配置HWTACACS服务器模板
背景信息
配置HWTACACS服务器模板中的关键步骤是指定服务器的IP地址和端口号、HWTACACS共享密钥。其他的步骤如配置HWTACACS用户名格式、流量单位等都有缺省配置,用户可以根据实际需要进行修改。
HWTACACS服务器模板下配置的HWTACACS用户名格式、HWTACACS共享密钥等要与HWTACACS服务器上的配置一致。
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令hwtacacs enable,使能HWTACACS功能。
缺省情况下,HWTACACS功能处于使能状态。
- 执行命令hwtacacs-server template template-name,创建HWTACACS服务器模板,并进入HWTACACS服务器模板视图。
缺省情况下,设备上没有HWTACACS服务器模板。
- 配置HWTACACS认证、授权、计费服务器:
同一个HWTACACS服务器模板内,IPv4和IPv6服务器支持同时配置。同时配置时,设备选择服务器的顺序为:主IPv4服务器 -> 主IPv6服务器 -> 第二备用IPv4服务器 -> 第二备用IPv6服务器 -> 第三备用IPv4服务器 -> 第三备用IPv6服务器 -> 第四备用IPv4服务器 -> 第四备用IPv6服务器。
配置
命令
说明
配置HWTACACS认证服务器
hwtacacs-server authentication { ipv4-address | ipv6-address } [ port ] [ public-net | vpn-instance vpn-instance-name ] [ secondary | third | fourth ]
缺省情况下,未配置HWTACACS认证服务器。
配置HWTACACS授权服务器
hwtacacs-server authorization { ipv4-address | ipv6-address } [ port ] [ public-net | vpn-instance vpn-instance-name ] [ secondary | third | fourth ]
缺省情况下,未配置HWTACACS授权服务器。
配置HWTACACS计费服务器
hwtacacs-server accounting { ipv4-address | ipv6-address } [ port ] [ public-net | vpn-instance vpn-instance-name ] [ secondary | third | fourth ]
缺省情况下,未配置HWTACACS计费服务器。
- 配置与HWTACACS服务器对接选项:
步骤
命令
说明
配置HWTACACS服务器的共享密钥
hwtacacs-server shared-key cipher key-string
缺省情况下,没有配置HWTACACS服务器的共享密钥。
(可选)配置设备向HWTACACS服务器发送的报文中用户名的格式
- 用户名包含域名:hwtacacs-server user-name domain-included
- 原始用户名:hwtacacs-server user-name original
- 用户名不包含域名:undo hwtacacs-server user-name domain-included
缺省情况下,设备向HWTACACS服务器发送的报文中的用户名为用户原始输入的用户名,设备不对其进行修改。
(可选)配置HWTACACS流量单位
hwtacacs-server traffic-unit { byte | kbyte | mbyte | gbyte }
缺省情况下,设备使用字节(byte)作为HWTACACS流量单位。
(可选)配置设备与HWTACACS服务器通信的源IP地址
hwtacacs-server source-ip { ip-address | source-loopback interface- number | source-vlanif interface- number }
或者hwtacacs-server source-ipv6 { ipv6-address | source-loopback interface-number | ipv6 source-vlanif interface- number }
缺省情况下,设备使用实际出方向的接口的IP地址作为HWTACACS报文的源IP地址。
- (可选)配置HWTACACS服务器应答超时时间和激活时间:
步骤
命令
说明
配置HWTACACS服务器应答超时时间
hwtacacs-server timer response-timeout interval
缺省情况下,HWTACACS应答超时时间为5秒。
如果设备在应答超时时间内,没有收到HWTACACS服务器的回复,则认为服务器不可用。此时设备将尝试使用其他方式进行认证、授权。
配置HWTACACS主服务器恢复激活时间
hwtacacs-server timer quiet interval
缺省情况下,主用服务器恢复激活状态前需要等待5分钟。
- (可选)执行命令hwtacacs-server authentication user-name in-authentication-start,配置管理员用户的认证开始报文中携带用户名。
缺省情况下,管理员用户的认证开始报文中不携带用户名。
该功能仅对管理员用户生效。
- 执行命令quit,返回系统视图。
- (可选)执行命令hwtacacs-server accounting-stop-packet resend { disable | enable number },配置计费结束报文的重传功能。
缺省情况下,设备启用计费结束报文的重传功能,报文的重传次数为100。
- 执行命令return,返回用户视图。
- (可选)执行命令hwtacacs-user change-password hwtacacs-server template-name,修改用户在HWTACACS服务器上保存的用户密码。
为充分保证设备安全,请用户定期修改密码。
