H3C S5500 与微软IAS配合对SSH用户做Radius认证的典型配置
一、 组网需求:
对登录交换机的SSH管理用户进行远程RADIUS认证,RADIUS服务器为微软IAS服务器。微软IAS和交换机之间三层路由互联。
二、 组网图:
PC 通过SSH对S5500设备进行管理,SSH用户到IAS Server上认证。
三、 配置步骤:
1. IAS Server 侧配置
IAS 的安装在此忽略,如需安装请参照微软IAS服务器的安装指导。
(1) 修改IAS数据库文件添加私有属性值
使用Access数据库工具修改数据库文件C:\WINDOWS\system32\ias\ dnary.mdb . 在数据库的表Enumerators中添加一行
Name Enumerates Value
SSH 15 50
(2) 添加客户端
在2003server上,打开Internet验证服务(开始->程序->管理工具->Internet验证服务)
左侧窗口中选择”RADIUS 客户端”,在右侧窗口中点击鼠标右键,在右键菜单中选择”新建 RADIUS 客户端”,创建客户端,
客户端的IP为交换机与server连接的上行接口的IP,点击“验证”
点击“解析”,然后“确定”,回到“新建客户端”界面,点击“下一步”,设置共享密钥,此处举例为“ias”
点击“完成”,客户端建立完毕,此时在客户端列表中可以看到刚才建立的“ias”客户端。
(3) 创建远程访问策略
Internet验证服务的左侧窗口中选择“远程访问策略”,在右侧窗口中点击鼠标右键,在右键菜单中选择“新建远程访问策略” 。
出现新建向导,
点击下一步,
输入策略名,点击下一步,
选择“以太网”,点击“下一步”
如果没有创建组,先选择用户,点击“下一步”
认证EAP类型此处可以默认,之后根据需要可以修改,点击“下一步”
点击“完成”,在列表中可以看到新创建的policy访问策略,双击进入属性编辑界面,
选择“授予远程访问权限”,这样policy远程访问策略就完全被激活了,
可以根据需要配置策略状况,本例中我们需要添加NAS-Port-Type 是virtual的类型,如下可以先删除Ethernet,然后点击添加Ethernet or Virtual的匹配策略
点击确定即可成功添加
选择“编辑配置文件”进入配置界面
选择“高级”选项卡,即可以添加下发属性
点击“添加”,选择“Login-Service”
双击所选项后,在属性值的下拉单中选择我们前面自定义的“SSH”
继续添加属性,选择“Vendor-Specific”
双击出现下面界面
点击“添加” ,添加权限下发的私有属性,输入供应商代码:2011
指明属性“符合”RADIUS RFC规格中的供应商特有属性。
然后点击配置属性, 填入下图内容
其中属性值栏可以填入0,1,2,3代表各级访问权限。点击确定后添加成功。
2. 设备侧配置
(1) 配置Radius Scheme
[H3C]radius scheme ias
[H3C-radius-ias] server-type extended
[H3C-radius-ias] primary authentication 192.168.2.2
[H3C-radius-ias] primary accounting 192.168.2.2
[H3C-radius-ias] key authentication ias
[H3C-radius-ias] key accounting ias
[H3C-radius-ias] user-name-format without-domain
[H3C-radius-ias] nas-ip 192.168.2.254
(2) 配置domain
[H3C]domain h3c
[H3C-isp-h3c] authentication login radius-scheme ias
[H3C-isp-h3c] authorization login radius-scheme ias
[H3C-isp-h3c] accounting login radius-scheme ias
[H3C-isp-h3c] accounting optional
(3) 配置默认domain
[H3C] domain default enable h3c
(4) 配置user-interface
[H3C] user-interface vty 0 4
[H3C-ui-vty0-4] authentication-mode scheme
[H3C-ui-vty0-4] user privilege level 3
(5) 配置SSH
[H3C] ssh server enable
[H3C] ssh user bruce service-type stelnet authentication-type password
四、 配置关键点:
(1) 需要修改IAS的数据库配置文件,添加Login-Service 为50的私有属性作为SSH的登录类型。
(2) 需要在远程访问策略中添加NAS-Port-Type 为Virtual的匹配项
(3) 需要下发29号私有属性定义的权限级别
(4) IAS Client配置的key值需要与设备上Radius Scheme配置的key一致
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作