S5110交换机配置radiu认证,radius认证失败后,可以切换到本地认证SSH,这个应该如何配置操作呢,操作机型为S5110
(0)
最佳答案
如下图所示,Telnet用户主机与Switch直接相连,Switch分别与一台RADIUS服务器和一台HWTACACS服务器相连,需要实现对登录Switch的Telnet用户进行local认证,HWTACACS授权和RADIUS计费。
· 一台HWTACACS服务器(担当授权服务器的职责)与Switch相连,服务器IP地址为10.1.1.2。Switch与授权HWTACACS服务器交互报文时的共享密钥为expert,发送给HWTACACS服务器的用户名中不带域名。
· 一台RADIUS服务器(担当计费服务器的职责)与Switch相连,服务器IP地址为10.1.1.1。Switch与计费RADIUS服务器交互报文时的共享密钥为expert。
图1-10 Telnet用户local认证、HWTACACS授权和RADIUS计费配置组网图
# 配置各接口的IP地址(略)。
# 开启Switch的Telnet服务器功能。
<Switch> system-view
[Switch] telnet server enable
# 配置Telnet用户登录采用AAA认证方式。
[Switch] user-interface vty 0 15
[Switch-ui-vty0-15] authentication-mode scheme
[Switch-ui-vty0-15] quit
# 配置HWTACACS方案。
[Switch] hwtacacs scheme hwtac
[Switch-hwtacacs-hwtac] primary authorization 10.1.1.2 49
[Switch-hwtacacs-hwtac] key authorization expert
[Switch-hwtacacs-hwtac] user-name-format without-domain
[Switch-hwtacacs-hwtac] quit
# 配置RADIUS方案。
[Switch] radius scheme rd
[Switch-radius-rd] primary accounting 10.1.1.1 1813
[Switch-radius-rd] key accounting expert
[Switch-radius-rd] server-type extended
[Switch-radius-rd] user-name-format without-domain
[Switch-radius-rd] quit
# 创建本地用户hello。
[Switch] local-user hello
[Switch-luser-hello] service-type telnet
[Switch-luser-hello] password simple hello
[Switch-luser-hello] quit
# 配置ISP域的AAA方法。
[Switch] domain bbb
[Switch-isp-bbb] authentication login local
[Switch-isp-bbb] authorization login hwtacacs-scheme hwtac
[Switch-isp-bbb] accounting login radius-scheme rd
[Switch-isp-bbb] quit
用户向Switch发起Telnet连接,在Telnet客户端按照提示输入用户名hello@bbb和正确的密码后,可成功进入Switch的用户界面。在Switch上可以通过display connection命令查看到AAA用户的连接信息。
(0)
有点问题,我们这边只有一个radius服务器,是想实现先弹出radius认证,如果认证不通过,那么会自动切换到3A的SSH认证
在域内调用radius方案的时候,后面加上local。新版本中应该是认证失败也能切换的
(3) (可选)为当前ISP域配置缺省的认证方法。
authentication default { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | ldap-scheme ldap-scheme-name [ local ] [ none ] | local [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }
缺省情况下,当前ISP域的缺省认证方法为local。
【使用指导】
当前ISP域的缺省的认证方法对于该域中未指定具体认证方法的所有接入用户都起作用,但是如果某类型的用户不支持指定的认证方法,则该认证方法对于这类用户不能生效。
可以指定多个备选的认证方法,在当前的认证方法无效时按照配置顺序尝试使用备选的方法完成认证。例如,radius-scheme radius-scheme-name local none表示,先进行RADIUS认证,若RADIUS认证无效则进行本地认证,若本地认证也无效则不进行认证。
(0)
domain login-in
authentication login radius-scheme login-in local
先login-in,再local
(0)
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
有点问题,我们这边只有一个radius服务器,是想实现先弹出radius认证,如果认证不通过,那么会自动切换到3A的SSH认证