Пример настройки HWTACACS+Local аутентификации для входа на устройство по Telnet

64 0 0 0

 

Обзор HWTACACS и локальной аутентификации

При развертывании сервера аутентификации HWTACACS в сети пользователи могут выполнять аутентификацию с помощью HWTACACS. Информация о пользователе создается и поддерживается сервером аутентификации HWTACACS. Пользователь может успешно войти в устройство только в том случае, если введенное имя пользователя и пароль совпадают с установленными на сервере HWTACACS. По сравнению с RADIUS, HWTACACS имеет более надежность в передаче и шифровании и более подходит для контроля безопасности. Как правило, аутентификация HWTACACS настраивается в сети, требующей высокой безопасности, например, в финансовых, правительственных и телекоммуникационных сетях.

Аутентификация HWTACACS и локальная аутентификация настраиваются на устройстве, когда сервер HWTACACS не отвечает, устройство выполняет локальную аутентификацию. Если настроена только аутентификация HWTACACS, пользователи не могут выполнить аутентификацию, когда устройство не может подключиться к серверу HWTACACS.

 

Как показано на рисунке ниже, сервер HWTACACS развертывается в сети, администратор выполняет аутентификацию с помощью Telnet для дистанционного управления устройством. Конкретные требования заключаются в следующем:

1. Администратор должен ввести правильное имя пользователя и пароль для входа в устройство с помощью Telnet.

2. Сначала устройство выполняет аутентификацию HWTACACS для администратора.

Если сервер HWTACACS не отвечает, устройство выполняет локальную аутентификацию.

3. После входа в устройство с помощью Telnet администратор может выполнять команды на уровнях 0-15.


scheme

                                              

Настройка:

1. Включите сервис Telnet.

2. Установите метод аутентификации для пользователей входа в Telnet на AAA.

3. Настройте локальную аутентификацию AAA, включая создание локального пользователя, установите тип доступа пользователя к Telnet и уровень

пользователя на 15.

4. Настройте аутентификацию HWTACACS, включая создание шаблона сервера HWTACACS, схему аутентификации AAA и схему обслуживания и примените эти схемы к домену.

 

Примечание: В этом примере приведены конфигурации устройства. Убедитесь, что на сервере HWTACACS заданы требуемые параметры, например IP-адрес устройства, общий ключ и информация о пользователе.

 

Шаг 1 Настройте интерфейсы и назначьте IP-адреса.

<HUAWEI> system-view
[HUAWEI] sysname Switch
[Switch] vlan batch 10 20
[Switch] interface vlanif 10
[Switch-Vlanif10] ip address 10.1.2.10 24
[Switch-Vlanif10] quit
[Switch] interface vlanif 20
[Switch-Vlanif20] ip address 10.1.6.10 24
[Switch-Vlanif20] quit
[Switch] interface gigabitethernet1/0/1
[Switch-GigabitEthernet1/0/1] port link-type access
[Switch-GigabitEthernet1/0/1] port default vlan 10
[Switch-GigabitEthernet1/0/1] quit
[Switch] interface gigabitethernet1/0/2
[Switch-GigabitEthernet1/0/2] port link-type access
[Switch-GigabitEthernet1/0/2] port default vlan 20
[Switch-GigabitEthernet1/0/2] quit

Шаг 2 Включите сервер Telnet.

[Switch]telnet server enable

Шаг 3 Установите метод аутентификации для пользовательского интерфейса VTY на AAA.

[Switch] user-interface maximum-vty 15 //Установите максимальное количество пользователей входа в систему VTY на 15 (диапазон значений зависит от версий продукта и моделей). По умолчанию максимальное количество пользователей Telnet составляет 5.
[Switch] user-interface vty 0 14 //Введите вид пользователя VTY 0-14.
[Switch-ui-vty0-14] authentication-mode aaa //Установите метод аутентификации для пользовательского вида VTY на AAA.
[Switch-ui-vty0-14] protocol inbound telnet //Настройте пользовательский интерфейс VTY для поддержки Telnet.По умолчанию коммутаторы в V200R006 и более ранних версиях поддерживают Telnet, а коммутаторы в V200R007 и более поздних версиях поддерживают SSH.
[Switch-ui-vty0-14] quit

Шаг 4 Настройте локальную аутентификацию AAA.

[Switch] aaa
[Switch-aaa] local-user user1@huawei.com password irreversible-cipher
Huawei@1234 //Создайте локального пользователя user1@huawei.com и установите пароль. Пароль отображается в шифрованном тексте в файле конфигурации, поэтому запомните пароль. Если вы забыли пароль, запустите эту команду еще раз, чтобы перенастроить пароль (Команда local-user user-name password cipher password в V200R002 и более ранних версиях).
[Switch-aaa] local-user user1@huawei.com service-type telnet //Установите тип доступа user1@huawei.com на Telnet. Пользователь может войти только через Telnet (По умолчанию пользователи могут входить в систему через любой метод в версиях, предшествующих V200R007, и не могут войти в систему через любой метод в версиях V200R007 и более поздних версиях).
[Switch-aaa] local-user user1@huawei.com privilege level 15 //Установите пользовательский уровень user1@huawei.com на 15. Пользователь может использовать команды уровня 15 и более низких уровней.
[Switch-aaa] quit

Шаг 5 Настройте аутентификацию HWTACACS.

# Настроить шаблон сервера HWTACACS для реализации связи между устройством и сервером HWTACACS.

[Switch] hwtacacs-server template 1
[Switch-hwtacacs-1] hwtacacs-server authentication 10.1.6.6 49 //Укажите IP-адрес и номер порта сервера аутентификации HWTACACS.
[Switch-hwtacacs-1] hwtacacs-server shared-key cipher Hello@1234 //Укажите общий ключ сервера аутентификации HWTACACS, который должен быть таким же, как и на сервере HWTACACS.
[Switch-hwtacacs-1] quit
# Настроить схему аутентификации AAA, установить методы аутентификации в HWTACACS и локальную аутентификацию.
[Switch] aaa
[Switch-aaa] authentication-scheme sch1
[Switch-aaa-authen-sch1] authentication-mode hwtacacs local
[Switch-aaa-authen-sch1] quit
# Настроить схему обслуживания и установить уровень для пользователя на 15.
[Switch-aaa] service-scheme sch1
[Switch-aaa-service-sch1] admin-user privilege level 15
[Switch-aaa-service-sch1] quit
# Применить схему аутентификации AAA, шаблон сервера HWTACACS и схему обслуживания к домену.
[Switch-aaa] domain huawei.com
[Switch-aaa-domain-huawei.com] authentication-scheme sch1
[Switch-aaa-domain-huawei.com] hwtacacs-server 1
[Switch-aaa-domain-huawei.com] service-scheme sch1
[Switch-aaa-domain-huawei.com] quit
[Switch-aaa] quit

Шаг 6 Проверьте конфигурацию.

# Выбрать Start > Run на компьютере под управлением операционной системы Windows и ввести cmd, чтобы открыть окно cmd. Запустить команду telnet и ввести имя пользователя user1@huawei.com и пароль Huawei@1234 для входа в устройство с помощью Telnet.

C:\Documents and Settings\Administrator> telnet 10.1.2.10

Username:user1@huawei.com

Password:***********

<Switch>//Администратор успешно войдет в систему.

# Выключить интерфейс, подключенный к серверу аутентификации HWTACACS, чтобы отключить устройство от сервера HWTACACS. Выбрать Start > Run на компьютере и ввести cmd, чтобы открыть окно cmd. Запустить команду telnet и ввести имя пользователя user1@huawei.com и пароль Huawei@1234 для входа в устройство с помощью Telnet. Пользователь может успешно войти в устройство, указав, что устройство выполняет локальную аутентификацию, когда сервер HWTACACS не отвечает.


  • x

Комментарий

Отправить
Выполните вход в систему, чтобы ответить на пост. Вход | Регистрация

Внимание Внимание! В целях защиты правовых интересов Вас, сообщества и третьих лиц, не публикуйте любой материал, содержащий политические высказывания, порнографию, упоминание азартных игр, употребление наркотиков, а также материал, нарушающий коммерческую тайну или содержащий персональные данные пользователей. Также не предоставляйте данные от вашей учетной записи. Вы будете нести ответственность за все действия, выполняемые под вашим аккаунтом. Подробная информация: “Политика конфиденциальности..”
Если кнопка вложения недоступна, обновите Adobe Flash Player до последней версии.
Авторизуйтесь и пользуйтесь всеми преимуществами участника!

Авторизуйтесь и пользуйтесь всеми преимуществами участника!

Вход