radius认证权限问题
- 0关注
- 0收藏,51浏览
方案1(推荐,集中管控):RADIUS服务器侧直接下发权限
1. RADIUS服务器配置:针对不同用户配置H3C私有RADIUS属性(类型26,厂商ID255),子属性为Shell-Privilege,取值0~15对应不同权限等级,比如管理员配15、普通运维配3。
2. H3C设备侧关键配置:
进入对应RADIUS方案视图,开启接受服务器下发的用户角色权限
radius scheme <你的RADIUS方案名>
user-role accept
对应认证域下配置授权模式为RADIUS优先
domain <你的认证域名>
authorization radius
方案2(本地映射,无需修改RADIUS服务器):设备侧绑定用户名和权限
在设备本地创建和RADIUS侧同名的管理类本地用户,给不同用户分配不同权限,域下配置本地授权优先:
local-user <高权限用户名> class manage
authorization-attribute user-role level-15
local-user <普通权限用户名> class manage
authorization-attribute user-role level-0
domain <你的认证域名>
authorization local
配置完成后用户登录,执行display user-privilege即可查看当前生效的权限等级。
user-role accept 没有这个命令
user-role accept 没有这个命令
要实现RADIUS用户登录后被赋予不同权限,需要在服务器和设备两端双向配合完成。核心思路是让RADIUS服务器在认证通过后,给设备返回一个User-Roles的属性,设备再根据这个属性把用户分配到对应的权限组。
核心过程:权限是如何精准下发的
RADIUS服务器:用户登录时,除了验证密码,还会将预先配好的权限属性,通过私有属性(Vendor-Specific Attribute, VSA)传回给设备。
网络设备:收到服务器的授权属性后,把它翻译成用户(角色)权限,用户就能以预设的权限执行操作了。
以H3C iMC为例,分步配置指南
假设我们需要为admin用户赋予network-admin角色,为guest用户赋予network-operator角色。
第1步:在交换机上配置RADIUS方案
登录iMC平台,进入“用户” > “接入策略管理” > “接入设备管理” > “接入设备配置”。
点击“增加”,输入交换机的IP地址,并设置与第1步中相同的共享密钥。
第4步:在iMC服务器上为用户配置角色
在iMC平台,进入“用户” > “接入用户管理” > “接入用户”。
点击“增加”新建用户,或点击现有用户名进入编辑。
编写用户基本信息。
在“接入服务”区域,点击“增加”,设置“服务后缀”(需与交换机域名相同,如
h3c.com)。关键设置在“下发用户角色”区域。点击“增加”,为
admin用户选择“network-admin”,为guest用户选择“network-operator”。
第5步:验证与排错
在交换机上通过命令 display users 查看登录用户的角色信息,确认权限下发是否正确。如果遇到问题:
验证iMC配置:检查iMC侧是否已为用户正确配置“下发用户角色”。
检查设备配置:在交换机上使用
display radius scheme和display domain核对配置。分析RADIUS报文:如果故障依然存在,可以在交换机上开启debug来排查:
<H3C> terminal debugging <H3C> debugging radius packet观察交换机与服务器交互的报文,看服务器返回的<H3C> terminal monitorAccess-Accept报文中是否包含了H3C定义的User-Roles属性,如H3c-User-Roles="shell:roles="network-admin""。
实现方式:两种方案对比
| 方案 | 实现方式 | 优点 | 缺点 |
|---|---|---|---|
| 完全由RADIUS服务器下发 | 在服务器上配置H3C私有属性H3C-User-Roles(供应商代码25506,属性号155) | 权限集中管理,灵活度高,可按用户精细授权 | 依赖RADIUS服务器支持;若服务器未正确下发,用户权限可能不正确 |
| 设备侧配置默认角色 | 在设备上配置命令 role default-role enable 开启默认用户角色功能 | 配置简单,不依赖RADIUS服务器授权 | 无法对不同用户做精细区分,所有远程登录用户将获得相同权限 |
提醒:当采用“完全由RADIUS服务器下发”方案时,若服务器未返回
User-Roles,用户权限可能为空或为极低的Level-0-2。如不希望完全依赖服务器配置,可结合使用“设备侧配置默认角色”作为兜底。
H3C 设备 Radius 认证不同账号分配不同权限 完整配置方案
核心原理
- ** 下发 Privilege-Level 用户级别(0~15 级)** 最简单通用
- 下发 User-Role 管理员角色(Comware V7 推荐)
一、前提配置(设备基础 Radius 必配)
# 1. 配置Radius模板
radius scheme RADIUS
primary authentication x.x.x.x
primary accounting x.x.x.x
key simple 你的密钥
user-name-format without-domain
# 2. 域调用Radius
domain default
authentication radius-scheme RADIUS
authorization radius-scheme RADIUS
accounting radius-scheme RADIUS
# 3. 开启远程登录用域认证
line vty 0 15
authentication-mode scheme
二、两种实现方式(任选一种即可)
方式一:Radius 下发【用户特权级别】最通用
1、Radius 服务器侧配置(关键)
- 属性号:29(Privilege-Level)
- 值范围:0~15
- 0~1:普通访客
- 3:运维只读
- 15:最高管理员特权
- 账号
admin:下发属性 29 值 =15 → 登录直接最高权限 - 账号
user:下发属性 29 值 =3 → 登录只能查看不能配置
2、设备侧开启接收权限下发
# 全局开启接受Radius下发特权级别
radius attribute accept privilege-level
方式二:Radius 下发【User-Role 角色】V7 推荐
1、设备上先预定义角色(权限提前划分好)
# 只读角色
role read-only
rule permit read all
rule deny write all
# 管理员角色
role admin-all
rule permit all
2、Radius 服务器下发属性
admin-all / read-only3、设备开启接收角色下发
radius attribute accept user-role
三、常见问题排查
- 所有人登录都是普通用户
- Radius 没下发权限属性
- 设备没开
radius attribute accept privilege-level
- 下发了级别不生效
- 密钥不匹配、授权没调用 radius
- line vty 下不是
authentication-mode scheme
- 只能不能配置把高权限账号级别改成 15 即可。
四、最简总结
- 设备配好 Radius 模板 + 域 + vty 用 scheme 认证
- Radius 服务器给不同账号加属性 29 级别 0~15
- 设备开启
radius attribute accept privilege-level - 实现:不同账号登录自动拥有不同管理权限
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明