h3c 交换机配置

1 简介 本文档介绍了 Telnet、SSH 用户通过 AAA 服务器进行登录认证和授权的配置举例。 2 配置前提 本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的 缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的 配置不冲突。 本文假设您已了解 AAA 特性。 3 Telnet用户的HWTACACS认证和授权配置举例（ACS server） 3.1 组网需求 如 图 1 所示，通过在作为NAS的Device上配置远程HWTACACS认证、授权功能，实现Telnet用户 的安全登录。要求在Device上配置实现： • HWTACACS 服务器对登录 Device 的 Telnet 用户进行认证和授权，登录用户名为 user@bbb， 密码为 aabbcc； • 用户通过认证后可执行系统所有功能和资源的相关 display 命令。 图1 Telnet 用户的远端 HWTACACS 认证和授权配置组网图 3.2 配置思路 • 为了使 HWTACACS 服务器能够识别合法的用户，在 HWTACACS 服务器上添加合法的 Telnet 用户名和密码。 • 为了使用户通过认证后可执行系统所有功能和资源的相关 display 命令，在 HWTACACS 服 务器上设置用户角色为 network-operator。 • 由于本例中用户登录 Device 要通过 AAA 处理，因此 Telnet 用户登录的用户界面认证方式配 置为 scheme。 Device HWTACACS server 10.1.1.1/24 Internet Vlan-int2 192.168.57.12/24 Vlan-int3 10.1.1.2/24 Telnet user 192.168.57.1/24 2 • 为了实现通过 HWTACACS 来进行认证和授权，需要在 Device 上配置 HWTACACS 方案并 指定相应的认证和授权服务器，并将其应用于 Telnet 用户所属的 ISP 域。 • 为了在 Device 和 HWTACACS 服务器之间安全地传输用户密码，并且能在 Device 上验证服 务器响应报文未被篡改，在 Device 和 HWTACACS 服务器上都要设置交互报文时所使用的 共享密钥。