H3C S5500 与微软IAS配合对SSH用户做Radius认证的典型配置

H3C S5500 与微软IAS配合对SSH用户做Radius认证的典型配置

 

一、  组网需求：

对登录交换机的SSH管理用户进行远程RADIUS认证，RADIUS服务器为微软IAS服务器。微软IAS和交换机之间三层路由互联。

二、  组网图：

      

PC 通过SSH对S5500设备进行管理，SSH用户到IAS Server上认证。

三、  配置步骤：

1. IAS Server 侧配置

IAS 的安装在此忽略，如需安装请参照微软IAS服务器的安装指导。

(1)  修改IAS数据库文件添加私有属性值

使用Access数据库工具修改数据库文件C:\WINDOWS\system32\ias\ dnary.mdb . 在数据库的表Enumerators中添加一行

Name                 Enumerates              Value

SSH                          15                        50

(2) 添加客户端

在2003server上，打开Internet验证服务（开始->程序->管理工具->Internet验证服务）

左侧窗口中选择”RADIUS 客户端”，在右侧窗口中点击鼠标右键，在右键菜单中选择”新建 RADIUS 客户端”,创建客户端，

客户端的IP为交换机与server连接的上行接口的IP，点击“验证”

点击“解析”，然后“确定”，回到“新建客户端”界面，点击“下一步”，设置共享密钥，此处举例为“ias”

点击“完成”，客户端建立完毕，此时在客户端列表中可以看到刚才建立的“ias”客户端。

(3)   创建远程访问策略

Internet验证服务的左侧窗口中选择“远程访问策略”，在右侧窗口中点击鼠标右键，在右键菜单中选择“新建远程访问策略” 。

出现新建向导，

点击下一步,

输入策略名，点击下一步，

选择“以太网”，点击“下一步”

如果没有创建组，先选择用户，点击“下一步”

认证EAP类型此处可以默认，之后根据需要可以修改，点击“下一步”

点击“完成”，在列表中可以看到新创建的policy访问策略，双击进入属性编辑界面，

选择“授予远程访问权限”，这样policy远程访问策略就完全被激活了，

可以根据需要配置策略状况，本例中我们需要添加NAS-Port-Type 是virtual的类型，如下可以先删除Ethernet，然后点击添加Ethernet or Virtual的匹配策略

点击确定即可成功添加

选择“编辑配置文件”进入配置界面

选择“高级”选项卡，即可以添加下发属性

点击“添加”，选择“Login-Service”

双击所选项后，在属性值的下拉单中选择我们前面自定义的“SSH”

继续添加属性，选择“Vendor-Specific”

双击出现下面界面

点击“添加” ，添加权限下发的私有属性,输入供应商代码:2011

指明属性“符合”RADIUS RFC规格中的供应商特有属性。

然后点击配置属性， 填入下图内容

其中属性值栏可以填入0，1，2，3代表各级访问权限。点击确定后添加成功。

2. 设备侧配置

(1) 配置Radius Scheme

[H3C]radius scheme ias

[H3C-radius-ias] server-type extended

[H3C-radius-ias] primary authentication 192.168.2.2

[H3C-radius-ias] primary accounting 192.168.2.2

[H3C-radius-ias] key authentication ias

[H3C-radius-ias] key accounting ias

[H3C-radius-ias] user-name-format without-domain

[H3C-radius-ias] nas-ip 192.168.2.254

(2) 配置domain

[H3C]domain h3c

[H3C-isp-h3c] authentication login radius-scheme ias

[H3C-isp-h3c] authorization login radius-scheme ias

[H3C-isp-h3c] accounting login radius-scheme ias

[H3C-isp-h3c] accounting optional

(3)  配置默认domain

[H3C] domain default enable h3c 

(4) 配置user-interface

[H3C]  user-interface vty 0 4

[H3C-ui-vty0-4]  authentication-mode scheme 

[H3C-ui-vty0-4]  user privilege level 3

(5) 配置SSH

[H3C] ssh server enable

[H3C] ssh user bruce service-type stelnet authentication-type password

四、  配置关键点：

(1)     需要修改IAS的数据库配置文件，添加Login-Service 为50的私有属性作为SSH的登录类型。

(2)     需要在远程访问策略中添加NAS-Port-Type 为Virtual的匹配项

(3)     需要下发29号私有属性定义的权限级别

(4)     IAS Client配置的key值需要与设备上Radius Scheme配置的key一致