MSR路由器
HWTACACS认证功能的配置
关键词:MSR;HWTACACS
一. 组网需求:
172.32.29.1是HWTACACS SERVER,172.32.30.1是接入访问服务器NAS(MSR20-20)。用户输入的用户名和密码都将发送到HWTACACS SERVER进行验证,验证通过则允许用户登陆。
二. 组网图:
三. 配置步骤:
实验使用设备及版本:MSR20-20,Version 5.20, Beta 1106
NAS配置
#
sysname NAS
#
hwtacacs scheme hwt //配置HWTACACS方案
primary authentication 172.32.29.1
primary authorization 172.32.29.1
primary accounting 172.32.29.1
key authentication msr
key authorization msr
key accounting msr
user-name-format without-domain
#
domain hwt //配置hwt域
authentication default hwtacacs-scheme hwt
authorization default hwtacacs-scheme hwt
accounting default hwtacacs-scheme hwt
access-limit disable
state active
idle-cut disable
self-service-url disable
#
local-user user
password simple hello
service-type telnet
#
interface Ethernet0/0
port link-mode route
ip address 172.32.29.2 255.255.255.0
#
interface Ethernet0/1
port link-mode route
ip address 172.32.30.1 255.255.255.0
#
user-interface con 0
user-interface aux 0
user-interface vty 0 4
authentication-mode scheme //配置Telnet用户采用AAA认证方式
四. 配置关键点:
1、配置HWTACACS方案。在方案中配置服务器的IP地址、共享密钥等。
2、配置用户所在的域。在域中关联HWTACACS方案。
3、在user-interface下配置用户采用的认证方式为AAA方式。
4、服务器的配置请参考《CiscoSecure ACS认证服务器使用简介》。
五. 实验分析
1、HWTACACS协议的配置是以HWTACACS方案为单位进行的。在进行HWTACACS协议的其他相关配置之前,必须先创建HWTACACS方案并进入其视图。
2、用户名通常采用“userid@isp-name”格式,“@”后面的部分为域名。如果TACACS服务器不接受带域名的用户名时,可以配置将用户名的域名去除后再传送给TACACS服务器。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作