AAA认证问题
- 1关注
- 1收藏,2787浏览
问题描述:
1、客户现场华三交换机,都配置了AAA,后台radius服务器,只做认证,不授权。
2、客户需要实现的需求:AAA认证,用户登录成功后,自动获得管理员权限(服务器端无法授权)
3、V7平台可以通过,role default-role enable network-admin 来实现,命令解释:对于通过AAA认证登录设备的用户,由服务器为其授权用户角色。如果用户没有被授权任何用户角色,将无法成功登录设备。为此,设备提供了一个缺省用户角色授权功能。使能该功能后,用户在没有被服务器授权任何角色的情况下,将具有一个缺省的用户角色,该缺省用户角色可以通过参数配置为系统中已存在的任意用户角色。
4、但是V5平台没有这条命令,客户又不愿意通过super 之后来获取权限,请问V5有role default-role enable network-admin对应的命令吗?
组网及组网描述:
radius scheme A |
primary authentication 1.1.1.111 |
secondary authentication 1.1.1.112 |
key authentication simple 44444 |
user-name-format without-domain |
domain A |
authentication login radius-scheme A local |
authorization login radius-scheme A local |
accounting login none |
role default-role enable network-admin V5没有这条命令 |
domain default enable A |
- 2021-09-09提问
- 举报
-
(0)
最佳答案
以下是V5部署tacacs的配置举例,请参考:
本案例采用S5500部署hwtacacs,与IMC TAM进行联动,达到设备安全管理的效果。
IMC版本为PLAT 7.3 E0506P03
S5500版本信息:
H3C Comware Platform Software
Comware Software, Version 5.20, Release 5206
Copyright (c) 2004-2013 Hangzhou H3C Tech. Co., Ltd. All rights reserved.
H3C S5500-58C-HI uptime is 90 weeks, 5 days, 6 hours, 42 minutes
H3C S5500-58C-HI with 2 Processors
1024M bytes SDRAM
4096K bytes Nor Flash Memory
512M bytes Nand Flash Memory
Hardware Version is REV.C
CPLD Version is 003
Bootrom Version is 211
[SubSlot 0] 48GE+4SFP+2SFP PLUS Hardware Version is REV.C
特别说明:
1、要部署hwtacacs的设备已经在IMC进行了纳管。
2、要部署hwtacacs的设备已经和IMC网络互通。
3、要部署hwtacacs的设备需要提前开启远程管理的功能,并创建用户及赋予权限,待设备和服务器都部署完 tacacs后,需要使用服务器上的tacacs账号对设备进行远程登陆管理,当tacacs服务器挂掉了,才可以使用 设备的本地用户远程登陆管理。
配置步骤
1、授权场景条件:
设备区域管理、设备类型管理、授权时段策略管理
2、授权命令配置:
Shell profile配置、命令集配置
3、设备管理:
配置共享密钥、绑定设备区域、绑定设备类型
4、添加用户名、密码
5、S5500部署hwtacacs
配置关键点
IMC侧配置如下:
配置“授权场景条件”
添加“设备区域管理”
设置“区域名称”
设置“设备类型管理”
增加
设置“授权时段策略管理”
增加,设置“授权时段策略名称”、“生效时间”、“失效时间”
设置“授权命令配置”-“shell profile配置”
设置“shell profile名称”-“授权级别”
设置“命令集配置”
设置“命令集名称”、“缺省授权方式”
配置“设备管理”
增加设备,设置“共享密钥”、“确认共享密钥”,绑定“设备区域”、“设备类型”
配置“授权管理”
绑定“设备区域”-“设备类型”-“授权时段”-“shell profile”-“授权命令集”
配置“用户设备分组”,设置“分组名称”-“授权策略”
设置“设备用户管理”-“所有设备用户”
设置“账号名”-“登陆密码”-“登陆密码确认”-“设备用户分组”-“用户的授权策略”
S5500 hwtacacs部署如下:
1、部署hwtacacs:
hwtacacs scheme shebeiguanli
primary authentication 10.190.8.7
primary authorization 10.190.8.7
primary accounting 10.190.8.7
nas-ip 10.190.0.196
key authentication cipher $c$3$cfGkloFkI4gPycbjPGJU0ycuqcn6cajnIJtsRBo=
key authorization cipher $c$3$xaEme+UbBnijKIztJvElrByux984yGIf/x/deG8=
key accounting cipher $c$3$owN6PJUawje2DzODvLdR9UMEcnfMTB9aYWFiRtc=
user-name-format without-domain
2、部署domain:
domain tamdm
authentication login hwtacacs-scheme shebeiguanli local
authorization login hwtacacs-scheme shebeiguanli local
accounting login hwtacacs-scheme shebeiguanli local
authorization command hwtacacs-scheme shebeiguanli local
accounting command hwtacacs-scheme shebeiguanli
access-limit disable
state active
idle-cut disable
self-service-url disable
3、部署默认domain:
domain default enable tamdm
4、查看hwtacacs显示信息:
dis hwtacacs
HWTACACS scheme name : shebeiguanli
Primary Authen Server:
IP: 10.190.8.7 Port: 49 State: Active
VPN instance : Not configured
Encryption Key : Not configured
Primary Author Server:
IP: 10.190.8.7 Port: 49 State: Active
VPN instance : Not configured
Encryption Key : Not configured
Primary Account Server:
IP: 10.190.8.7 Port: 49 State: Active
VPN instance : Not configured
Encryption Key : Not configured
NAS IP address : 10.190.0.196
Authentication key : ******
Authorization key : ******
Accounting key : ******
VPN instance : Not configured
Quiet interval(min) : 5
Realtime accounting interval(min) : 12
Response timeout interval(sec) : 5
Retransmission times of stop-accounting packet : 100
Username format : without-domain
Data flow unit : Byte
Packet unit : one
---------------------------------------------------------------------------
Total 1 HWTACACS scheme(s).
、查看domain显示信息:
dis domain
0 Domain : system
State : Active
Access-limit : Disabled
Accounting method : Required
Default authentication scheme : local
Default authorization scheme : local
Default accounting scheme : local
Domain User Template:
Idle-cut : Disabled
Self-service : Disabled
Authorization attributes:
1 Domain : tamdm
State : Active
Access-limit : Disabled
Accounting method : Required
Default authentication scheme : local
Default authorization scheme : local
Default accounting scheme : local
Login authentication scheme : hwtacacs:shebeiguanli, local
Login authorization scheme : hwtacacs:shebeiguanli, local
Login accounting scheme : hwtacacs:shebeiguanli, local
Command authorization scheme : hwtacacs:shebeiguanli, local
Command accounting scheme : hwtacacs:shebeiguanli
Domain User Template:
Idle-cut : Disabled
Self-service : Disabled
Authorization attributes:
Default Domain Name: tamdm
Total 2 domain(s).
至此,S5500 hwtacacs典型组网配置案例已完成!
- 2021-09-09回答
- 评论(0)
- 举报
-
(0)
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论