Print

LDAP 结合TAM HWTACACS 设备用户认证典型配置

2020-03-28 发表

组网及说明

需要登录到设备上进行操作的终端用户进行认证、授权以及对终端用户执行的操作进行记录。设备作为HWTACACS的客户端,将用户名和密码发给HWTACACS服务器进行验证,用户验证通过并得到授权之后可以登录到设备上进行操作。

配置步骤

1.配置HWTACACS 服务器
(1)增加设备,点击用户页签下,设备用户策略管理下 ,进入设备管理页面,增加设备。


(2)点击增加,填写相关参数


(3)相关参数说明
输入共享密钥:系统与设备通信使用的共享密钥。
输入认证端口:用于监听认证报文的端口,必须与设备侧设置的认证端口保持一致。
选择设备所属的区域:一个设备可以属于多个区域。
选择设备的类型:一个设备只能属于一种类型。
选择是否支持单一连接:选择“支持”,表示设备与TAM通信时支持在同一个TCP连接中建立多个会话;选择“不支持”,表示设备与TAM通信时不支持在同一个TCP连接中建立多个会话。该参数的配置必须与设备上的配置保持一致。


(4)增加用户接入策略,选择“用户”页签,单击导航树中的[设备用户策略管理/授权命令配置/Shell Profie配置]菜单项,进入Shell Profie列表页面,单击<增加>按钮,进入增加Shell Profie页面。
输入Shell Profile名称:名称必须唯一。
输入授权级别:授权级别对应了缺省的命令集。设备用户登录设备后,设备根据授权级别自动加载命令集。用户无法看到和执行非命令集中的命令。不同厂商的设备支持的授权级别范围各不相同,授权级别需要根据设备实际的支持范围来设置。


(5)增加授权策略
选择“用户”页签,单击导航树中的[设备用户策略管理/授权策略管理]菜单项,进入授权策略列表页面,单击<增加>按钮,进入增加授权策略页面。


(6)增加LDAP授权用户
1.首先增加LDAP 服务器
选择“用户”页签,单击导航树中的[设备用户策略管理/LDAP业务管理/服务器配置]菜单项,进入LDAP服务器配置页面。



2.配置用户同步策略
选择“用户”页签,单击导航树中的[设备用户策略管理/LDAP业务管理/同步策略配置]菜单项,进入LDAP同步策略配置页面。



3.点击同步按钮,可看到用户同步成功



(7) 配置接入设备

 配置用户Telnet 登录时通过账户密码认证。
[[AC]line vty 0 31
[AC-line-vty0-31]authentication-mode scheme
[AC-line-vty0-31]quit
 创建HWTACACS方案test。IP 地址指向iMC UAM 服务器,监听端口、共享密钥fine需与iMC 中接入设备的配置保持一致。
[AC]hwtacacs scheme zyp
Create a new HWTACACS scheme.
[AC-hwtacacs-zyp]primary authentication 192.168.127.131
[AC-hwtacacs-zyp]primary accounting 192.168.127.131
[AC-hwtacacs-zyp]primary authorization 192.168.127.131
[AC-hwtacacs-zyp]key authentication simple 123456
[AC-hwtacacs-zyp]key authorization simple 123456
[AC-hwtacacs-zyp]key accounting simple 123456
[AC-hwtacacs-zyp]user-name-format without-domain
[AC-hwtacacs-zyp]quit
创建domain。配置域引用的 TACACS 方案。
[AC]domain hwac
[AC-isp-hwac]authentication login hwtacacs-scheme zyp
[AC-isp-hwac]authorization login hwtacacs-scheme zyp
[AC-isp-hwac]accounting login hwtacacs-scheme zyp
配置认证方式。开启 Telnet 开关
[H3C] telnet server enable

配置关键点

配置成功,登录设备侧及imc侧显示如下