[Partage des connaissances] Comment attribuer le niveau de privilège du serveur Microsoft NPS RADIUS aux commutateurs Huawei?

publié il y a  2020-2-26 11:42:57 12 0 0 0

Bonjour à tous,


Comme vous le savez sur de nombreux réseaux, nous pouvons utiliser la solution Microsoft NPS pour Radius pour créer des utilisateurs et vous connecter à nos appareils en utilisant l'authentification SSH / WEB basée sur Radius. Même ainsi, après avoir configuré le côté AAA et NPS, nous remarquons que nous n'avons pas le privilège d'exécuter des commandes d'administration, et seulement ping / trace.

Dans ce fil, je vais vous montrer toute la configuration nécessaire pour les produits Huawei et quels changements sont nécessaires du côté NPS pour pouvoir fonctionner correctement dans ce scénario.

Commençons donc par la configuration du côté du commutateur Huawei:

# Configurez l'interface utilisateur VTY.

[Switch] stelnet server enable // Active la fonction du serveur STelnet .
[Switch] user-interface vty 0 14 // Entrez les vues de l'interface utilisateur de VTY 0 à VTY 14.
[Switch-ui-vty0-14] mode d'authentification aaa // Définissez le mode d'authentification des utilisateurs de VTY 0 à VTY 14 à AAA.
[Switch-ui-vty0-14] protocol insh entrant ssh // Configurer les vues de l'interface utilisateur dans VTY 0 à VTY 14 pour prendre en charge SSH.
[Switch-ui-vty0-14] quitter


# Exécutez la commande ci-dessous pour spécifier l'authentification par mot de passe comme mode d'authentification par défaut des utilisateurs SSH.

  [Switch] mot de passe de type authentification ssh


# Configurez un modèle de serveur RADIU S sur le commutateur pour implémenter la communication avec le serveur RADIU S.

[Switch] radiu s-server template 1 // Entrez dans la vue du modèle de serveur RADIU S.
Switch- radiu s-1] authentification radiu s-server 10.2.1.1 1812 // Configurer l'IP et le port du serveur RADIU S.
Switch- radiu s-1] chiffrement à clé partagée du serveur radiu Huawei @ 6789 // Définissez la clé partagée du serveur RADIU S sur Huawei @ 6789 .
[Switch-radius-1] quitter


# Spécifiez un serveur d'autorisation RADIU S.

HUAWEI ] autorisation de serveur de rayon 10.1.1.116 chiffrement à clé partagée Huawei @ 2012


# Configurez un schéma d'authentification / autorisation / comptabilité AAA, le mode d'authentification étant RADIU S.

[Switch] aaa
[Switch-aaa] schéma d'authentification sch1 // Créez un schéma d'authentification nommé sch1 .
[Switch-aaa-authen-sch1] radiu s en mode d'authentification // Définissez le mode d'authentification sur RADIU S.
[Switch-aaa-authen-sch1] quitter

[Switch-aaa] schéma-d'autorisation sch1 // Créez un schéma d'autorisation nommé sch1 .
[Switch-aaa-autho-sch1] mode d'autorisation si authentifié local
[Switch-aaa-authen-sch1] quitter

[Switch-aaa] schéma de comptabilité sch1 // Créez un schéma comptable nommé sch1 .
[Switch-aaa-autho-sch1] rayon du mode comptable
[Switch-aaa-authen-sch1] quitter


# Créez un domaine et appliquez le schéma d'authentification AAA et le modèle de serveur RADIU S dans le domaine.

[Switch-aaa] domaine huawei.com // Créez un domaine nommé huawei.com et entrez dans la vue du domaine.

[Switch-aaa-domain-huawei.com] schéma d'authentification sch1 // Configurez le schéma d'authentification sch1 pour le domaine.

[Switch-aaa-domain-huawei.com] schéma-d'autorisation sch1 // Configurez le schéma d'autorisation sch1 pour le domaine.

[Switch-aaa-domain-huawei.com] schéma-comptable sch1 // Configurer le schéma comptable sch1 pour le domaine.

[Switch-aaa-domain-huawei.com] radiu s-server 1 // Appliquer le modèle de serveur RADIU S 1 au domaine.

[Switch-aaa-domain-huawei.com] quitter

[Switch-aaa] quitter


# Configurez le domaine huawei.com comme domaine de gestion globale par défaut afin qu'un administrateur n'ait pas besoin d'entrer le nom de domaine pour se connecter au Switch.

  [Switch] domaine huawei.com admin


Avec cette configuration actuelle, si vous essayez de vous connecter avec un utilisateur créé sur NPS, nous n'aurions accès qu'aux opérations ping / trace (niveau 1).

Afin d'avoir le privilège sur plus d'opérations, nous devons attribuer un privilège plus élevé en utilisant cet attribut:

Il s'agit de l'attribut que nous devons envoyer à partir de NPS, le numéro d'attribut est 29 et l'ID du fournisseur de Huawei est 2011.

e13f9b6bedbe47f2938474d3fa4e1d89


Et la configuration de NPS devrait ressembler à ceci, où la valeur d'attribut est le niveau de privilège attribué par NPS:

aaa


Si nous commençons le débogage comme suit, nous devons voir ce privilège pour confirmer que la configuration est correcte.

<Huawei> rayon de débogage tous

<Huawei> tm

<Huawei> td

Authentifiez et collectez la sortie du débogage.


Nous devrions nous attendre à voir l'attribut Privilège, comme ceci:

aaf


Et si nous voyons cet attribut, nous avons à coup sûr des privilèges plus élevés et pouvons émettre plus de commandes.

J'espère que ce tutoriel est correct, et si vous avez des questions, n'hésitez pas à poster ici: D




  • x
  • Standard:

Commentaire

envoyer
Connectez-vous pour répondre. Se connecter | Enregistrer

Remarque Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».
Si le bouton de la pièce-jointe n'est pas disponible, mettez à jour Adobe Flash Player à la dernière version.

My Followers

Connectez-vous pour participer à la communication et au partage

Connectez-vous pour participer à la communication et au partage

S'identifier