问题描述:
能否使用Windows NPS做radius服务器, 通过SSH登录交换机的时候使用AD账号进行认证?是否有相关配置案例或文档?
- 2024-01-24提问
- 举报
-
(0)
您好,请知:
可以的。
以下是配置案例,请参考:
1.18.4 SSH用户的LDAP认证配置
1. 组网需求
配置Switch实现使用LDAP服务器对登录Switch的SSH用户进行认证,且认证通过后具有缺省的用户角色level-0。
· 一台LDAP认证服务器与Switch相连,服务器IP地址为10.1.1.1。服务器域名为***.***。
· 在LDAP服务器上设置管理员administrator的密码为admin!123456;并添加用户名为aaa的用户,密码为ldap!123456。
2. 组网图
图1-17 SSH用户LDAP认证配置组网图
3. 配置LDAP服务器
本文以Microsoft Windows 2003 Server的Active Directory为例,说明该例中LDAP服务器的基本配置。
(1) 添加用户aaa
a. 在LDAP服务器上,选择[开始/管理工具]中的[Active Directory用户和计算机],打开Active Directory用户管理界面;
b. 在Active Directory用户管理界面的左侧导航树中,点击***.***节点下的“Users”按钮;
c. 选择[操作/新建/用户],打开[新建对象-用户]对话框;
d. 在对话框中输入用户登录名aaa,并单击<下一步>按钮。
图1-18 新建用户aaa
e. 在弹出的对话框的“密码”区域框内输入用户密码ldap!123456,并单击<下一步>按钮。用户账户的其它属性(密码的更改方式、密码的生存方式、是否禁用账户)请根据实际情况选择配置,图中仅为示例。
图1-19 设置用户密码
f. 单击<完成>按钮,创建新用户aaa。
(2) 将用户aaa加入Users组
a. 在Active Directory用户管理界面的左侧导航树中,点击***.***节点下的“Users”按钮;
b. 在右侧的Users信息框中右键单击用户aaa,选择“属性”项;
c. 在弹出的[aaa属性]对话框中选择“隶属于”页签,并单击<添加(D)...>按钮。
图1-20 修改用户属性
d. 在弹出的[选择组]对话框中的可编辑区域框中输入对象名称“Users”,单击<确定>,完成用户aaa添加到Users组。
图1-21 添加用户aaa到用户组Users
(3) 配置管理员密码
a. 在右侧的Users信息框中右键单击管理员用户administrator,选择“设置密码(S)...”项;
b. 在弹出的密码添加对话框中设置管理员密码,详细过程略。
4. 配置Switch
# 配置各接口的IP地址,具体配置步骤略。
# 生成本地RSA及DSA密钥对。
<Switch> system-view
[Switch] public-key local create rsa
[Switch] public-key local create dsa
# 使能SSH服务器功能。
[Switch] ssh server enable
# 设置SSH用户登录用户线的认证方式为AAA认证。
[Switch] line vty 0 63
[Switch-line-vty0-63] authentication-mode scheme
[Switch-line-vty0-63] quit
# 创建LDAP服务器。
[Switch] ldap server ldap1
# 配置LDAP认证服务器的IP地址。
[Switch-ldap-server-ldap1] ip 10.1.1.1
# 配置具有管理员权限的用户DN。
[Switch-ldap-server-ldap1] login-dn cn=administrator,cn=users,dc=ldap,dc=com
# 配置具有管理员权限的用户密码。
[Switch-ldap-server-ldap1] login-password simple admin!123456
# 配置查询用户的起始目录。
[Switch-ldap-server-ldap1] search-base-dn dc=ldap,dc=com
[Switch-ldap-server-ldap1] quit
# 创建LDAP方案。
[Switch] ldap scheme ldap-shm1
# 配置LDAP认证服务器。
[Switch-ldap-ldap-shm1] authentication-server ldap1
[Switch-ldap-ldap-shm1] quit
# 创建ISP域bbb,为login用户配置AAA认证方法为LDAP认证、不授权、不计费。
[Switch] domain bbb
[Switch-isp-bbb] authentication login ldap-scheme ldap-shm1
[Switch-isp-bbb] authorization login none
[Switch-isp-bbb] accounting login none
[Switch-isp-bbb] quit
5. 验证配置
用户向Switch发起SSH连接,按照提示输入用户名aaa@bbb及正确的密码ldap!123456后,可成功登录Switch,并具有用户角色level-0所拥有的命令行执行权限。
- 2024-01-24回答
- 评论(0)
- 举报
-
(0)
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论