【Servicio de postventa Mr. Gateway】 Ejemplo para configurar la autorización de la línea de comandos.

Pubilicado 2019-1-22 12:40:12 53 0 0 0

Este ejemplo se aplica a todos los modelos AR de todas las versiones.

 

Requisitos de red

 

Como se muestra en la Figura 1, un usuario accede a la red a través del router. El usuario pertenece al dominio huawei.com y el nivel de usuario es 3. El usuario no necesita usar algunos comandos de nivel 3. Para implementar una administración refinada y garantizar la seguridad del dispositivo, configure el router para que realice la autorización de línea de comandos para el usuario a través de HWTACACS y registre los comandos ejecutados por el usuario. 

 

La dirección IP del servidor HWTACACS es 10.1.6.6/24, el número de puerto de autenticación es 49 y el número de puerto de autorización es 49.

 

Figura 1 autorización de línea de comandos basada en HWTACACS.

 

023623osw4vvsgwbqqs0hh.png?image.png

 

Procdimiento

Configuración del Router.

 

#                                                                        

 sysname Router                                                          

#                                                                   

hwtacacs-server template 1  //Configuración de template HWTACACS server.

 hwtacacs-server authentication 10.1.6.6 weight 80  //Configurar un servidor de autenticación HWTACACS.

 hwtacacs-server authorization 10.1.6.6 weight 80  //Configurar un servidor de autorizacion HWTACACS.

hwtacacs-server shared-key cipher %^%#z3#CA>MtbD=>A]Ts;au$;&I!<sN~"B!++2S8'--;%^%#  //Set the shared key between router and HWTACACS server to Hello@1234.

#                                                          

aaa                                                            

 authentication-scheme sch1  // Crear el esquema de autenticación sch1.                                    

  authentication-mode hwtacacs 

 authorization-scheme ht  // Crear el esquema de autorizacion ht.

 authorization-mode hwtacacs 

  authorization-cmd 3 hwtacacs  // Configure la autorización de línea de comandos para los usuarios en el nivel 3.     

 recording-scheme scheme0  // Crear el esquema de registro scheme0.

  recording-mode hwtacacs 1  // Asocie una plantilla de servidor HWTACACS con el esquema de registro scheme0.

 cmd recording-scheme scheme0  // Configurar scheme0 para grabar los comandos ejecutados en el dispositivo.

 service-scheme sch1  // Crear el esquema de servicio sch1.

  admin-user privilege level 15

 domain huawei.com   // Crea el dominio huawei.com.                                

  authentication-scheme sch1  // Especifique el esquema de autenticación HWTACACS para los usuarios en este dominio.

authorization-scheme ht  //Especifique el esquema de autorización HWTACACS para los usuarios en este dominio.

  service-scheme sch1  //Especifique el esquema de servicio para los usuarios en este dominio.                       

  hwtacacs-server 1  // Especifique la plantilla del servidor HWTACACS para los usuarios en este dominio.                     

#                                                                               

interface GigabitEthernet1/0/1                                                   

 ip address 10.1.2.10 255.255.255.0                                        

#                                                                               

interface GigabitEthernet1/0/2                                                 

 ip address 10.1.6.10 255.255.255.0                                           

#                                                                               

 telnet server enable  //Habilitar el servidor Telnet.                                 

#

user-interface maximum-vty 15  // Establezca el número máximo de usuarios que inician sesión en la interfaz de usuario de VTY en 15.

user-interface vty 0 14                                                        

 authentication-mode aaa  // Establezca el modo de autenticación para la interfaz de usuario VTY en AAA.                     

#                                                                               

return

Verify the configuration.

# Elija Start > Run en su computadora e ingrese en cmd para abrir la ventada de lina de comandos de windows. Ejecute el comenado telnet e ingrese el nombre de usuario user1@huawei.com y el password Huawei@1234 para ingresar al dispositivo mediante Telnet.

 

C:\Documents and Settings\Administrator> telnet 10.1.2.10

Username:user1@huawei.com

Password:***********

<Router>// El administrador inicia sesión correctamente en el dispositivo.

# Ejecute el comando display authorization-scheme ht. El resultado del comando muestra que la autorización de la línea de comandos está configurada para usuarios de nivel 3.

 

<Huawei> display authorization-scheme ht

---------------------------------------------------------------------------    

 Authorization-scheme-name               : ht                                               

 Authorization-method                    : HWTACACS                                        

 Authorization-cmd level  0              : Disabled                                       

 Authorization-cmd level  1              : Disabled                                        

 Authorization-cmd level  2              : Disabled                                       

 Authorization-cmd level  3              : Enabled  ( HWTACACS  )                   

 Authorization-cmd level  4              : Disabled                                       

 Authorization-cmd level  5              : Disabled                                       

 Authorization-cmd level  6              : Disabled                                       

 Authorization-cmd level  7              : Disabled                                       

 Authorization-cmd level  8              : Disabled                                       

 Authorization-cmd level  9              : Disabled                                       

 Authorization-cmd level 10              : Disabled                                       

 Authorization-cmd level 11              : Disabled                                       

 Authorization-cmd level 12              : Disabled                                        

 Authorization-cmd level 13              : Disabled                                       

 Authorization-cmd level 14              : Disabled                                       

 Authorization-cmd level 15              : Disabled                                       

 Authorization-cmd no-response-policy    : Online                              

---------------------------------------------------------------------------

 

Notas de configuración

 

El router y el servidor HWTACACS deben usar el mismo número de puerto de autenticación.

 

El router y el servidor HWTACACS deben usar la misma clave compartida. 

 

Debe haber una ruta accesible entre el router y el servidor HWTACACS.


  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
Respuesta rápida Desplácese hasta arriba