华为交换机:配置管理员使用RADIUS+Local方式认证并授权用户级别示例(群晖NAS作为Radius Server,交换机与radius通信等正常时,交换机上配置的localuser就不起作用)
华为交换机:配置管理员使用RADIUS+Local方式认证并授权用户级别示例(群晖NAS作为Radius Server,交换机与radius通信等正常时,交换机上配置的localuser就不起作用)
组网需求
如图所示,网络中部署了RADIUS服务器,企业希望管理员使用RADIUS认证,通过STelnet登录设备:
管理员输入正确的用户名和密码才能通过STelnet登录设备。
管理员通过STelnet登录设备后,服务器授权用户级别为15级,可以执行命令级别为0~15的所有命令行。
当服务器不回应设备的认证请求时(例如,设备和服务器之间链路中断时),管理员登录设备时转为Local认证。
注意事项
(1)配置前请确保各设备之间路由可达。
(2)请确保RADIUS服务器模板内的共享密钥和RADIUS服务器上的配置保持一致。
(3)如果登录的账号在RADIUS服务器上没有创建,但是在本地存在。RADIUS认证时,将被认为认证失败,不再转入本地认证。只有在RADIUS服务器Down或者无响应时,才会转入本地认证。
(4)如果计费方案配置计费模式为RADIUS,为避免设备和服务器之间链路中断后,管理员用户本地认证通过,而开始计费失败导致用户登录失败,所以需要在计费方案下配置命令:accounting start-fail online,确保初始计费失败后允许用户上线。
(5)如果RADIUS服务器不接受包含域名的用户名,可以在RADIUS服务器模板视图下,配置命令undo radius-server user-name domain-included使设备向RADIUS服务器发送的报文中的用户名不包含域名。
(6)域被配置成全局默认管理域之后,管理用户的用户名中携带该域名或者不携带域名时,会使用全局默认管理域下的AAA配置信息。
(7)配置命令undo radius-server user-name domain-included后,设备仅会修改发送报文中的用户名格式,不会影响用户所属的域。例如,配置该命令后,用户名为“user@example.com”的用户仍使用example.com域下的AAA配置信息。
(8)使用RADIUS扩展属性HW-Exec-Privilege(26-29)来授权管理员用户的优先级时,有效值范围是0~15。取值大于等于16为无效值。
(1)拓扑图
配置:
(2)sw1:配置设备的管理ip地址与默认路由
interface Vlanif1
ip address 10.12.3.3 255.255.0.0
ip route-static 0.0.0.0 0.0.0.0 10.12.12.254
(3)sw1:配置STelnet登录
# 在服务器端生成本地密钥对。
[sw1]dsa local-key-pair create
Info: The key name will be: sw1_Host_DSA
Info: The key modulus can be any one of the following : 2048.
Info: Key pair generation will take a short while.
Info: Generating keys...
Info: Succeeded in creating the DSA host keys.
[sw1]
# 配置VTY用户界面0~14的认证方式为AAA认证、支持的协议为SSH。
user-interface vty 0 4
authentication-mode aaa
protocol inbound ssh
# 开启设备的SSH服务器功能。
[sw1]ssh server-source -i Vlanif 1
Warning: SSH server source configuration will take effect in the next login. Do you want to continue? [Y/N]:
Error: Please choose 'YES' or 'NO' first before pressing 'Enter'. [Y/N]:y
Info: Succeeded in setting the source interface of the SSH server to Vlanif1.
//假设VLANIF 1为管理网口。有管理网口的设备需要执行此步骤,从而将管理网口配置为SSH服务器端的源接口,提高系统安全性。
[sw1]stelnet server enable
Info: Succeeded in starting the STelnet server.
# 配置所有SSH用户的认证方式为Password认证、服务方式为STelnet。
[sw1]ssh authentication-type default password
其他说明:
如果仅某几个SSH用户的认证方式为Password认证、服务方式为STelnet,可以通过指定SSH用户名的形式配置。例如:指定用户名为admin的SSH用户的认证方式为Password认证、服务方式为STelnet。
#[Switch] ssh user admin authentication-type password
#[Switch] ssh user admin service-type stelnet
(4)sw1: 配置RADIUS认证
# 配置RADIUS服务器模板,实现与RADIUS服务器的通信。
radius server group 1
radius server shared-key www.zh-cjh.com
radius server authentication 10.12.160.8 1812
radius server accounting 10.12.160.8 1813 //可以不配置,这个文章只用了认证
# 配置AAA认证方案,指定认证方式为RADIUS+Local。
aaa
authentication-scheme sch1
authentication-mode radius local
# 配置计费方案acc1
aaa
accounting-scheme acc1
accounting-mode none
也可以使用以下配置:
# 配置计费方案acc1,指定计费方式为RADIUS计费。
[Switch-aaa] accounting-scheme acc1
[Switch-aaa-accounting-acc1] accounting-mode radius
[Switch-aaa-accounting-acc1] accounting start-fail online #--配置当开始计费失败时,允许用户上线
# 在域下引用AAA认证方案、RADIUS服务器模板。
aaa
domain zh-cjh.com
authentication-scheme sch1
accounting-scheme acc1
radius server group 1
# 配置example.com为全局默认管理域。
aaa
default-domain admin zh-cjh.com
配置本地认证
# 配置本地账号“a1”,密码“P@ssw0rd”,级别为3级(0到3级,3为最高级了,这里的最高级不是15级)。
aaa
local-user a1@zh-cjh.com password
输入密码P@ssw0rd
local-user a1@zh-cjh.com service-type ssh
local-user a1@zh-cjh.com level 3
[sw1-aaa]local-user a1@zh-cjh.com level ?
INTEGER<0-3> Value
(5)配置RADIUS服务器
配置步骤包括:添加设备、添加用户等待。
配置RADIUS服务器参考配置如下:
群晖NAS: 配置Radius Server
http://www.zh-cjh.com/wangluoanquan/2845.html
(6)验证配置结果(失败)
查看原因:在radius服务器上查看,用户名不对,因为带了@zh-cjh.com, radius服务器就不认识了
display aaa online-fail-record命令用于查询用户的上线失败记录。
display aaa offline-record 查看用户下线记录
解决:交换机发送用户名给radius服务器时不要带域名
配置用户认证时,不带上域名。
radius server group 1
radius server user-name domain-excluded
备注:
radius-server user-name domain-included命令用来配置设备向RADIUS服务器发送的报文中的用户名包含域名。
radius-server user-name original命令用来配置设备向RADIUS服务器发送的报文中的用户名为用户原始输入的用户名,设备不对其进行修改。
undo radius-server user-name domain-included命令用来配置设备向RADIUS服务器发送的报文中的用户名不包含域名。
undo radius-server user-name domain-included except-eap命令用来配置设备向RADIUS服务器发送的报文中的用户名不包含域名(除EAP认证外的其他认证方式)。
缺省情况下,设备向RADIUS服务器发送的报文中的用户名为用户原始输入的用户名,设备不对其进行修改。
测试:用户名:user1 密码:123456
但是没有权限进入系统视图。
解决:
user-interface vty 0 4
user privilege level 3 #配置15级,这个版本只有1到3组。
测试:把radius server的网线拔掉,模拟radius server故障,看看使用交换机上的localuser是否可以正常登录:登录成功。
radius server 关联ad域服务器
radius server加入域:
启用radius server的域用户
测试:使用radius关联的域用户或者radius server的本地用户都是可以成功登录的。
当sw1与radius server连接工作正常时,交换机上上的本地用户是使用不了的,因为交换机把用户名密码发送到了radius server上去做匹配了。
其他:如果使用 domain default_admin,那交换机默认给radius server发送的域名为default_admin。当然也可以配置发送用户名时不带域名。
radius server group 1
radius server shared-key www.zh-cjh.com
radius server authentication 10.12.160.8 1812
aaa
#
authentication-scheme default
authentication-mode radius local
domain default_admin
radius server group 1
telnet也是支持AAA的
user-interface vty 0 4
protocol inbound all
备注:
用户访问交换机,交换机从群晖radius server上匹配权限 ,radius server从微软AD上关联域帐户。
当然也可以直接把windows server配置成radius server:
Windows2016搭建radius服务器
http://www.zh-cjh.com/wangluoanquan/2847.html
NAC网络准入控制、radius、802.1X(列表、list、全)radiuslist
http://www.zh-cjh.com/wenzhangguilei/1008.html
文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。
转载请保留出处: www.zh-cjh.com珠海陈坚浩博客 » 华为交换机:配置管理员使用RADIUS+Local方式认证并授权用户级别示例(群晖NAS作为Radius Server,交换机与radius通信等正常时,交换机上配置的localuser就不起作用)
作者: cjh
手机扫一扫,手机上查看此文章: |
一切源于价值!
其他 模板文件不存在: ./template/plugins/comment/pc/index.htm