MSR V7与IMC radius结合下发设备的telnet admin权限

1、  MSR3620作为telnet server；

2、  MSR3620与IMC Radius结合给下接用户下发admin权限。

下接用户通过telnet登陆到server上，然后根据radius下发的权限，执行相应权限内的操作。

因为MSR V7的用户角色与V5平台不一致，MSR V7的用户总共分为18中角色，分别包含相应的权限。

所以在通过radius给下接用户下发权限时，较V5困难。

本文主要讲解通过radius在V7下，给下接用户下发admin权限。

首先配置telnet server端：

#配置与IMC Radius互通的端口：

[H3C]interface GigabitEthernet0/0

[H3C-GigabitEthernet0/0] description to IMC

[H3C-GigabitEthernet0/0] ip address 172.16.0.221 255.255.255.0

[H3C-GigabitEthernet0/0] nat outbound

#配置内网接口

[H3C]interface GigabitEthernet0/1

[H3C-GigabitEthernet0/1] description to-telnet-client

[H3C-GigabitEthernet0/1] combo enable copper

[H3C-GigabitEthernet0/1] ip address 192.168.1.1 255.255.255.0

#设备IMC Radius服务器，此处认证和计费端口可保持默认不变，当Telnet server设备是我司设备，切记要注意接入设备类型要设置为H3C（general），而不能设置为standard，否则会导致下发权限失败，配置如下：

#创建radius方案123，指定认证服务器地址，采用默认认证和计费端口，根据IMC配置，配置相应的认证和计费key，然后配置nas-ip：

[H3C]radius scheme 123

New RADIUS scheme.

[H3C-radius-123] primary authentication 172.16.0.15

[H3C-radius-123] primary accounting 172.16.0.15

[H3C-radius-123] accounting-on enable

[H3C-radius-123] key authentication simple expert

[H3C-radius-123] key accounting simple expert

[H3C-radius-123] user-name-format without-domain

[H3C-radius-123] nas-ip 172.16.0.221

#在ISP域system下，配置login用户使用radius方案123进行授权

[H3C]domain system

[H3C-isp-system] authentication login radius-scheme 123

[H3C-isp-system] authorization login radius-scheme 123

[H3C-isp-system] accounting login radius-scheme 123

#配置用户登陆时需要用户名和密码

[H3C]line vty 0 63

[H3C-line-vty0-63] authentication-mode scheme

#在IMC侧添加一个用户名，此处用户名设置为Z10210，密码设置为123456，服务类型设置为telnet，权限设置为15，此处与V7的level-15对应，然后添加设备的起始IP地址，配置如下：

#配置完成之后，从另外一个路由器登陆到设备上，可以成功登陆，在IMC侧可以看到，用户已经登陆成功，如下：

1、  在IMC侧配置时，设备类型一定要选择为H3C（general），不能选择为standard；

2、  在IMC上下发权限时，如果是要下发admin权限，对应的级别为15；

3、  在设备配置认证和计费的端口一定要与Radius侧保持一致；

4、  配置radius方案时，一定要注意服务器侧是否设置了认证和计费Key。