S3600V2-52TP-EI 通过scheme远程不上
- 0关注
- 0收藏,531浏览
问题描述:
S3600V2-52TP-EI Version 5.20, Release 2108P01
这台设备我只要开启了scheme的方式,就没法远程,只有通过set password才能telnet远程,通过直接或者自己远程自己都不行,请问这是什么原因,我没办法改成SSH了,我试过重新生成RSA,也看了配置没有ACL限制,也没有账户连接数限制,还有什么可能导致我scheme模式远程不上,看现象似乎是账号密码不对,可我都增加了好几个账户了都不行
组网及组网描述:
- 2022-10-28提问
- 举报
-
(0)
2.3.5 配置通过Telnet Client登录设备时采用AAA认证(Scheme)
1. 配置前提
用户已经成功登录到了设备上,并希望以后通过Telnet登录设备时需要进行AAA认证。
缺省情况下,用户可以直接通过Console口本地登录设备,登录时认证方式为None(不需要用户名和密码),登录用户级别为3。如何在缺省情况下登录设备,具体请参见“2.2.2 缺省配置下如何通过Console口登录设备”。
2. 配置过程
表2-12 配置用户通过Telnet登录设备时采用AAA认证
操作 | 命令 | 说明 | ||
进入系统视图 | system-view | - | ||
使能设备的Telnet服务 | telnet server enable | 必选 缺省情况下,Telnet服务处于关闭状态 | ||
进入一个或多个VTY用户界面视图 | user-interface vty first-number [ last-number ] | - | ||
设置登录用户的认证方式为通过认证方案认证 | authentication-mode scheme | 必选 具体采用本地认证还是RADIUS认证、HWTACACS认证视AAA方案配置而定 缺省情况下采用本地认证方式 | ||
使能命令行授权功能 | command authorization | 可选 缺省情况下,没有使能命令行授权功能,即用户登录后执行命令行不需要授权 · 需要创建HWTACACS方案,在方案中指定授权服务器的IP地址以及授权过程的其它参数,详细介绍请参见“安全配置指导”中的“AAA” · 需要在ISP域中引用已创建的HWTACACS方案,详细介绍请参见“安全配置指导”中的“AAA” | ||
使能命令行计费功能 | command accounting | 可选 · 缺省情况下,没有使能命令行计费功能,即计费服务器不会记录用户执行的命令行 · 命令行计费功能用来在HWTACACS服务器上记录用户对设备执行过的命令(只要设备支持的命令,不管执行成功或者失败都会记录),以便集中监视、控制用户对设备的操作。命令行计费功能生效后,如果没有配命令行授权功能,用户执行的每一条命令都会发送到HWTACACS服务器上做记录;如果配置了命令行授权功能,则每一条授权成功的命令都会发送到HWTACACS服务器上做记录。 | ||
退出至系统视图 | quit | - | ||
配置设备采用的认证方案 | 进入ISP域视图 | domain domain-name | 可选 缺省情况下,系统使用的AAA方案为local 如果采用local认证,则必须进行后续的本地用户配置;如果采用RADIUS或者HWTACACS方式认证,则需进行如下配置: · 设备上的配置请参见“安全配置指导”中的“AAA” · AAA服务器上需要配置相关的用户名和密码,具体请参见服务器的指导书 | |
配置域使用的AAA方案 | authentication default { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] } | |||
退出至系统视图 | quit | |||
创建本地用户(进入本地用户视图) | local-user user-name | 缺省情况下,无本地用户 | ||
设置本地认证密码 | password [ [ hash ] { cipher | simple } password ] | 必选 缺省情况下,没有配置本地认证密码 FIPS模式下,删除参数[ hash ] { cipher | simple } password,并且以交互式方式设置本地用户密码 | ||
设置用户的命令级别 | authorization-attribute level level | 可选 缺省情况下,命令级别为0 | ||
设置用户的服务类型 | service-type telnet | 必选 缺省情况下,无用户的服务类型 | ||
退出至系统视图 | quit | - | ||
配置VTY用户界面的公共属性 | - | 可选 详细配置请参见“2.3.6 配置VTY用户界面的公共属性(可选)” | ||
使能命令行授权功能或命令行计费功能后,还需要进行如下配置才能保证命令行授权功能生效:
· 需要创建HWTACACS方案,在方案中指定授权服务器的IP地址以及授权过程的其它参数;
· 需要在ISP域中引用已创建的HWTACACS方案。
详细介绍请参见“安全配置指导”中的“AAA”。
需要注意的是用户采用Scheme认证方式登录设备时,其所能访问的命令级别取决于AAA方案中定义的用户级别。
· AAA方案为local认证时,用户级别通过authorization-attribute level level命令设定。
· AAA方案为RADIUS或者HWTACACS方案认证时,在相应的RADIUS或者HWTACACS服务器上设定相应用户的级别。
有关AAA、RADIUS、HWTACACS的详细内容,请参见“AAA配置指导”中的“AAA”。
配置完成后,当用户再次通过Telnet登录设备时:
· 设备将要求用户输入登录用户名和密码,正确输入用户名(此处以用户为123为例)和密码并回车,登录界面中出现命令行提示符(如<H3C>)。
· 如果用户输入正确的登录用户名和密码后,设备提示用户再次输入一个指定类型的密码,则表示当前用户需要进行二次密码认证,即用户还必须根据提示信息输入一个正确的密码后才能通过认证。
· 如果出现“All user interfaces are used, please try later!”的提示,表示当前Telnet到设备的用户过多,则请稍候再连接。
- 2022-10-28回答
- 评论(0)
- 举报
-
(0)
可参考以下配置:
# 使能 SSH 服务器功能。
[Router] ssh server enable
# 设置 Stelnet 客户端登录用户线的认证方式为 AAA 认证。
[Router] line vty 0 63
[Router-line-vty0-63] authentication-mode scheme
[Router-line-vty0-63] quit
# 创建设备管理类本地用户 sshuser,并设置密码为 admin,服务类型为 SSH,用户角色为
network-admin。
[Router] local-user sshuser class manage
[Router-luser-manage-sshuser] password simple admin
[Router-luser-manage-sshuser] service-type ssh
[Router-luser-manage-sshuser] authorization-attribute user-role network-admin
[Router-luser-manage-sshuser] quit
- 2022-10-28回答
- 评论(0)
- 举报
-
(0)
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论