• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 全部
  • 全部
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
高级搜索

S3600 hwtacacs典型组网配置案例(IMC部署TAM作为tacacs服务器)

2020-05-20 发表
  • 0关注
  • 0收藏,320浏览
粉丝:168人 关注:0人

组网及说明

本案例使用S3600交换机部署hwtacacs,与IMC TAM进行联动,达到安全管理设备的效果。

IMC版本为PLAT 7.3 E0506P03

 

S3600版本信息如下:

H3C Comware Platform Software

Comware Software, Version 5.20, Release 2112

Copyright (c) 2004-2017 New H3C Technologies Co., Ltd. All rights reserved.

H3C S3600V2-28TP-EI uptime is 0 week, 4 days, 21 hours, 25 minutes

 

H3C S3600V2-28TP-EI with 1 Processor

256M    bytes SDRAM

2M      bytes Nor Flash Memory

128M    bytes Nand Flash Memory

Config Register points to Nand Flash

 

Hardware Version is Ver.A

CPLD Version is 001

BootRom Version is 133

[SubSlot 0] 24FE+4SFP+2Combo GE Hardware Version is Ver.A

 


配置步骤

IMC TAM部署有如下要点:

1、授权场景条件:

设备区域管理、设备类型管理、授权时段策略管理

2、授权命令配置:

Shell profile配置、命令集配置

3、设备管理:

配置共享密钥、绑定设备区域、绑定设备类型

4、添加用户名、密码


交换机部署hwtacacs




配置关键点

配置“授权场景条件”



添加“设备区域管理”



设置“区域名称”



设置“设备类型管理”



增加



设置“授权时段策略管理”



增加,设置“授权时段策略名称”、“生效时间”、“失效时间”



设置“授权命令配置”-shell profile配置”



设置shell profile名称”-“授权级别”



设置“命令集配置”



设置“命令集名称”、“缺省授权方式”



配置“设备管理”



增加设备,设置“共享密钥”、“确认共享密钥”,绑定“设备区域”、“设备类型”





配置“授权管理”



绑定“设备区域”-“设备类型”-“授权时段”-shell profile-“授权命令集”



配置“用户设备分组”,设置“分组名称”-“授权策略”



设置“设备用户管理”-“所有设备用户”



设置“账号名”-“登陆密码”-“登陆密码确认”-“设备用户分组”-“用户的授权策略”




S3600 hwtacacs配置如下:

 

hwtacacs scheme shebeiguanli

 primary authentication 10.190.8.7

 primary authorization 10.190.8.7

 primary accounting 10.190.8.7

 key authentication  nnhwtacacs

 key authorization  nnhwtacacs

 key accounting  nnhwtacacs

 user-name-format without-domain

 nas-ip 10.191.236.43

 

 

 

 

 domain tamdm

 authentication login hwtacacs-scheme shebeiguanli local

 authorization login hwtacacs-scheme shebeiguanli local

 accounting login hwtacacs-scheme shebeiguanli local

 authorization command hwtacacs-scheme shebeiguanli local

 accounting optional

quit

 

local-user admin

 service-type  terminal ssh

quit

 

user-interface vty 0 15

authentication-mode scheme

command accounting

command authorization

quit

 

 

 

domain default enable tamdm

 

查看hwtacacs状态:

dis hwtacacs

HWTACACS scheme name : shebeiguanli

  Primary Authen Server:

    IP: 10.190.8.7                               Port: 49     State: Active

    VPN instance   : Not configured

    Encryption Key : Not configured

  Primary Author Server:

    IP: 10.190.8.7                               Port: 49     State: Active

    VPN instance   : Not configured

    Encryption Key : Not configured

  Primary Account Server:

    IP: 10.190.8.7                               Port: 49     State: Active

    VPN instance   : Not configured

    Encryption Key : Not configured

  NAS IP address                                 : 10.191.236.43

  Authentication key                             : ******

  Authorization key                              : ******

  Accounting key                                 : ******

  VPN instance                                   : Not configured

  Quiet interval(min)                            : 5

  Realtime accounting interval(min)              : 12

  Response timeout interval(sec)                 : 5

  Retransmission times of stop-accounting packet : 100

  Username format                                : without-domain

  Data flow unit                                 : Byte

  Packet unit                                    : one

---------------------------------------------------------------------------

  Total 1 HWTACACS scheme(s).

 

查看domain的状态:

 

dis domain tamdm

   Domain: tamdm

   State: Active

   Access-limit: Disabled

   Accounting method: Optional

   Default authentication scheme      : local

   Default authorization scheme       : local

   Default accounting scheme          : local

   Login authentication scheme        : hwtacacs:shebeiguanli, local

   Login authorization scheme         : hwtacacs:shebeiguanli, local

   Login accounting scheme            : hwtacacs:shebeiguanli, local

   Command authorization scheme       : hwtacacs:shebeiguanli, local

   Domain User Template:

   Idle-cut : Disabled

   Self-service : Disabled

   Authorization attributes:

 

 

 

至此,S3600 hwtacacs典型组网配置案例已完成!


0 个评论

该案例暂时没有网友评论

编辑评论

举报

×

侵犯我的权益 >
对根叔知了社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明

提出建议

    +

亲~登录后才可以操作哦!

确定

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作