1、 MSR3620作为telnet server;
2、 MSR3620与IMC Radius结合给下接用户下发admin权限。
下接用户通过telnet登陆到server上,然后根据radius下发的权限,执行相应权限内的操作。
因为MSR V7的用户角色与V5平台不一致,MSR V7的用户总共分为18中角色,分别包含相应的权限。
所以在通过radius给下接用户下发权限时,较V5困难。
本文主要讲解通过radius在V7下,给下接用户下发admin权限。
首先配置telnet server端:
#配置与IMC Radius互通的端口:
[H3C]interface GigabitEthernet0/0
[H3C-GigabitEthernet0/0] description to IMC
[H3C-GigabitEthernet0/0] ip address 172.16.0.221 255.255.255.0
[H3C-GigabitEthernet0/0] nat outbound
#配置内网接口
[H3C]interface GigabitEthernet0/1
[H3C-GigabitEthernet0/1] description to-telnet-client
[H3C-GigabitEthernet0/1] combo enable copper
[H3C-GigabitEthernet0/1] ip address 192.168.1.1 255.255.255.0
#设备IMC Radius服务器,此处认证和计费端口可保持默认不变,当Telnet server设备是我司设备,切记要注意接入设备类型要设置为H3C(general),而不能设置为standard,否则会导致下发权限失败,配置如下:
#创建radius方案123,指定认证服务器地址,采用默认认证和计费端口,根据IMC配置,配置相应的认证和计费key,然后配置nas-ip:
[H3C]radius scheme 123
New RADIUS scheme.
[H3C-radius-123] primary authentication 172.16.0.15
[H3C-radius-123] primary accounting 172.16.0.15
[H3C-radius-123] accounting-on enable
[H3C-radius-123] key authentication simple expert
[H3C-radius-123] key accounting simple expert
[H3C-radius-123] user-name-format without-domain
[H3C-radius-123] nas-ip 172.16.0.221
#在ISP域system下,配置login用户使用radius方案123进行授权
[H3C]domain system
[H3C-isp-system] authentication login radius-scheme 123
[H3C-isp-system] authorization login radius-scheme 123
[H3C-isp-system] accounting login radius-scheme 123
#配置用户登陆时需要用户名和密码
[H3C]line vty 0 63
[H3C-line-vty0-63] authentication-mode scheme
#在IMC侧添加一个用户名,此处用户名设置为Z10210,密码设置为123456,服务类型设置为telnet,权限设置为15,此处与V7的level-15对应,然后添加设备的起始IP地址,配置如下:
#配置完成之后,从另外一个路由器登陆到设备上,可以成功登陆,在IMC侧可以看到,用户已经登陆成功,如下:
1、 在IMC侧配置时,设备类型一定要选择为H3C(general),不能选择为standard;
2、 在IMC上下发权限时,如果是要下发admin权限,对应的级别为15;
3、 在设备配置认证和计费的端口一定要与Radius侧保持一致;
4、 配置radius方案时,一定要注意服务器侧是否设置了认证和计费Key。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作