j'ai compris

Authentification HWTACACS

publié il y a  2020-9-13 21:57:34Dernière réponse Sep 13, 2020 22:04:36 201 1 0 0 0
  Récompense F-coins.: 0 (Résolu)

Salut, 

Configurez l'authentification HWTACACS sur le pare-feu. La plupart des comptes peuvent être authentifiés à l'aide de HWTACACS. Après la connexion, les priorités des comptes sont contrôlées par le serveur HWTACACS. Cependant, lorsque l'administrateur utilisateur se connecte au système, l'authentification HWTACACS n'est pas effectuée. Au lieu de cela, l'authentification locale est effectuée et le niveau de priorité de l'utilisateur est 15. Cela ne répond pas aux attentes. Pourquoi l'administrateur utilisateur ignore-t-il l'authentification HWTACACS? 

Voici la configuration:

#

hwtacacs-server template aaa

hwtacacs-server authentication x.x.x.x 

hwtacacs-server authentication x.x.x.x secondary

hwtacacs-server authorization x.x.x.x

hwtacacs-server authorization x.x.x.x secondary

hwtacacs-server accounting x.x.x.x

hwtacacs-server accounting x.x.x.x secondary

hwtacacs-server source-ip x.x.x.x

hwtacacs-server shared-key cipher %^%#on(\GR>ov#dwIO'Z^xc:UU"

undo hwtacacs-server user-name domain-included

#

aaa

authentication-scheme default

authentication-scheme admin_local

authentication-scheme admin_radius_local

authentication-scheme admin_hwtacacs_local

authentication-scheme admin_ad_local

authentication-scheme admin_ldap_local

authentication-scheme admin_radius

authentication-scheme admin_hwtacacs

authentication-scheme admin_ad

authentication-scheme admin_ldap

authentication-scheme aaa

  authentication-mode hwtacacs local

authorization-scheme default

authorization-scheme aaa

  authorization-mode hwtacacs local

  authorization-cmd 0 hwtacacs local

  authorization-cmd 1 hwtacacs local

  authorization-cmd 3 hwtacacs local

  authorization-cmd 15 hwtacacs local

accounting-scheme default

accounting-scheme aaa

  accounting-mode hwtacacs

  accounting start-fail online

domain default

  authentication-scheme aaa

  accounting-scheme aaa

  authorization-scheme aaa

  hwtacacs-server aaa

manager-user admin

  password cipher @%@%

  service-type web terminal ssh

  level 15


  • x
  • Standard:

Réponses en vedette

Meilleure réponse

mariano93
publié il y a 2020-9-13 22:04:36

Salut, 

Méthode d'authentification de l'administrateur 

Le FW authentifie un compte administrateur dans l'un des modes suivants avant d'autoriser l'administrateur à se connecter: 

  • Authentification locale :

Le compte administrateur et le mot de passe sont stockés sur le FW. 

  • Authentification du serveur: 

Si l'administrateur n'utilise pas l'authentification de domaine, le compte administrateur doit être créé sur le FW et le mot de passe est enregistré sur le serveur d'authentification. Actuellement, le FW prend en charge les modes d'authentification serveur: AD, LDAP, RADIUS et HWTACACS. 

Si l'administrateur utilise l'authentification de domaine, le compte administrateur et le mot de passe doivent être créés et enregistrés sur le serveur d'authentification de domaine. Aucune information administrateur ne doit être configurée sur le FW. Actuellement, le FW prend en charge les modes d'authentification serveur: AD, LDAP, RADIUS et HWTACACS. 

  • Serveur et authentification locale :

Le FW effectue d'abord l'authentification du serveur. Le FW effectue une authentification locale uniquement s'il ne parvient pas à se connecter au serveur d'authentification. Une fois le compte administrateur créé, le système virtuel ou le domaine d'authentification d'un nom d'utilisateur doit être obtenu pour se connecter à l'appareil. Par exemple, le nom d'utilisateur sur le système virtuel vsys avec l'authentification de domaine (nom de domaine) utilise le nom d'utilisateur username @domainname@@vsys pour se connecter et gérer le FW. 

Le FW détermine les modes d'authentification et d'autorisation en fonction du schéma d'authentification, du schéma d'autorisation ou du modèle de serveur tiers lié au compte administrateur ou au domaine d'authentification. Les connexions des comptes admin et admin@test sont utilisées comme exemples pour décrire le traitement du micrologiciel: 

  • Connectez-vous en utilisant le compte administrateur: Vérifiez si le FW dispose du compte administrateur. Si oui, utilisez le schéma d'authentification, le schéma d'autorisation et le modèle de serveur tiers lié au compte administrateur. Si non, utilisez le schéma d'authentification, le schéma d'autorisation ou le modèle de serveur tiers lié au domaine d'authentification par défaut. 

    Par défaut, l'administrateur local est lié au schéma d'authentification par défaut et au schéma d'autorisation par défaut. Le domaine d'authentification (le domaine par défaut ou un nouveau domaine d'authentification) est lié au schéma d'authentification par défaut et au schéma d'autorisation par défaut. 

  • Connectez-vous à l'aide du compte admin@test: 

    Le FW utilise directement le schéma d'authentification, le schéma d'autorisation ou le modèle de serveur tiers lié au domaine d'authentification de test. Par défaut, le domaine d'authentification (le domaine par défaut ou un nouveau domaine d'authentification) est lié au schéma d'authentification par défaut et au schéma d'autorisation par défaut.


Refer to: https://support.huawei.com/hedex/hdx.do?docid=EDOC1100068394&id=sec_admin_admin_0002&lang=en


Par conséquent, pour permettre au compte d'administrateur d'effectuer de préférence l'authentification HWTACACS, vous devez modifier le schéma d'authentification lié au compte.

[HUWEI-aaa] manager-user localadmin

[HUWEI-aaa-manager-user-abc] authentication-scheme aaa


View more
  • x
  • Standard:

Toutes les réponses
mariano93
mariano93 publié il y a 2020-9-13 22:04:36

Salut, 

Méthode d'authentification de l'administrateur 

Le FW authentifie un compte administrateur dans l'un des modes suivants avant d'autoriser l'administrateur à se connecter: 

  • Authentification locale :

Le compte administrateur et le mot de passe sont stockés sur le FW. 

  • Authentification du serveur: 

Si l'administrateur n'utilise pas l'authentification de domaine, le compte administrateur doit être créé sur le FW et le mot de passe est enregistré sur le serveur d'authentification. Actuellement, le FW prend en charge les modes d'authentification serveur: AD, LDAP, RADIUS et HWTACACS. 

Si l'administrateur utilise l'authentification de domaine, le compte administrateur et le mot de passe doivent être créés et enregistrés sur le serveur d'authentification de domaine. Aucune information administrateur ne doit être configurée sur le FW. Actuellement, le FW prend en charge les modes d'authentification serveur: AD, LDAP, RADIUS et HWTACACS. 

  • Serveur et authentification locale :

Le FW effectue d'abord l'authentification du serveur. Le FW effectue une authentification locale uniquement s'il ne parvient pas à se connecter au serveur d'authentification. Une fois le compte administrateur créé, le système virtuel ou le domaine d'authentification d'un nom d'utilisateur doit être obtenu pour se connecter à l'appareil. Par exemple, le nom d'utilisateur sur le système virtuel vsys avec l'authentification de domaine (nom de domaine) utilise le nom d'utilisateur username @domainname@@vsys pour se connecter et gérer le FW. 

Le FW détermine les modes d'authentification et d'autorisation en fonction du schéma d'authentification, du schéma d'autorisation ou du modèle de serveur tiers lié au compte administrateur ou au domaine d'authentification. Les connexions des comptes admin et admin@test sont utilisées comme exemples pour décrire le traitement du micrologiciel: 

  • Connectez-vous en utilisant le compte administrateur: Vérifiez si le FW dispose du compte administrateur. Si oui, utilisez le schéma d'authentification, le schéma d'autorisation et le modèle de serveur tiers lié au compte administrateur. Si non, utilisez le schéma d'authentification, le schéma d'autorisation ou le modèle de serveur tiers lié au domaine d'authentification par défaut. 

    Par défaut, l'administrateur local est lié au schéma d'authentification par défaut et au schéma d'autorisation par défaut. Le domaine d'authentification (le domaine par défaut ou un nouveau domaine d'authentification) est lié au schéma d'authentification par défaut et au schéma d'autorisation par défaut. 

  • Connectez-vous à l'aide du compte admin@test: 

    Le FW utilise directement le schéma d'authentification, le schéma d'autorisation ou le modèle de serveur tiers lié au domaine d'authentification de test. Par défaut, le domaine d'authentification (le domaine par défaut ou un nouveau domaine d'authentification) est lié au schéma d'authentification par défaut et au schéma d'autorisation par défaut.


Refer to: https://support.huawei.com/hedex/hdx.do?docid=EDOC1100068394&id=sec_admin_admin_0002&lang=en


Par conséquent, pour permettre au compte d'administrateur d'effectuer de préférence l'authentification HWTACACS, vous devez modifier le schéma d'authentification lié au compte.

[HUWEI-aaa] manager-user localadmin

[HUWEI-aaa-manager-user-abc] authentication-scheme aaa


View more
  • x
  • Standard:

Commentaire

Connectez-vous pour répondre. Se connecter | Enregistrer
envoyer

Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».

My Followers

Connectez-vous pour participer à la communication et au partage

S'identifier

Bloquer
Êtes-vous sûr de bloquer cet utilisateur?
Les utilisateurs de votre liste noire ne peuvent ni commenter votre publication,ni vous mentionner, ni vous envoyer de messages privés.
Rappel
Veuillez lier votre numéro de téléphone pour obtenir un bonus d'invitation.