S3600系列交换机SSH-rsa方式配合HWtacacs认证的配置
一 组网需求:
通过SSH方式登录设备,但是必须通过远程HWtacacs认证之后,才可以登录到设备。下面拓扑中服务器的地址为192.168.0.15/24,S5600的vlan 1虚接口地址为192.168.0.1/24,pc的地址为192.168.0.2/24,都在vlan 1内。
二 组网图:
三 配置步骤:
1.进入系统视图
<H3C>system-view
2.配置HWtacacs策略
[H3C]hwtacacs scheme 3com
[H3C-hwtacacs-3com]primary authentication 192.168.0.15
[H3C-hwtacacs-3com]primary authorization 192.168.0.15
[H3C-hwtacacs-3com]primary accounting 192.168.0.15
[H3C-hwtacacs-3com]key authentication expert
[H3C-hwtacacs-3com]key authorization expert
[H3C-hwtacacs-3com]user-name-format without-domain
3.配置HWtacacs认证的域名
[H3C-hwtacacs-3com]quit
[H3C]domain 3com
4.把域跟策略对应起来
[H3C-isp-3com] scheme hwtacacs-scheme Huawei
[H3C-isp-3com]accounting optional
5.把域3com设定为默认域
[H3C-isp-3com]quit
[H3C]domain default enable 3com
6.创建一个虚接口地址,并且让这个虚接口up起来
[H3C]inter vlan 1
[H3C-vlan-interface1]ip add 192.168.0.1 24
7.配置ssh方式登录设备
[H3C-vlan-interface1]quit
[H3C]user-interface vty 0 4
[H3C-ui-vty0-4]authentication-mode scheme
[H3C-ui-vty0-4]user privilege level 3
[H3C-ui-vty0-4]protocol inbound ssh
8.配置ssh的rsa方式,在服务器上已经配置了lelsw的用户,指定用户lelsw的登录协议为SSH,认证方式为RSA公钥认证
[H3C-ui-vty0-4]quit
[H3C] ssh user lelsw authentication-type rsa
9.在支持SSH2.0的客户端软件上,随机产生RSA密钥对,并将公钥部分传送到服务器端。在服务器端配置客户端的公钥,指定公钥名称为abc。
[H3C] rsa peer-public-key H3C002
[H3C-rsa-public-key] public-key-code begin
[H3C-rsa-key-code] 308186028180739A291ABDA704F5D93DC8FDF84C427463
[H3C-rsa-key-code] 1991C164B0DF178C55FA833591C7D47D5381D09CE82913
[H3C-rsa-key-code] D7EDF9C08511D83CA4ED2B30B809808EB0D1F52D045DE4
[H3C-rsa-key-code] 0861B74A0E135523CCD74CAC61F8E58C452B2F3F2DA0DC
[H3C-rsa-key-code] C48E3306367FE187BDD944018B3B69F3CBB0A573202C16
[H3C-rsa-key-code] BB2FC1ACF3EC8F828D55A36F1CDDC4BB45504F020125
[H3C-rsa-key-code] public-key-code end
[H3C-rsa-public-key] peer-public-key end
[H3C] ssh user lelsw assign rsa-key abc
四 配置关键点:
1.一定要选择默认的域为新创建的域,否则会使用默认的system域;
2.当配置[H3C] ssh user lelsw authentication-type rsa这条命令后,使用dis cur命令察看,会相应的出现ssh user lelsw service-type stelnet这条命令;
3.Rsa方式用putty来登陆,用putty时先加入private私钥。用户名和密码都设置在ACS3.1服务器上。
4.本案例还适用于H3C SS3610、S5510、S5500、S5600等系列交换机。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作