Cisco/Ruijie/H3C/华为 AAA认证配置

Cisco 配置步骤

Cisco Tacacs+测试
1、配置Tacacs+服务和认证授权方式

(config)#aaa new-model
(config)#aaa authentication login tac-h0101 group tacacs+       //认证
(config)#aaa authorization exec tac-h0101 group tacacs+         //授权
(config)#tacacs-server host 10.3.3.3 key Aa123456                //tacacs服务

Router(config)#
Router(config)#line vty 1 4
Router(config-line)#login authentication tac-h0101                //至服务器上AAA用户
Router(config-line)#authorization exec tac-h0101

2、在设备上使用ISE服务上的用户和密码进行测试(在ISE上添加了本设备)

3.在设备上开启远程服务;使用ISE中的用户和密码远程到此设备

Router(config)#line vty 1 4
Router(config-line)#transport input all 

Cisco Radius测试
1、配置Radius服务和认证授权方式

(config)#aaa new-model 
(config)#aaa authentication login h0101-radius group radius          //认证
(config)#aaa authorization exec h0101-radius group radius            //授权
(config)#radius-server host 10.3.3.3 key Aa123456                        //radius服务地址
(config)#line vty 1 4
(config-line)#login
(config-line)#login authentication h0101-radius
(config-line)#authorization exec h0101-radius

Ruijie 配置步骤

enable secret 5 $1$jtHM$yjZU1GByi6Ytgsun2iNF40
username admin privilege 15 secret 5 $1$kXdh$Xdy9UpNdiFP96clB7yz9I1
username ise-test password 7 000B1D0A1D0F1F031C35

aaa new-model                                                        //启用aaa认证

aaa authentication login Auth-login group tacacs+ local                //配置认证列表名:Auth-login
aaa authentication dot1x default group radius
aaa authorization console
aaa authorization config-commands
aaa authorization exec default group tacacs+ local 
aaa authorization commands 1 default group tacacs+ local 
aaa authorization commands 3 default group tacacs+ local 
aaa authorization commands 15 default group tacacs+ local 
aaa authorization network default group radius
aaa accounting network default start-stop group radius
aaa accounting exec default start-stop group tacacs+
aaa accounting commands 1 default start-stop group tacacs+
aaa accounting commands 3 default start-stop group tacacs+
aaa accounting commands 15 default start-stop group tacacs+

radius-server dead-criteria time 5 tries 3

radius-server host 10.11.9.13 key 0 gkfsadfda                            //配置服务器地址及密钥
radius-server host 10.12.1.25 key 0 gkfsadfda
tacacs-server host 10.10.3.133 key 0 gkfsadfda
tacacs-server host 10.11.1.25 key 0 gkfsadfda

dot1x authentication default                                //dot1x认证使用默认列表
dot1x accounting default                                     //dot1x审计使用默认列表

enable service ssh-server                                   //启用ssh服务
ip ssh version 2

line vty 0 4
 exec-timeout 5 0
 login authentication Auth-login                            //调用认证列表名:Auth-login
 transport input ssh
 exit
line vty 5 15
 exec-timeout 5 0
 login authentication Auth-login
 transport input ssh
 exit

lldp enable
errdisable recovery interval 120

ip route 0.0.0.0 0.0.0.0 10.1.16.1

ip access-list extended ACL-DEFAULT
 remark DHCP
 permit udp any eq bootpc any eq bootps
 remark DNS
 permit udp any any eq domain
 remark PING
 permit icmp any any
 remark PXE / TFTP
 permit udp any any eq tftp
 remark Drop rest
 deny   ip any any
 ex
ip access-list extended ACL-WEB-REDIRECT
 deny   udp any any eq domain
 deny   ip any host 10.10.3.21
 deny   ip any host 10.12.0.20
 deny   ip any host 10.12.1.20
 deny   ip any host 10.10.3.13
 permit ip any any
 ex

snmp-server community ruijie RO

ntp server 10.1.90.8

H3C 配置步骤

 hwtacacs scheme device-tacacs                                //配置radius scheme

 primary authentication xxx.xxx.xxx.xxx                      //认证服务器地址

 primary authorization xxx.xxx.xxx.xxx                       //授权服务器地址

 key authentication cipher ************           //认证配置密钥

 key authorization cipher ************           //授权配置密钥

 key accounting cipher ************             //授权配置密钥

 user-name-format without-domain            //配置不携带域名格式

 nas-ip 172.xxx.xxx.xxx                                //发送源地址(SW-MGMT-IP)

 domain device-login                                         //配置设备登录hwtacacs

 authentication login hwtacacs-scheme device-tacacs local      //认证顺序为tacacs,本地

 authorization login hwtacacs-scheme device-tacacs local        //授权顺序为tacacs,本地

 accounting login hwtacacs-scheme device-tacacs none        //审计顺序为tacacs

 authorization command hwtacacs-scheme device-tacacs         //命令授权为tacacs

super password role network-admin hash “xx” //特权密码

command-privilege level 1 view shell display current-configuration

command-privilege level 1 view  shell display device manuinfo

 //配置级别1权限

domain default enable device-login    //配置默认域

华为 配置步骤


配置HWTACACS认证服务器
Hwtacacs enable                             //开启Hwtacacs功能

hwtacacs-server template device-tacacs       //建立服务模板

配置HWTACACS认证服务器

hwtacacs-server authentication xxx.xxx.xxx.xxx

hwtacacs-server authorization xxx.xxx.xxx.xxx

hwtacacs-server accounting xxx.xxx.xxx.xxx

hwtacacs-server source-ip 172.xxx.xxx.xxx.xxx    //交换机管理地址

hwtacacs-server timer response-timeout 2

配置HWTACACS服务器密钥

hwtacacs-server shared-key cipher ************

配置认证方案,配置认证方案hwtacacs,认证模式为先进行HWTACACS认证,后进行本地认证

aaa

authentication-scheme hwtacacs

authentication-mode hwtacacs local

配置授权方案,配置授权方案hwtacacs1,授权模式为先进行HWTACACS授权,后进行本地授权

authorization-scheme hwtacacs1

 authorization-mode  hwtacacs local

 authorization-cmd 15 hwtacacs local

配置计费方案,配置计费方案hwtacacs1,计费模式为先进行HWTACACS

accounting-scheme hwtacacs1

accounting-mode hwtacacs

accounting start-fail online

accounting interim-fail online

配置hwtacacs域

domain hwtacacs

authentication-scheme hwtacacs

accounting-scheme hwtacacs1

authorization-scheme hwtacacs1

hwtacacs-server device-tacacs

配置全局默认管理域

domain hwtacacs admin

远程登入授权

user-interface vty 0 4                   

authentication-mode aaa

只读账号登入授权

command-privilege level 1 view system display current-configuration

command-privilege level 1 view shell display device manufacture-info

command-privilege level 1 view shell display logbuffer
 

---------------------------------

补充:

你可能感兴趣的:(硬件,运维,运维)