华为CE交换机radius认证登陆

radius服务器搭建参考centos7 下用FREERADIUS3+ldap(windowsAD)搭建radius服务器
服务器端配置:增加一个client并配置共享密钥 secret = tdops,shortname可以任意。clientIP可以是一个地址也可以是一个网段。

[root@10-57-22-55 radius]# cat /etc/raddb/clients.conf

client 172.16.200.6/32 {
        secret          = tdops
        shortname       = CE-SW
}

CE交换机配置(使用的是ce5855)

#注意加 radius server user-name domain-excluded  不然交换机会把domain信息发到认证服务器
radius server group test
 radius server shared-key-cipher tdops
 radius server authentication 10.57.22.55 1833
 radius server retransmit 2
 radius server user-name domain-excluded

#
aaa
 #
 authentication-scheme auth
  authentication-mode radius local
 #
 domain admin123
  authentication-scheme auth
  radius server group test
  #
user-interface vty 0 4
 authentication-mode aaa
 user privilege level 3
#开启telnet,用ssh测试失败
undo telnet server disable 

测试telnet(用户名需要带上域名)

华为CE交换机radius认证登陆_第1张图片

去掉认证时的域名
【华为有两个默认域,就是 domain default 和domain default_admin。这两个域是不同的:
default域为接入用户(通过NAC进行认证的用户)的缺省域。
default_admin为管理员(通过HTTP,SSH,Telnet,Terminal或FTP方式登录设备的用户)的缺省域】
修改AAA命令把radius认证加到default_admin(不是default)

#
 aaa
#              
 domain default_admin
  authentication-scheme auth
  radius server group test
 #

测试不加domain成功(但是会导致本地认证的用户认证不过)

华为CE交换机radius认证登陆_第2张图片

你可能感兴趣的:(华为CE交换机radius认证登陆)