问题描述:
S5110交换机配置radiu认证,radius认证失败后,可以切换到本地认证SSH,这个应该如何配置操作呢,操作机型为S5110
组网及组网描述:
- 2023-02-28提问
- 举报
-
(0)
最佳答案
Telnet用户的local认证、HWTACACS授权、RADIUS计费配置
1. 组网需求
如下图所示,Telnet用户主机与Switch直接相连,Switch分别与一台RADIUS服务器和一台HWTACACS服务器相连,需要实现对登录Switch的Telnet用户进行local认证,HWTACACS授权和RADIUS计费。
· 一台HWTACACS服务器(担当授权服务器的职责)与Switch相连,服务器IP地址为10.1.1.2。Switch与授权HWTACACS服务器交互报文时的共享密钥为expert,发送给HWTACACS服务器的用户名中不带域名。
· 一台RADIUS服务器(担当计费服务器的职责)与Switch相连,服务器IP地址为10.1.1.1。Switch与计费RADIUS服务器交互报文时的共享密钥为expert。
2. 组网图
图1-10 Telnet用户local认证、HWTACACS授权和RADIUS计费配置组网图
3. 配置步骤
# 配置各接口的IP地址(略)。
# 开启Switch的Telnet服务器功能。
<Switch> system-view
[Switch] telnet server enable
# 配置Telnet用户登录采用AAA认证方式。
[Switch] user-interface vty 0 15
[Switch-ui-vty0-15] authentication-mode scheme
[Switch-ui-vty0-15] quit
# 配置HWTACACS方案。
[Switch] hwtacacs scheme hwtac
[Switch-hwtacacs-hwtac] primary authorization 10.1.1.2 49
[Switch-hwtacacs-hwtac] key authorization expert
[Switch-hwtacacs-hwtac] user-name-format without-domain
[Switch-hwtacacs-hwtac] quit
# 配置RADIUS方案。
[Switch] radius scheme rd
[Switch-radius-rd] primary accounting 10.1.1.1 1813
[Switch-radius-rd] key accounting expert
[Switch-radius-rd] server-type extended
[Switch-radius-rd] user-name-format without-domain
[Switch-radius-rd] quit
# 创建本地用户hello。
[Switch] local-user hello
[Switch-luser-hello] service-type telnet
[Switch-luser-hello] password simple hello
[Switch-luser-hello] quit
# 配置ISP域的AAA方法。
[Switch] domain bbb
[Switch-isp-bbb] authentication login local
[Switch-isp-bbb] authorization login hwtacacs-scheme hwtac
[Switch-isp-bbb] accounting login radius-scheme rd
[Switch-isp-bbb] quit
4. 验证配置结果
用户向Switch发起Telnet连接,在Telnet客户端按照提示输入用户名hello@bbb和正确的密码后,可成功进入Switch的用户界面。在Switch上可以通过display connection命令查看到AAA用户的连接信息。
- 2023-02-28回答
- 评论(1)
- 举报
-
(0)
在域内调用radius方案的时候,后面加上local。新版本中应该是认证失败也能切换的
(3) (可选)为当前ISP域配置缺省的认证方法。
authentication default { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | ldap-scheme ldap-scheme-name [ local ] [ none ] | local [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }
缺省情况下,当前ISP域的缺省认证方法为local。
【使用指导】
当前ISP域的缺省的认证方法对于该域中未指定具体认证方法的所有接入用户都起作用,但是如果某类型的用户不支持指定的认证方法,则该认证方法对于这类用户不能生效。
可以指定多个备选的认证方法,在当前的认证方法无效时按照配置顺序尝试使用备选的方法完成认证。例如,radius-scheme radius-scheme-name local none表示,先进行RADIUS认证,若RADIUS认证无效则进行本地认证,若本地认证也无效则不进行认证。
- 2023-02-28回答
- 评论(0)
- 举报
-
(0)
domain login-in
authentication login radius-scheme login-in local
先login-in,再local
- 2023-02-28回答
- 评论(0)
- 举报
-
(0)
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
有点问题,我们这边只有一个radius服务器,是想实现先弹出radius认证,如果认证不通过,那么会自动切换到3A的SSH认证