• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 全部
  • 全部
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
高级搜索

V7AC管理用户认证典型配置案例(IMC作为RADIUS服务器)

2019-07-29 发表
  • 2关注
  • 1收藏,366浏览
粉丝:6人 关注:0人

组网及说明

配置需求或说明

1.1  适用场合。

适用于设备管理员登录设备时需要进行身份验证的场合。

1.2  配置需求及实现的效果

配置前需确保终端、设备、服务器相互连通。

设备管理员以Telnet 方式登录设备时,需要进行外置3A服务器进行身份验证,输入账户密码:aaa@device/aaaradius服务器进行验证,

只有验证通过后才能登录到设备进行操作。

IMC作为radius服务器,该实验中以iMC为例(使用iMC版本为:iMC PLAT 7.3(E0605)iMC EIA 7.3(E0504))。

组网图

Radius服务器IP192.168.1.218,设备IP地址为192.168.30.100



配置步骤

配置RADIUS服务器(IMC

1.1.1  增加接入设备

将需要管理的设备增加为 UAM 中的接入设备。

增加接入设备的方法如下:

(1)      选择“用户”页签。

(2)      单击导航树中的“接入策略管理> 接入设备管理 > 接入设备配置”菜单项,进入接入设备配置页面。

(3)      单击<增加>按钮,进入增加接入设备页面。


(4)      配置以下参数:

认证端口:输入认证端口,与设备上的配置保持一致,默认为 1812

计费端口:输入计费端口,与设备上的配置保持一致,默认为 1813

业务类型:本例选择“设备管理业务”,该类型适用于用户登录到设备进行管理的场景。

接入设备类型:在下拉框中选择设备的厂商和类型。下拉框中包含了StandardUAM 系统预定义和管理员自定义的厂商和类型。

接入设备分组:该参数在用户登录设备进行管理的场景不起作用,保持缺省值即可。

共享密钥:输入共享密钥,与设备命令行中的配置保持一致。

确认共享密钥:再次输入共享密钥。

业务分组:在下拉框中选择设备所属的业务分组。

设备列表:单击<手工增加>按钮,手工增加接入设备。如图3-3 所示。此处设置的IP地址必须与接入设备上nas-ip的配置一致。如果设备上未配置nas-ip,则使用设备与iMC相连的接口的IP



(5)    单击<确定>按钮,完成增加接入设备。   

1.1.2  增加设备管理用户

设备管理用户即可以登录并管理设备的用户。

增加设备管理用户的方法如下:

(1)      选择“用户”页签。

(2)      单击导航树中的“接入用户管理 > 设备管理用户”菜单项,进入设备管理用户页面。


(3)      单击<增加>按钮,进入增加设备管理用户页面。


 (4)      配置以下参数:

帐号名:输入登录设备时使用的用户名。

用户密码:输入登录设备时使用的密码。

密码确认:再次输入密码。

服务类型:选择服务类型,本案例选择 Telnet

EXEC 权限级别:输入设备管理用户的管理权限等级。不同设备的管理权限等级分级不同,请以设备为准,H3C 设备的管理权限分为0-3 级。

角色名:输入绑定的角色名。该参数表示设备管理用户登录设备后被下发的角色,目前仅H3C部分设备支持。保持为空即可。

绑定的用户IP地址列表:单击<增加>按钮,添加绑定的用户IP地址列表。设备管理用户只有使用属于该IP范围的终端才能登录设备。

所管理设备IP地址列表:单击<增加>按钮,添加所管理设备IP地址列表,设备管理用户只能管理该IP范围内的设备,因此应包含增加接入设备时配置的IP地址。



(5)      单击<确定>按钮,完成增加设备管理用户。

1.2  配置接入设备

(1)      #首次登入会出现如下提示,要求输入国家码。需要配置国家码为CN,如选择其他区域可能会造成部分功能无法使用。以下标红色部分为设备自动打印部分。加粗的CN是需要手动输入的国家码。

Press ENTER to get started.

Please set your country/region code.

Input ? to get the country code list, or input q to log out.

 CN

(2)      配置用户Telnet 登录时通过scheme 认证。

[H3C]user-interface vty 0 4

[H3C-ui-vty0-4]authentication-mode scheme

[H3C-ui-vty0-4]quit

(3)      配置RADIUS schemeIP 地址指向iMC UAM 服务器,监听端口、共享密钥需与iMC 中接入设备的配置保持一致。

[H3C]radius scheme 391

New Radius scheme

[H3C-radius-391]primary authentication 192.168.1.218 1812

[H3C-radius-391]primary accounting 192.168.1.218 1813

[H3C-radius-391]key authentication 123

[H3C-radius-391]key accounting 123

[H3C-radius-391]nas-ip 192.168.30.100

[H3C-radius-391]server-type extended

[H3C-radius-391]user-name-format with-domain

[H3C-radius-391]quit

(4)      创建domain。设置用户登录设备时都要经过RADIUS 方案391 的认证/授权/计费。

[H3C]domain device

New Domain added

[H3C-isp-device]authentication login radius-scheme 391

[H3C-isp-device]authorization login radius-scheme 391

[H3C-isp-device]accounting login radius-scheme 391

[H3C-isp-device]quit

1.3  登录设备

(1)      Telnet方式登录设备。


(2)      输入用户名和密码,其中用户名与iMC配置的设备管理用户的帐号名保持一致。


(3)      登录成功后,使用display users命令查看用户的详细信息。用户IP地址再绑定的用户IP范围内,用户的权限与IMC中添加的设备管理用户配置一致。




配置关键点

1、共享密钥配置一致

2、设备domain与用户的后缀保持一致,若设备登陆时未指定domain,需要在设备配置default domain

0 个评论

该案例暂时没有网友评论

编辑评论

举报

×

侵犯我的权益 >
对根叔知了社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明

提出建议

    +
<

亲~登录后才可以操作哦!

确定

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作