所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

配置RADIUS和HWTACACS

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置RADIUS和HWTACACS

配置RADIUS和HWTACACS

简介

华为园区交换机支持基于RADIUS协议和HWTACACS协议的认证、授权和计费功能。本文介绍配置这些功能的基本步骤。

前提条件

本文以华为S5700系列交换机为例,介绍基于RADIUS协议和HWTACACS协议的AAA的配置方法。不同产品及版本可能存在差异。请参阅实际产品配套版本的产品文档。

配置RADIUS认证、授权和计费

以下为配置RADIUS认证、授权和计费的基本步骤。其中,RADIUS计费不是必须的,只有用户有计费需求或者需要计费报文做用户信息统计时才需要配置。

  1. 配置AAA方案。

    在认证方案中配置认证模式为RADIUS认证,在计费方案中配置计费模式为RADIUS计费。

    RADIUS认证与授权结合,不能分离,认证成功授权也成功,所以不需要配置授权方案。

    说明:
    • 建议配置本地认证为备份认证模式,来确保在RADIUS服务器故障的情况下,用户可以认证上线。此时,需要在设备上配置本地用户,见3
    • 交换机不支持本地计费功能,当认证方案中包含本地认证时,开始计费失败策略需要配置为“开始计费失败,允许用户上线”。
    #
    aaa
     authentication-scheme rad1
      authentication-mode radius local  
     accounting-scheme rad1 
      accounting-mode radius
      accounting start-fail online 
    #          

  2. 配置RADIUS服务器模板。

    在服务器模板下,指定与交换机对接的RADIUS服务器的IP地址、端口号和共享密钥,交换机上的配置信息需要与RADIUS服务器上的信息保持一致。

    # 
    radius-server template t1 
     radius-server shared-key cipher %^%#wPPdHk[4q=4%I@XG|VE-:vg+I'-QC6-LlAE~Q&k;%^%#
     radius-server authentication 10.1.1.1 1812 weight 80
     radius-server accounting 10.1.1.1 1813 weight 80
    # 

  3. 配置本地用户。(当配置本地认证为备份认证模式时,需要配置此步骤。)

    配置本地用户包括配置本地用户名、密码、用户级别和接入类型。

    本地用户密码在配置文件中显示为密文形式。本地用户级别默认为0级,可配置级别为0~15级。

    缺省情况下,系统中存在一个名称为“admin”的本地用户,该用户的密码为“admin@huawei.com”,用户级别为15级,服务类型为http和terminal。
    #
    local-user user1 password irreversible-cipher $1a$~p]oP2VS:9$[._-/`)oN$5*l\2~IqR=g}g0%kay+H~vlLF/g<^A$ 
    local-user user1 privilege level 15
    local-user user1 service-type telnet 
    #

  4. 配置域。

    配置用户所属的域并在域下绑定AAA方案和RADIUS服务器模板。

    #
    domain huawei 
     authentication-scheme rad1
     accounting-scheme rad1
     radius-server t1
    # 

配置HWTACACS认证、授权和计费

HWTACACS兼容Cisco的TACACS+协议,华为交换机作为HWTACACS客户端可以和TACACS+服务器对接实现AAA功能。如设备使用HWTACACS协议时支持与思科服务器(如ACS)对接,但HWTACACS与思科的私有属性不一定能够兼容,原因是不同厂商在私有属性的字段定义和解释上存在区别。

以下为配置HWTACACS认证、授权和计费的基本步骤。其中,HWTACACS计费不是必须的,只有用户有计费需求或者需要计费报文做用户信息统计时才需要配置。

  1. 配置AAA方案。

    在认证方案、授权方案和计费方案中配置认证模式、授权模式和计费模式都为HWTACACS。

    HWTACACS认证、授权和计费相互独立,可以分别在不同的服务器上配置,但一般使用相同的服务器。

    说明:
    • 建议配置本地认证和本地授权为备份的认证模式和授权模式,已确保在HWTACACS服务器故障的情况下,用户可以认证上线。此时,需要在设备上配置本地用户,见3
    • 交换机不支持本地计费功能,当认证方案中包含本地认证时,开始计费失败策略需要配置为“开始计费失败,允许用户上线”。
    #
    aaa
     authentication-scheme tac1
      authentication-mode hwtacacs local  
     authorization-scheme tac1 
      authorization-mode hwtacacs local
     accounting-scheme tac1 
      accounting-mode hwtacacs
      accounting start-fail online 
    #  

  2. 配置HWTACACS服务器模板。

    在服务器模板下,指定与交换机对接的HWTACACS服务器的IP地址、端口号(默认为49)和共享密钥,交换机上的配置信息需要与HWTACACS服务器上的信息保持一致。

    #
    hwtacacs-server template t1 
     hwtacacs-server authentication 10.1.1.2 
     hwtacacs-server authorization 10.1.1.2 
     hwtacacs-server accounting 10.1.1.2 
     hwtacacs-server shared-key cipher %^%#!~;V,L$O!#P7jD#k]wgL)ChiX74XR-)jn.:m={!<%^%#
    # 

  3. 配置本地用户。当配置本地认证为备份认证模式时,需要配置此步骤。

    配置本地用户包括配置本地用户名、密码、用户级别和接入类型。

    本地用户密码在配置文件中显示为密文形式。本地用户级别默认为0级,可配置级别为0~15级。

    缺省情况下,系统中存在一个名称为“admin”的本地用户,该用户的密码为“admin@huawei.com”,用户级别为15级,服务类型为http和terminal。
    #
    local-user user1 password irreversible-cipher $1a$~p]oP2VS:9$[._-/`)oN$5*l\2~IqR=g}g0%kay+H~vlLF/g<^A$ 
    local-user user1 privilege level 15
    local-user user1 service-type telnet 
    #

  4. 配置命令行授权。

    HWTACACS支持为管理员用户提供命令行授权功能。通常,某级别的管理员用户可以执行该级别及以下的级别的命令行。为某级别的管理员配置命令行授权功能后,该级别的管理员用户执行的每一条命令都需要经过HWTACACS服务器授权。
    说明:

    命令行授权功能被应用后,执行undo authorization-cmd命令,将导致该管理员无法执行除quit外的任何命令。此时管理员需要重新登录。

    # 
     authorization-scheme tac1 
      authorization-mode hwtacacs local
      authorization-cmd 15 hwtacacs local
    # 

  5. 配置域。

    配置用户所属的域并在域下绑定AAA方案和HWTACACS服务器模板。

    #
    domain huawei 
     authentication-scheme tac1
     authorization-scheme tac1 
     accounting-scheme tac1
     radius-server t1
    # 

翻译
下载文档
更新时间:2019-07-23

文档编号:EDOC1100095732

浏览量:1126

下载量:137

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页