知
LDAP 结合TAM HWTACACS 设备用户认证典型配置
2020-03-28
发表
- 0关注
- 2收藏 2881浏览
组网及说明
需要登录到设备上进行操作的终端用户进行认证、授权以及对终端用户执行的操作进行记录。设备作为HWTACACS的客户端,将用户名和密码发给HWTACACS服务器进行验证,用户验证通过并得到授权之后可以登录到设备上进行操作。
配置步骤
1.配置HWTACACS 服务器
(1)增加设备,点击用户页签下,设备用户策略管理下 ,进入设备管理页面,增加设备。
(2)点击增加,填写相关参数
(3)相关参数说明
输入共享密钥:系统与设备通信使用的共享密钥。
输入认证端口:用于监听认证报文的端口,必须与设备侧设置的认证端口保持一致。
选择设备所属的区域:一个设备可以属于多个区域。
选择设备的类型:一个设备只能属于一种类型。
选择是否支持单一连接:选择“支持”,表示设备与TAM通信时支持在同一个TCP连接中建立多个会话;选择“不支持”,表示设备与TAM通信时不支持在同一个TCP连接中建立多个会话。该参数的配置必须与设备上的配置保持一致。
(4)增加用户接入策略,选择“用户”页签,单击导航树中的[设备用户策略管理/授权命令配置/Shell Profie配置]菜单项,进入Shell Profie列表页面,单击<增加>按钮,进入增加Shell Profie页面。
输入Shell Profile名称:名称必须唯一。
输入授权级别:授权级别对应了缺省的命令集。设备用户登录设备后,设备根据授权级别自动加载命令集。用户无法看到和执行非命令集中的命令。不同厂商的设备支持的授权级别范围各不相同,授权级别需要根据设备实际的支持范围来设置。
(5)增加授权策略
选择“用户”页签,单击导航树中的[设备用户策略管理/授权策略管理]菜单项,进入授权策略列表页面,单击<增加>按钮,进入增加授权策略页面。
(6)增加LDAP授权用户
1.首先增加LDAP 服务器
选择“用户”页签,单击导航树中的[设备用户策略管理/LDAP业务管理/服务器配置]菜单项,进入LDAP服务器配置页面。
2.配置用户同步策略
选择“用户”页签,单击导航树中的[设备用户策略管理/LDAP业务管理/同步策略配置]菜单项,进入LDAP同步策略配置页面。
3.点击同步按钮,可看到用户同步成功
(7) 配置接入设备
配置用户Telnet 登录时通过账户密码认证。
[[AC]line vty 0 31
[AC-line-vty0-31]authentication-mode scheme
[AC-line-vty0-31]quit
创建HWTACACS方案test。IP 地址指向iMC UAM 服务器,监听端口、共享密钥fine需与iMC 中接入设备的配置保持一致。
[AC]hwtacacs scheme zyp
Create a new HWTACACS scheme.
[AC-hwtacacs-zyp]primary authentication 192.168.127.131
[AC-hwtacacs-zyp]primary accounting 192.168.127.131
[AC-hwtacacs-zyp]primary authorization 192.168.127.131
[AC-hwtacacs-zyp]key authentication simple 123456
[AC-hwtacacs-zyp]key authorization simple 123456
[AC-hwtacacs-zyp]key accounting simple 123456
[AC-hwtacacs-zyp]user-name-format without-domain
[AC-hwtacacs-zyp]quit
创建domain。配置域引用的 TACACS 方案。
[AC]domain hwac
[AC-isp-hwac]authentication login hwtacacs-scheme zyp
[AC-isp-hwac]authorization login hwtacacs-scheme zyp
[AC-isp-hwac]accounting login hwtacacs-scheme zyp
配置认证方式。开启 Telnet 开关
[H3C] telnet server enable
配置关键点
配置成功,登录设备侧及imc侧显示如下
该案例对您是否有帮助:
您的评价:1
若您有关于案例的建议,请反馈:
0
个评论
该案例暂时没有网友评论
编辑评论
✖
案例意见反馈
➤
✖
亲~登录后才可以操作哦!
确定
✖
✖
你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
✖