上传者: u012154365
|
上传时间: 2022-02-28 22:57:53
|
文件大小: 12.19MB
|
文件类型: -
1 简介
本文档介绍了 Telnet、SSH 用户通过 AAA 服务器进行登录认证和授权的配置举例。
2 配置前提
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的
缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的
配置不冲突。
本文假设您已了解 AAA 特性。
3 Telnet用户的HWTACACS认证和授权配置举例(ACS
server)
3.1 组网需求
如 图 1 所示,通过在作为NAS的Device上配置远程HWTACACS认证、授权功能,实现Telnet用户
的安全登录。要求在Device上配置实现:
• HWTACACS 服务器对登录 Device 的 Telnet 用户进行认证和授权,登录用户名为 user@bbb,
密码为 aabbcc;
• 用户通过认证后可执行系统所有功能和资源的相关 display 命令。
图1 Telnet 用户的远端 HWTACACS 认证和授权配置组网图
3.2 配置思路
• 为了使 HWTACACS 服务器能够识别合法的用户,在 HWTACACS 服务器上添加合法的
Telnet 用户名和密码。
• 为了使用户通过认证后可执行系统所有功能和资源的相关 display 命令,在 HWTACACS 服
务器上设置用户角色为 network-operator。
• 由于本例中用户登录 Device 要通过 AAA 处理,因此 Telnet 用户登录的用户界面认证方式配
置为 scheme。
Device
HWTACACS server
10.1.1.1/24
Internet
Vlan-int2
192.168.57.12/24
Vlan-int3
10.1.1.2/24
Telnet user
192.168.57.1/24
2
• 为了实现通过 HWTACACS 来进行认证和授权,需要在 Device 上配置 HWTACACS 方案并
指定相应的认证和授权服务器,并将其应用于 Telnet 用户所属的 ISP 域。
• 为了在 Device 和 HWTACACS 服务器之间安全地传输用户密码,并且能在 Device 上验证服
务器响应报文未被篡改,在 Device 和 HWTACACS 服务器上都要设置交互报文时所使用的
共享密钥。