配置按命令行授权。
如需使能按命令行授权功能,必须配置HWTACACS服务器模板,然后在用户所属域的视图下应用该服务器模板。
- 执行命令quit,返回AAA视图。
- (可选)执行命令task-group task-group-name,创建任务组并进入任务组视图。
缺省情况下,系统未创建任务组。
- (可选)执行命令task task-name { debug | execute | read | write } *,将指定任务添加到当前任务组中。
缺省情况下,任务组中未配置任务。
- (可选)执行命令include task-group task-group-name,将指定任务组的权限加入到当前任务组中。
缺省情况下,任务组中没有添加对其他任务组的权限包含关系。
如果当前任务组的权限需要完全包含另一任务组的权限,或者当前任务组需要继承已有任务组的权限时,可在任务组中配置包含关系,将指定任务组的权限加入到当前任务组中。
当前任务组的权限依赖于被包含任务组的权限,当修改被包含任务组的权限信息后,当前任务组的权限也会随之修改。
- (可选)执行命令rule command rule-name permit view view-name expression command-string,在当前任务组创建一条权限规则,配置对命令行的执行权限。
缺省情况下,任务组下没有配置命令行权限规则。
该命令比task命令更精细化,可以在任务组中对一条或一批前缀相同的命令行进行授权,或者禁止一条或一批前缀相同的命令行的执行。
同一个任务组中,该命令的优先级高于本任务组中的task命令,当rule command命令的配置与task命令的权限配置相冲突时,以rule command命令的配置为准。
- (可选)执行命令quit,返回AAA视图。
- (可选)执行命令user-group user-group-name,创建用户组并进入用户组视图。
缺省情况下,系统未创建用户组。
- (可选)执行命令task-group task-group-name,将指定的任务组加入到当前用户组所关联的任务组列表中。
缺省情况下,用户组未关联任何任务组。
- (可选)执行命令include user-group user-group-name,将指定用户组的权限加入到当前用户组中。
缺省情况下,用户组中没有添加对其他用户组的权限包含关系。
如果当前用户组的权限需要完全包含另一用户组的权限,或者当前用户组需要继承已有用户组的权限时,可在用户组中配置包含关系,将指定用户组的权限加入到当前用户组中。
当前用户组的权限依赖于被包含用户组的权限,当修改被包含用户组的权限信息后,当前用户组的权限也会随之修改。
- (可选)执行命令rule command rule-name { permit | deny } view view-name expression command-string,在当前用户组创建一条权限规则,配置对命令行的执行权限。
缺省情况下,用户组下没有配置命令行权限规则。
当进行task鉴权时,用户组下的权限规则(rule command(用户组视图)命令)、任务组下的权限规则(rule command(任务组视图)命令)和任务组下的task任务(task命令)的匹配顺序如下:优先匹配用户组下的权限规则(包括自身配置的和通过include user-group命令继承的权限规则),然后匹配任务组下的权限规则,最后匹配任务组下的task任务。
如果用户组的权限配置与该用户组通过include user-group命令继承的其他用户组的权限规则相冲突,则以本用户组的配置为准。
- 执行命令commit,提交配置。
- 配置计费方案
- 执行命令system-view,进入系统视图。
- 执行命令aaa,进入AAA视图。
- 执行命令accounting-scheme accounting-scheme-name,创建一个计费方案,并进入计费方案视图或直接进入一个已存在的计费方案视图。
缺省情况下,设备中有一个计费方案,计费方案配置名是default,不能删除,只能修改。
- 执行命令accounting-mode hwtacacs,配置计费模式。
缺省情况下,计费模式采用不计费模式none。
- 执行命令commit,提交配置。
