S3600系列交换机SSH-rsa方式配合HWtacacs认证的配置

S3600系列交换机SSH-rsa方式配合HWtacacs认证的配置

一      组网需求：

通过SSH方式登录设备，但是必须通过远程HWtacacs认证之后，才可以登录到设备。下面拓扑中服务器的地址为192.168.0.15/24，S5600的vlan 1虚接口地址为192.168.0.1/24，pc的地址为192.168.0.2/24，都在vlan 1内。

二      组网图：

三      配置步骤：

1．进入系统视图

<H3C>system-view

2．配置HWtacacs策略

[H3C]hwtacacs scheme 3com                                                          

[H3C-hwtacacs-3com]primary authentication 192.168.0.15                                           

[H3C-hwtacacs-3com]primary authorization 192.168.0.15                                            

[H3C-hwtacacs-3com]primary accounting 192.168.0.15                                               

[H3C-hwtacacs-3com]key authentication expert                                                     

[H3C-hwtacacs-3com]key authorization expert                                                       

[H3C-hwtacacs-3com]user-name-format without-domain

3．配置HWtacacs认证的域名

[H3C-hwtacacs-3com]quit

[H3C]domain 3com

4．把域跟策略对应起来

[H3C-isp-3com] scheme hwtacacs-scheme Huawei

[H3C-isp-3com]accounting optional

5．把域3com设定为默认域

[H3C-isp-3com]quit

[H3C]domain default enable 3com

6．创建一个虚接口地址，并且让这个虚接口up起来

[H3C]inter vlan 1

[H3C-vlan-interface1]ip add 192.168.0.1 24

7．配置ssh方式登录设备

[H3C-vlan-interface1]quit

[H3C]user-interface vty 0 4                                                          

[H3C-ui-vty0-4]authentication-mode scheme                                                    

[H3C-ui-vty0-4]user privilege level 3                                                        

[H3C-ui-vty0-4]protocol inbound ssh

8．配置ssh的rsa方式，在服务器上已经配置了lelsw的用户，指定用户lelsw的登录协议为SSH，认证方式为RSA公钥认证

[H3C-ui-vty0-4]quit

[H3C] ssh user lelsw authentication-type rsa

9．在支持SSH2.0的客户端软件上，随机产生RSA密钥对，并将公钥部分传送到服务器端。在服务器端配置客户端的公钥，指定公钥名称为abc。

[H3C] rsa peer-public-key H3C002

[H3C-rsa-public-key] public-key-code begin

[H3C-rsa-key-code] 308186028180739A291ABDA704F5D93DC8FDF84C427463

[H3C-rsa-key-code] 1991C164B0DF178C55FA833591C7D47D5381D09CE82913

[H3C-rsa-key-code] D7EDF9C08511D83CA4ED2B30B809808EB0D1F52D045DE4

[H3C-rsa-key-code] 0861B74A0E135523CCD74CAC61F8E58C452B2F3F2DA0DC

[H3C-rsa-key-code] C48E3306367FE187BDD944018B3B69F3CBB0A573202C16

[H3C-rsa-key-code] BB2FC1ACF3EC8F828D55A36F1CDDC4BB45504F020125

[H3C-rsa-key-code] public-key-code end

[H3C-rsa-public-key] peer-public-key end

[H3C] ssh user lelsw assign rsa-key abc

四      配置关键点：

1．一定要选择默认的域为新创建的域，否则会使用默认的system域；

2．当配置[H3C] ssh user lelsw authentication-type rsa这条命令后，使用dis cur命令察看，会相应的出现ssh user lelsw service-type stelnet这条命令；

3．Rsa方式用putty来登陆，用putty时先加入private私钥。用户名和密码都设置在ACS3.1服务器上。

4．本案例还适用于H3C SS3610、S5510、S5500、S5600等系列交换机。