j'ai compris

【Service après-vente Mr Gateway】 Exemple de configuration d'autorisations de ligne de commande

publié il y a  2020-4-27 14:20:47Dernière réponse abr. 30, 2020 23:11:01 62 1 0 0 0

Cet exemple s'applique à tous les modèles AR de toutes les versions.

 

Exigences de mise en réseau

Comme le montre la figure 1, un utilisateur accède au réseau via le routeur. L'utilisateur appartient au domaine huawei.com et le niveau d'utilisateur est 3. L'utilisateur n'a pas besoin d'utiliser certaines commandes de niveau 3. Pour implémenter une gestion raffinée et assurer la sécurité du périphérique, configurez le routeur pour effectuer l'autorisation de ligne de commande pour l'utilisateur via HWTACACS et enregistrez les commandes exécutées par l'utilisateur.

 

L'adresse IP du serveur HWTACACS est 10.1.6.6/24, le numéro de port d'authentification est 49 et le numéro de port d'autorisation est 49.

 

Figure 1 Autorisation de ligne de commande basée sur HWTACACS

 【Service après-vente Mr Gateway】 Exemple de configuration de la ligne de commande Authorizati-1085165-1

 

Procédure

Configurez le routeur.

 

#                                                                        

 sysname Router                                                          

#                                                                   

hwtacacs-server template 1  //Configure an HWTACACS server template.

 hwtacacs-server authentication 10.1.6.6 weight 80  //Configure an HWTACACS authentication server.

 hwtacacs-server authorization 10.1.6.6 weight 80  //Configure an HWTACACS authorization server.

 hwtacacs-server shared-key cipher %^%#z3#CA>MtbD=>A]Ts;au$;&I!<sN~"B!++2S8'--;%^%#  //Set the shared key between router and HWTACACS server to Hello@1234.

#                                                          

aaa                                                            

 authentication-scheme sch1  //Create the authentication scheme sch1.                                    

  authentication-mode hwtacacs 

 authorization-scheme ht  //Create the authorization scheme ht.

  authorization-mode hwtacacs 

  authorization-cmd 3 hwtacacs  //Configure command line authorization for users at level 3.     

 recording-scheme scheme0  //Create the record scheme scheme0. 

  recording-mode hwtacacs 1  //Associate an HWTACACS server template with the record scheme scheme0.      

 cmd recording-scheme scheme0  //Configure scheme0 to record the commands executed on the device.

 service-scheme sch1  //Create the service scheme sch1.

  admin-user privilege level 15

 domain huawei.com   //Create the domain huawei.com.                                 

  authentication-scheme sch1  //Specify the HWTACACS authentication scheme for the users in this domain.

  authorization-scheme ht  //Specify the HWTACACS authorization scheme for the users in this domain.

  service-scheme sch1  //Specify the service scheme for the users in this domain.                        

  hwtacacs-server 1  //Specify the HWTACACS server template for the users in this domain.                      

#                                                                               

interface GigabitEthernet1/0/1                                                   

 ip address 10.1.2.10 255.255.255.0                                        

#                                                                               

interface GigabitEthernet1/0/2                                                 

 ip address 10.1.6.10 255.255.255.0                                           

#                                                                               

 telnet server enable  //Enable the Telnet server.                                 

#

user-interface maximum-vty 15  //Set the maximum number of login users on the VTY user interface to 15.             

user-interface vty 0 14                                                        

 authentication-mode aaa  //Set the authentication mode for VTY user interface to AAA.                     

#                                                                               

return


Vérifiez la configuration.

# Choisissez Démarrer> Exécuter sur votre ordinateur et entrez cmd pour ouvrir la fenêtre cmd. Exécutez la commande telnet et entrez le nom d'utilisateur user1@huawei.com et le mot de passe Huawei @ 1234 pour vous connecter à l'appareil via Telnet.

 

C: \ Documents and Settings \ Administrator> telnet 10.1.2.10

Nom d'utilisateur: user1@huawei.com

Mot de passe:***********

<Router> // L'administrateur se connecte avec succès au périphérique.

# Exécutez la commande display authorization-scheme ht. La sortie de la commande montre que l'autorisation de ligne de commande est configurée pour les utilisateurs de niveau 3.

 

<Huawei> display authorization-scheme ht

---------------------------------------------------------------------------    

 Authorization-scheme-name               : ht                                               

 Authorization-method                    : HWTACACS                                        

 Authorization-cmd level  0              : Disabled                                       

 Authorization-cmd level  1              : Disabled                                        

 Authorization-cmd level  2              : Disabled                                       

 Authorization-cmd level  3              : Enabled  ( HWTACACS  )                   

 Authorization-cmd level  4              : Disabled                                       

 Authorization-cmd level  5              : Disabled                                       

 Authorization-cmd level  6              : Disabled                                       

 Authorization-cmd level  7              : Disabled                                       

 Authorization-cmd level  8              : Disabled                                       

 Authorization-cmd level  9              : Disabled                                       

 Authorization-cmd level 10              : Disabled                                       

 Authorization-cmd level 11              : Disabled                                       

 Authorization-cmd level 12              : Disabled                                        

 Authorization-cmd level 13              : Disabled                                       

 Authorization-cmd level 14              : Disabled                                       

 Authorization-cmd level 15              : Disabled                                       

 Authorization-cmd no-response-policy    : Online                              

---------------------------------------------------------------------------


 

Notes de configuration

Le routeur et le serveur HWTACACS doivent utiliser le même numéro de port d'authentification.

 

Le routeur et le serveur HWTACACS doivent utiliser la même clé partagée.

 

Il doit y avoir une route accessible entre le routeur et le serveur HWTACACS.


  • x
  • Standard:

Youssefi.R
publié il y a 2020-4-30 23:11:01
Le routeur et le serveur HWTACACS doivent utiliser le même numéro de port d'authentification.
Le routeur et le serveur HWTACACS doivent utiliser la même clé partagée.
Il doit y avoir une route accessible entre le routeur et le serveur HWTACACS.
View more
  • x
  • Standard:

Commentaire

Connectez-vous pour répondre. Se connecter | Enregistrer
envoyer

Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».

My Followers

Connectez-vous pour participer à la communication et au partage

S'identifier

Bloquer
Êtes-vous sûr de bloquer cet utilisateur?
Les utilisateurs de votre liste noire ne peuvent ni commenter votre publication,ni vous mentionner, ni vous envoyer de messages privés.
Rappel
Veuillez lier votre numéro de téléphone pour obtenir un bonus d'invitation.