设备有radius认证的情况下,现在想用本低账号远程登录,怎么操作
- 0关注
- 0收藏,36浏览
问题描述:
如题
设备本身有radius模板,用的radius认证,现在创建了一个本地用户,想用别的设备telnet,但是输入用户名和密码后,就是登不上,一直显示让重新输入
Trying 172.28.13.53 ...
Press CTRL+K to abort
Connected to 172.28.13.53 ...
******************************************************************************
* Copyright (c) 2004-2022 New H3C Technologies Co., Ltd. All rights reserved.*
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
login: wwzx@admin
Password:
login: wwzx
Password:
login:
1. 检查VTY配置:display line vty 0 4,确认protocol inbound包含telnet;若用本地认证,需将VTY的authentication-mode设为local;若用AAA,需在AAA视图配置login authentication default local(Radius失败后调用本地)。
2. 检查本地用户:display local-user <用户名>,确认service-type为telnet、密码有效、状态active,用户级别与VTY默认level 0匹配。
3. 确认Telnet服务开启:display telnet server enable,未开则执行telnet server enable。
一、最稳妥:VTY 线路直接改成本地认证(不影响其他 RADIUS)
bash
运行
system-view
# 1. 把 VTY 改成只用本地认证,不走 radius
user-interface vty 0 15
authentication-mode scheme local # 关键:指定 login 用 local
protocol inbound telnet
quit
# 2. 确保本地用户正确(你要用来登录的账号)
local-user wwzx
password simple 你的密码
service-type telnet
authorization-attribute level 3
这样:Telnet/SSH 只认本地账号,其余认证(如 802.1x)继续走 radius。
二、改 ISP 域:登录优先本地、再 radius(全局)
如果你想全局先本地、后 radius:
bash
运行
system-view
# 1. 新建或修改认证方案:先 local 再 radius
aaa
authentication-scheme LOGIN_LOCAL_FIRST
authentication local radius
quit
# 2. 把默认域绑定这个方案
domain default
authentication login LOGIN_LOCAL_FIRST
quit
效果:输本地账号→直接过;输 radius 账号→本地不匹配再去 radius 校验。
三、只给管理用一个专用 VTY(安全、隔离)
bash
运行
system-view
# 只让 vty 15 用本地,其他 vty 继续 radius
user-interface vty 15
authentication-mode scheme local
protocol inbound telnet
quit
# 其余 vty 保持原 radius 认证
user-interface vty 0 14
authentication-mode scheme
quit
以后你 Telnet 时,专门用 vty 15 登录本地账号。
四、你现在登不上的常见原因(对照自查)
本地用户 service-type 不是 telnet
bash
运行
local-user wwzx
service-type telnet # 必须有
用户名带域(wwzx@admin),但本地没这个格式
本地直接输:wwzx,不要带 @域。
VTY 下 authentication-mode 不是 scheme
bash
运行
user-interface vty 0 15
authentication-mode scheme # 必须是 scheme
五、快速总结(一句话)
把 VTY 线路的 login 认证改成 local,或让认证顺序先 local 后 radius,本地账号才能生效,否则永远被 radius 拦截。
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论