Обзор HWTACACS и локальной аутентификации
При развертывании сервера аутентификации HWTACACS в сети пользователи могут выполнять аутентификацию с помощью HWTACACS. Информация о пользователе создается и поддерживается сервером аутентификации HWTACACS. Пользователь может успешно войти в устройство только в том случае, если введенное имя пользователя и пароль совпадают с установленными на сервере HWTACACS. По сравнению с RADIUS, HWTACACS имеет более надежность в передаче и шифровании и более подходит для контроля безопасности. Как правило, аутентификация HWTACACS настраивается в сети, требующей высокой безопасности, например, в финансовых, правительственных и телекоммуникационных сетях.
Аутентификация HWTACACS и локальная аутентификация настраиваются на устройстве, когда сервер HWTACACS не отвечает, устройство выполняет локальную аутентификацию. Если настроена только аутентификация HWTACACS, пользователи не могут выполнить аутентификацию, когда устройство не может подключиться к серверу HWTACACS.
Как показано на рисунке ниже, сервер HWTACACS развертывается в сети, администратор выполняет аутентификацию с помощью Telnet для дистанционного управления устройством. Конкретные требования заключаются в следующем:
1. Администратор должен ввести правильное имя пользователя и пароль для входа в устройство с помощью Telnet.
2. Сначала устройство выполняет аутентификацию HWTACACS для администратора.
Если сервер HWTACACS не отвечает, устройство выполняет локальную аутентификацию.
3. После входа в устройство с помощью Telnet администратор может выполнять команды на уровнях 0-15.
Настройка:
1. Включите сервис Telnet.
2. Установите метод аутентификации для пользователей входа в Telnet на AAA.
3. Настройте локальную аутентификацию AAA, включая создание локального пользователя, установите тип доступа пользователя к Telnet и уровень
пользователя на 15.
4. Настройте аутентификацию HWTACACS, включая создание шаблона сервера HWTACACS, схему аутентификации AAA и схему обслуживания и примените эти схемы к домену.
Примечание: В этом примере приведены конфигурации устройства. Убедитесь, что на сервере HWTACACS заданы требуемые параметры, например IP-адрес устройства, общий ключ и информация о пользователе.
Шаг 1 Настройте интерфейсы и назначьте IP-адреса.
<HUAWEI> system-view [HUAWEI] sysname Switch [Switch] vlan batch 10 20 [Switch] interface vlanif 10 [Switch-Vlanif10] ip address 10.1.2.10 24 [Switch-Vlanif10] quit [Switch] interface vlanif 20 [Switch-Vlanif20] ip address 10.1.6.10 24 [Switch-Vlanif20] quit [Switch] interface gigabitethernet1/0/1 [Switch-GigabitEthernet1/0/1] port link-type access [Switch-GigabitEthernet1/0/1] port default vlan 10 [Switch-GigabitEthernet1/0/1] quit [Switch] interface gigabitethernet1/0/2 [Switch-GigabitEthernet1/0/2] port link-type access [Switch-GigabitEthernet1/0/2] port default vlan 20 [Switch-GigabitEthernet1/0/2] quit
Шаг 2 Включите сервер Telnet.
[Switch]telnet server enable
Шаг 3 Установите метод аутентификации для пользовательского интерфейса VTY на AAA.
[Switch] user-interface maximum-vty 15 //Установите максимальное количество пользователей входа в систему VTY на 15 (диапазон значений зависит от версий продукта и моделей). По умолчанию максимальное количество пользователей Telnet составляет 5. [Switch] user-interface vty 0 14 //Введите вид пользователя VTY 0-14. [Switch-ui-vty0-14] authentication-mode aaa //Установите метод аутентификации для пользовательского вида VTY на AAA. [Switch-ui-vty0-14] protocol inbound telnet //Настройте пользовательский интерфейс VTY для поддержки Telnet.По умолчанию коммутаторы в V200R006 и более ранних версиях поддерживают Telnet, а коммутаторы в V200R007 и более поздних версиях поддерживают SSH. [Switch-ui-vty0-14] quit
Шаг 4 Настройте локальную аутентификацию AAA.
[Switch] aaa [Switch-aaa] local-user user1@huawei.com password irreversible-cipher Huawei@1234 //Создайте локального пользователя user1@huawei.com и установите пароль. Пароль отображается в шифрованном тексте в файле конфигурации, поэтому запомните пароль. Если вы забыли пароль, запустите эту команду еще раз, чтобы перенастроить пароль (Команда local-user user-name password cipher password в V200R002 и более ранних версиях). [Switch-aaa] local-user user1@huawei.com service-type telnet //Установите тип доступа user1@huawei.com на Telnet. Пользователь может войти только через Telnet (По умолчанию пользователи могут входить в систему через любой метод в версиях, предшествующих V200R007, и не могут войти в систему через любой метод в версиях V200R007 и более поздних версиях). [Switch-aaa] local-user user1@huawei.com privilege level 15 //Установите пользовательский уровень user1@huawei.com на 15. Пользователь может использовать команды уровня 15 и более низких уровней. [Switch-aaa] quit
Шаг 5 Настройте аутентификацию HWTACACS.
# Настроить шаблон сервера HWTACACS для реализации связи между устройством и сервером HWTACACS.
[Switch] hwtacacs-server template 1 [Switch-hwtacacs-1] hwtacacs-server authentication 10.1.6.6 49 //Укажите IP-адрес и номер порта сервера аутентификации HWTACACS. [Switch-hwtacacs-1] hwtacacs-server shared-key cipher Hello@1234 //Укажите общий ключ сервера аутентификации HWTACACS, который должен быть таким же, как и на сервере HWTACACS. [Switch-hwtacacs-1] quit # Настроить схему аутентификации AAA, установить методы аутентификации в HWTACACS и локальную аутентификацию. [Switch] aaa [Switch-aaa] authentication-scheme sch1 [Switch-aaa-authen-sch1] authentication-mode hwtacacs local [Switch-aaa-authen-sch1] quit # Настроить схему обслуживания и установить уровень для пользователя на 15. [Switch-aaa] service-scheme sch1 [Switch-aaa-service-sch1] admin-user privilege level 15 [Switch-aaa-service-sch1] quit # Применить схему аутентификации AAA, шаблон сервера HWTACACS и схему обслуживания к домену. [Switch-aaa] domain huawei.com [Switch-aaa-domain-huawei.com] authentication-scheme sch1 [Switch-aaa-domain-huawei.com] hwtacacs-server 1 [Switch-aaa-domain-huawei.com] service-scheme sch1 [Switch-aaa-domain-huawei.com] quit [Switch-aaa] quit
Шаг 6 Проверьте конфигурацию.
# Выбрать Start > Run на компьютере под управлением операционной системы Windows и ввести cmd, чтобы открыть окно cmd. Запустить команду telnet и ввести имя пользователя user1@huawei.com и пароль Huawei@1234 для входа в устройство с помощью Telnet.
C:\Documents and Settings\Administrator> telnet 10.1.2.10
Username:user1@huawei.com
Password:***********
<Switch>//Администратор успешно войдет в систему.
# Выключить интерфейс, подключенный к серверу аутентификации HWTACACS, чтобы отключить устройство от сервера HWTACACS. Выбрать Start > Run на компьютере и ввести cmd, чтобы открыть окно cmd. Запустить команду telnet и ввести имя пользователя user1@huawei.com и пароль Huawei@1234 для входа в устройство с помощью Telnet. Пользователь может успешно войти в устройство, указав, что устройство выполняет локальную аутентификацию, когда сервер HWTACACS не отвечает.