1.配置HWTACACS 服务器
(1)增加设备,点击用户页签下,设备用户策略管理下 ,进入设备管理页面,增加设备。
(2)点击增加,填写相关参数
(3)相关参数说明
输入共享密钥:系统与设备通信使用的共享密钥。
输入认证端口:用于监听认证报文的端口,必须与设备侧设置的认证端口保持一致。
选择设备所属的区域:一个设备可以属于多个区域。
选择设备的类型:一个设备只能属于一种类型。
选择是否支持单一连接:选择“支持”,表示设备与TAM通信时支持在同一个TCP连接中建立多个会话;选择“不支持”,表示设备与TAM通信时不支持在同一个TCP连接中建立多个会话。该参数的配置必须与设备上的配置保持一致。
(4)增加用户接入策略,选择“用户”页签,单击导航树中的[设备用户策略管理/授权命令配置/Shell Profie配置]菜单项,进入Shell Profie列表页面,单击<增加>按钮,进入增加Shell Profie页面。
输入Shell Profile名称:名称必须唯一。
输入授权级别:授权级别对应了缺省的命令集。设备用户登录设备后,设备根据授权级别自动加载命令集。用户无法看到和执行非命令集中的命令。不同厂商的设备支持的授权级别范围各不相同,授权级别需要根据设备实际的支持范围来设置。
(5)增加授权策略
选择“用户”页签,单击导航树中的[设备用户策略管理/授权策略管理]菜单项,进入授权策略列表页面,单击<增加>按钮,进入增加授权策略页面。
(6)增加LDAP授权用户
1.首先增加LDAP 服务器
选择“用户”页签,单击导航树中的[设备用户策略管理/LDAP业务管理/服务器配置]菜单项,进入LDAP服务器配置页面。
2.配置用户同步策略
选择“用户”页签,单击导航树中的[设备用户策略管理/LDAP业务管理/同步策略配置]菜单项,进入LDAP同步策略配置页面。
3.点击同步按钮,可看到用户同步成功
(7) 配置接入设备
配置用户Telnet 登录时通过账户密码认证。
[[AC]line vty 0 31
[AC-line-vty0-31]authentication-mode scheme
[AC-line-vty0-31]quit
创建HWTACACS方案test。IP 地址指向iMC UAM 服务器,监听端口、共享密钥fine需与iMC 中接入设备的配置保持一致。
[AC]hwtacacs scheme zyp
Create a new HWTACACS scheme.
[AC-hwtacacs-zyp]primary authentication 192.168.127.131
[AC-hwtacacs-zyp]primary accounting 192.168.127.131
[AC-hwtacacs-zyp]primary authorization 192.168.127.131
[AC-hwtacacs-zyp]key authentication simple 123456
[AC-hwtacacs-zyp]key authorization simple 123456
[AC-hwtacacs-zyp]key accounting simple 123456
[AC-hwtacacs-zyp]user-name-format without-domain
[AC-hwtacacs-zyp]quit
创建domain。配置域引用的 TACACS 方案。
[AC]domain hwac
[AC-isp-hwac]authentication login hwtacacs-scheme zyp
[AC-isp-hwac]authorization login hwtacacs-scheme zyp
[AC-isp-hwac]accounting login hwtacacs-scheme zyp
配置认证方式。开启 Telnet 开关
[H3C] telnet server enable