• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

LDAP 结合TAM HWTACACS 设备用户认证典型配置

2020-03-28 发表
  • 1关注
  • 0收藏 1052浏览
粉丝:0人 关注:1人

组网及说明

需要登录到设备上进行操作的终端用户进行认证、授权以及对终端用户执行的操作进行记录。设备作为HWTACACS的客户端,将用户名和密码发给HWTACACS服务器进行验证,用户验证通过并得到授权之后可以登录到设备上进行操作。

配置步骤

1.配置HWTACACS 服务器
(1)增加设备,点击用户页签下,设备用户策略管理下 ,进入设备管理页面,增加设备。


(2)点击增加,填写相关参数


(3)相关参数说明
输入共享密钥:系统与设备通信使用的共享密钥。
输入认证端口:用于监听认证报文的端口,必须与设备侧设置的认证端口保持一致。
选择设备所属的区域:一个设备可以属于多个区域。
选择设备的类型:一个设备只能属于一种类型。
选择是否支持单一连接:选择“支持”,表示设备与TAM通信时支持在同一个TCP连接中建立多个会话;选择“不支持”,表示设备与TAM通信时不支持在同一个TCP连接中建立多个会话。该参数的配置必须与设备上的配置保持一致。


(4)增加用户接入策略,选择“用户”页签,单击导航树中的[设备用户策略管理/授权命令配置/Shell Profie配置]菜单项,进入Shell Profie列表页面,单击<增加>按钮,进入增加Shell Profie页面。
输入Shell Profile名称:名称必须唯一。
输入授权级别:授权级别对应了缺省的命令集。设备用户登录设备后,设备根据授权级别自动加载命令集。用户无法看到和执行非命令集中的命令。不同厂商的设备支持的授权级别范围各不相同,授权级别需要根据设备实际的支持范围来设置。


(5)增加授权策略
选择“用户”页签,单击导航树中的[设备用户策略管理/授权策略管理]菜单项,进入授权策略列表页面,单击<增加>按钮,进入增加授权策略页面。


(6)增加LDAP授权用户
1.首先增加LDAP 服务器
选择“用户”页签,单击导航树中的[设备用户策略管理/LDAP业务管理/服务器配置]菜单项,进入LDAP服务器配置页面。



2.配置用户同步策略
选择“用户”页签,单击导航树中的[设备用户策略管理/LDAP业务管理/同步策略配置]菜单项,进入LDAP同步策略配置页面。



3.点击同步按钮,可看到用户同步成功



(7) 配置接入设备

 配置用户Telnet 登录时通过账户密码认证。
[[AC]line vty 0 31
[AC-line-vty0-31]authentication-mode scheme
[AC-line-vty0-31]quit
 创建HWTACACS方案test。IP 地址指向iMC UAM 服务器,监听端口、共享密钥fine需与iMC 中接入设备的配置保持一致。
[AC]hwtacacs scheme zyp
Create a new HWTACACS scheme.
[AC-hwtacacs-zyp]primary authentication 192.168.127.131
[AC-hwtacacs-zyp]primary accounting 192.168.127.131
[AC-hwtacacs-zyp]primary authorization 192.168.127.131
[AC-hwtacacs-zyp]key authentication simple 123456
[AC-hwtacacs-zyp]key authorization simple 123456
[AC-hwtacacs-zyp]key accounting simple 123456
[AC-hwtacacs-zyp]user-name-format without-domain
[AC-hwtacacs-zyp]quit
创建domain。配置域引用的 TACACS 方案。
[AC]domain hwac
[AC-isp-hwac]authentication login hwtacacs-scheme zyp
[AC-isp-hwac]authorization login hwtacacs-scheme zyp
[AC-isp-hwac]accounting login hwtacacs-scheme zyp
配置认证方式。开启 Telnet 开关
[H3C] telnet server enable

配置关键点

配置成功,登录设备侧及imc侧显示如下



0 个评论

该案例暂时没有网友评论

编辑评论

举报

×

侵犯我的权益 >
对根叔知了社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明

提出建议

    +

亲~登录后才可以操作哦!

确定

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作