• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

使用iMC TAM组件对设备登陆用户进行认证授权审计的典型配置

2021-12-29 发表
  • 0关注
  • 0收藏 655浏览
粉丝:1人 关注:0人

组网及说明

某局点网络比较复杂,在网设备较多,网管人员均通过telnet方式来管理设备。在整个管理过程中,有诸如账号管理、配置操作审计以及权限管理等方面的问题。鉴于此,客户有如下需求:

1)所有telnet/ssh账号保存在服务器,进行统一管理。

2)所有账号在现有账号权限级别的基础上,限制某些危险操作,如reset命令。

3)所有账号登陆设备的操作都有迹可循,以便在出现问题之后便于回溯。

设备上保留一全权限账号,该账号仅有相关维护组主管可知,其他账号不可以在设备上新建远程账号。

下图中,iMC TAM代表AAA服务器,H3C为网络中设备,USER为网管人员登录终端。


配置步骤

整个配置涉及到设备侧的配置和TAM服务器侧的配置。

1 TAM服务器侧配置

1)   将设备添加到iMC平台,该步骤为可选步骤。设备上配置为基本的SNMP配置,如下:

snmp-agent

snmp-agent community read public

snmp-agent community write private

snmp-agent sys-info version all

snmp-agent target-host trap address udp-domain 192.168.3.130 params securityname public v2c

iMC首页点击【资源】>【增加设备】,输入设备的管理IP地址以及SNMP参数之后,便可将设备成功添加到iMC平台中去,见下图:


2)   配置设备区域,操作员可以基于多种维度来划分设备区域,例如按照设备所处的层次地位划分、按照地理位置划分等。依次点击【用户】>【设备用户策略管理】>【授权场景条件】>【设备区域管理】>【增加设备区域】便可添加一设备区域,本例中以device zone 01为例,见下图:


3)   增加授权时段策略,授权时段主要用来控制网络管理员可以登陆设备进行操作的时间段。依次点击【用户】>【设备用户策略管理】>【授权场景条件】>【授权时段策略管理】>【增加授权时段策略】便可完成一个授权时段的创建。本例以authorization time-range01为例,要求只能在上班时间对网络设备进行操作,见下图:


4)   增加用户shell profileshell profile将来会被授权策略调用。主要用来限定调用该授权策略的管理员用户的权限级别。依次点击【用户】>【设备用户策略管理】>【授权命令配置】>shell profile配置】>【增加shell profile,便可增加一shell profile。本文中以增加shell profile名称shell profile 1为例,规定其授权级别为3。见下图:


5)   增加授权命令集,授权命令集将来会被授权策略调用。主要为用来限制在用户shell profile所规定的权限范围内某些命令的执行权限。如针对H3C设备,当用户shell profile中规定的授权权限级别为3时,理论上该用户可以在H3C设备执行所有命令,通过授权命令集,可以规定其在该权限级别内可以执行哪些命令,不可以执行哪些命令。依次点击【用户】>【设备用户策略管理】>【授权命令配置】>【命令集配置】>【增加命令集】,便可增加一个授权命令集。本例中,限制登陆用户执行dirresetlocal-user等受限命令,其他命令不受限制。见下图:


6)   配置授权策略,授权策略为设备区域、设备类型、授权时段、shell profile以及授权命令集的组合,从该5个维度规定了网络管理员用户的功能权限集。依次点击【用户】>【设备用户策略管理】>【授权策略管理】>【增加授权策略】,便可增加一授权策略,授权策略中可以包个组合的授权信息,授权信息之间的优先级可以调整,见下图:


7)   配置设备用户分组,设备用户分组为一个管理逻辑层面的概念,在客户局点层面可以应用为行政分组。 依次点击【用户】>【设备用户管理】>【设备用户分组】>【增加】即可增加一个设备用户分组,本例中以device user group 01为例,见下图:


8)   增加设备用户,设备用户为最终网络管理员telnet/ssh到网络设备时需要用到的用户名。依次点击【用户】>【设备用户管理】>【所有设备用户】>【增加设备用户】,按照要求填写用户密码以及授权策略等信息之后,便可成功创建一个设备用户。见下图:


2 设备侧telnet访问相关配置

1)  hwtacacs scheme相关配置,本文以hwtacacs scheme test为例,配置内容如下:

hwtacacs scheme test

primary authentication 192.168.3.130

secondary authentication 127.0.0.1

primary authorization 192.168.3.130

secondary authorization 127.0.0.1

primary accounting 192.168.3.130

secondary accounting 127.0.0.1

nas-ip 192.168.3.249

key authentication 123456

key authorization 123456

key accounting 123456

192.168.3.130TAM服务器的IP地址,其中设备用户的认证、授权以及计费配置均指向该服务器。127.0.0.1为备选本地认证服务器,主要为防止TAM服务器宕机导致设备用户无法登陆的情况出现。

2)  创建设备登陆用户所调用的domain,配置内容如下:

domain tam

authentication login hwtacacs-scheme test

authorization login hwtacacs-scheme test

accounting login hwtacacs-scheme test

authorization command hwtacacs-scheme test

accounting command hwtacacs-scheme test

access-limit disable

state active

idle-cut disable

self-service-url disable

domain 认证、授权以及计费策略调用的schemetest, authorization command主要用来配置命令行授权所调用的schemeaccounting command用来配置命令行审计所调用的scheme

3)  配置设备vty,配置内容如下:

user-interface aux 0

user-interface vty 0 4

authentication-mode scheme

command authorization

command accounting

该配置指定设备用户登陆时调用scheme模式。command authorization为启用设备将命令行上送至TAM以便授权功能,对应TAM配置中的授权命令集,如果该处未配置该命令,则TAM上授权命令集配置无效。command accounting

为启用设备将命令行上送至TAM以便审计,如果未配置该命令,则在TAM上无法看到设备用户的操作细节。

4)  配置local-user,本地用户仅允许用户网管人员主管知晓,以便在TAM服务器宕机之后,网络管理员可以登陆设备进行相关操作。本文中以本地用户admin,密码admin,权限为3为例,具体配置不再赘述。

3设备用户登陆验证

1)  test01@tam账号登陆H3C设备,能登陆成功,但无权限执行dir等命令,见下图:


可以在TAM服务器上看到相关详细的授权日志信息,表明该命令行已经被拒绝执行。见下图:


2)  在设备VTY口中删除command authorization配置,则dir命令可以成功执行,见下图:


3)  在设备VTY口中删除command accounting之后,在审计日志中则无法查看设备管理员的操作记录,见下图:


配置关键点

在整个操作过程中,需要保证设备和iMC TAM之间hwtacacs可达,如果有防火墙,请放通相关端口。

TAM侧认证、授权以及计费key必须与设备侧配置一致。

0 个评论

该案例暂时没有网友评论

编辑评论

举报

×

侵犯我的权益 >
对根叔知了社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作