华为用户级别切换认证配置举例

用户级别切换认证配置举例

用户级别切换认证配置举例

关键词:用户级别切换认证,RADIUS,HWTACACS

摘  要:本文结合不同的登录认证方式,详细介绍了三种用户级别切换认证的配置思路和配置过程。

缩略语:

缩略语

英文全名

中文解释

AAA

Authentication, Authorization, Accounting

认证、授权、计费

RADIUS

Remote Authentication Dial-In User Service

远程认证拨号用户服务

HWTACACS

HW Terminal Access Controller Access Control System

HW终端访问控制器控制系统协议

 


目  录

1 特性简介

2 应用场合

3 本地Super认证配置举例

3.1 组网需求

3.2 配置思路

3.3 配置步骤

3.4 验证结果

4 RADIUS Super认证配置举例

4.1 组网需求

4.2 配置思路

4.3 配置步骤

4.3.1 配置RADIUS server

4.3.2 配置Device

4.4 验证结果

5 (HWTACACS + Local)Super认证配置举例

5.1 组网需求

5.2 配置思路

5.3 配置步骤

5.3.1 配置HWTACACS server

5.3.2 配置Device

5.4 验证结果

6 相关资料

 


1 特性简介

用户在不退出当前登录、不断开当前连接的前提下,可以通过执行super命令暂时将自身的用户级别从当前的级别切换到指定的级别。级别切换后用户不需要重新登录,可以继续配置设备,只是可以执行的命令会不一样。且切换后的级别是临时的,只对当前登录生效,用户重新登录后,又会恢复到原有级别。

当使用super命令从低级别往高级别切换时,相当于用户请求增加访问权限,因此系统需要对这种级别提升行为进行认证,只有认证通过,才赋予该用户新的访问权限。我们简称这种用户级别提升切换认证为Super认证。

2 应用场合

目前,设备上支持两种Super认证方案:本地级别切换认证(本地Super认证)和远程AAA级别切换认证(远程Super认证)。

1. 本地Super认证

本地Super认证是指,使用一个本地配置的密码对级别切换行为进行认证。对于要切换到某一个级别的行为,所有用户均使用同一个密码。如下所示,任何登录到设备上的用户,要切换到3级别时,只需要正确输入一个该设备上预先设置的本地级别切换密码就可以。

<Device> super 3

 Password: <——此处输入本地级别切换密码

User privilege level is 3, and only those commands can be used

whose level is equal or less than this.

Privilege note: 0-VISIT, 1-MONITOR, 2-SYSTEM, 3-MANAGE

本地级别切换认证方式具有配置简单、易用的优点,适合于网络拓扑简单,设备管理员权限统一,级别切换安全性要求不高的组网环境中。

2. 远程Super认证

远程Super认证是指,使用远程AAA服务器对级别切换行为进行认证。如下所示,登录到设备上的某管理员,要切换到3级别时,需要正确输入用户名和对应的级别切换密码。

<Device> super 3

 Username:olive@abc

 Password: <——此处输入对应的级别切换密码

User privilege level is 3, and only those commands can be used

whose level is equal or less than this.

Privilege note: 0-VISIT, 1-MONITOR, 2-SYSTEM, 3-MANAGE

远程Super认证需要部署相应的AAA服务器来配合,用户信息的管理与维护上比本地Super认证稍显复杂,但它具有如下优点:

·              用户进行级别切换操作时使用相应的级别切换用户名和密码在远程AAA(RADIUS或HWTACACS)服务器上进行身份认证,不同的用户可拥有不同的级别切换权限。

·              通过与本地级别切换认证组合使用,可支持两种认证切换方案(远程Super认证无响应的情况下转本地Super认证、本地级别切换密码没有设置时转远程Super认证),增强了认证的可靠性,提高了设备管理的灵活性。

因此,远程Super认证适合于,网络环境较为复杂,设备管理员权限需区分,级别切换安全性要求较高的组网环境中。

3 本地Super认证配置举例

3.1  组网需求

(1)      某部门的所有人员均能以Telnet方式登录网关设备,登录该设备时需要输入用户名和密码,身份认证通过后所能访问的命令级别为1级(监控级),可执行简单的系统维护与业务故障诊断功能(例如debugging)。其中,用户名为携带域名的test@bbb,密码为123456。

(1)      所有用户切换自身用户级别到更高的级别(本例中为3)时,只需要输入级别切换密码,密码正确就能成功切换到高级别。其中,级别切换密码为localpass。

图3-1 本地Super认证典型组网图

华为用户级别切换认证配置举例_第1张图片

 

3.2  配置思路

1. 配置登录认证

(1)      用户登录时要求提供用户名和密码,因此用户登录采用AAA认证方式。

·              配置登录用户界面的认证方式为scheme

(2)      由于该组网环境中未部署远程AAA服务器,所以登录认证采用本地认证方案,使用设备上配置的本地用户信息(local-user)来验证用户身份。用户登录后的用户级别由本地用户的授权属性决定。

·              创建用户的认证域bbb,配置Login用户的认证方案为local

·              创建本地用户,配置用户登录密码和登录后的用户级别。

2. 配置Super认证

所有用户切换级别使用相同的切换密码,不需要输入用户名,因此级别切换认证采用本地Super认证,使用设备上配置的本地级别切换密码来认证切换行为。

·              配置Super认证方式为local

·              配置本地级别切换密码。

表3-1 配置要素列表

登录认证方式

登录认证方案

Super认证方式

登录用户名和密码

Super认证密码

scheme

local

local

用户名:test@bbb

密码:123456

localpass

 

3.3  配置步骤

说明

以下配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下配置不冲突。本文档不严格与具体软、硬件版本对应。

 

1. 配置步骤

# 配置接口Ethernet1/1的IP地址,Telnet用户将通过该地址连接Device。

<Device> system-view

[Device] interface ethernet 1/1

[Device-Ethernet1/1] ip address 192.168.1.1 255.255.255.0

[Device-Ethernet1/1] quit

# 开启Telnet服务器功能。

[Device] telnet server enable

# 配置Telnet用户登录采用AAA认证方式。

[Device] user-interface vty 0 4

[Device-ui-vty0-4] authentication-mode scheme

[Device-ui-vty0-4] quit

# 创建ISP域bbb。

[Device] domain bbb

# 配置Login用户的认证/授权方案为local。(可选,ISP域的缺省认证/授权方案为local

[Device-isp-bbb] authentication login local

[Device-isp-bbb] authorization login local

[Device-isp-bbb] quit

# 创建本地用户test,服务器类型为Telnet,密码为123456。

[Device] local-user test

[Device-luser-test] service-type telnet

[Device-luser-test] password simple 123456

# 指定Telnet用户登录系统后所能访问的命令级别为1级。

[Device-luser-test] authorization-attribute level 1

[Device-luser-test] quit

# 配置Super认证方式为local

[Device] super authentication-mode local

# 配置可切换到级别3的本地级别切换密码为localpass。(level参数可选,缺省为3)

[Device] super password level 3 simple localpass

2. 配置文件

[Device] display current-configuration

#

 version 5.20, Release 10601version 5.20, ESS 1907L03

#

 sysname Device

#

 super password level 3 cipher $c$3$Zpr1U6u8+yBRZE4Pt8uTBI/VOboEnf2gsvEULg==

 super authentication-mode localsimple localpass

#

 domain default enable system

#

 telnet server enable

#

domain bbb

 authentication login local

 authorization login local

 access-limit disable

 state active

 idle-cut disable

 self-service-url disable

domain system

 access-limit disable

 state active

 idle-cut disable

 self-service-url disable

#

user-group system

group-attribute allow-guest

#

local-user test

 password cipher $c$3$UFdz+Q4t+duZFUhihLGBrmY1+RDjasu4Kg==simple 123456

 authorization-attribute level 1

 service-type telnet

#

interface Ethernet1/1

 port link-mode route

 ip address 192.168.1.1 255.255.255.0

#

interface Ethernet1/2

 port link-mode route

#

user-interface con 0

user-interface tty 13

user-interface aux

user-interface vty 0 4

 authentication-mode scheme

#

return

3.4  验证结果

可通过以下步骤验证上述配置。

(1)      Telnet用户建立与Device的连接

在Telnet客户端上按照提示输入用户名test@bbb及密码123456,即可进入Device的用户界面,且只能访问级别为1的命令。

C:\>telnet 192.168.1.1

******************************************************************************

* Copyright (c) 1998-2009 Huawei Tech. Co., Ltd. All rights reserved.        *

* Without the owner's prior written consent,                                 *

* no decompiling or reverse-engineering shall be allowed.                    *

******************************************************************************

 

 

Login authentication

 

 

Username:test@bbb

Password: <——此处输入登录密码:123456

<Device>?

User view commands:

  cluster        Run cluster command

  debugging      Enable system debugging functions

  dialer         Dialer disconnect

  display        Display current system information

  ping           Ping function

  quit           Exit from current command view

  refresh        Do soft reset

  reset          Reset operation

  rsh            Establish one RSH connection

  screen-length  Specify the lines displayed on one screen

  send           Send information to other user terminal interface

  ssh2           Establish a secure shell client connection

  super          Set the current user priority level

  telnet         Establish one TELNET connection

  terminal       Set the terminal line characteristics

  tracert        Trace route function

  undo           Cancel current setting

(2)      切换用户级别

# 在当前的用户界面下执行切换用户级别到3级的命令,按照提示输入本地级别切换密码localpass,即可将当前Telnet用户的级别切换到3级。

<Device> super 3

Password: <——此处输入本地级别切换密码:localpass

User privilege level is 3, and only those commands can be used

whose level is equal or less than this.

Privilege note: 0-VISIT, 1-MONITOR, 2-SYSTEM, 3-MANAGE

4 RADIUS Super认证配置举例

4.1  组网需求

(1)      某部门的所有人员均能以Telnet方式登录网关设备,登录该设备时需要输入用户名和密码,并使用RADIUS服务器进行认证,身份认证通过后所能访问的命令级别为0级(访问级),可执行网络诊断等功能的命令(例如ping)。其中,用户名为携带域名的admin@bbb,密码为123456。

(2)      允许管理员将自身级别切换到更高的级别(本例中为3),且切换时需要使用RADIUS服务器进行认证。其中,级别切换密码为pass3。

图4-1 RADIUS Super认证典型组网图

华为用户级别切换认证配置举例_第2张图片

 

4.2  配置思路

1. 配置登录认证

(1)      用户登录时要求提供用户名和密码,因此用户登录采用AAA认证方式。

·              配置登录用户界面的认证方式为scheme

(2)      使用RADIUS服务器进行登录认证。

·              创建RADIUS方案,指定RADIUS服务器IP地址及与其进行交互的相关参数;

·              创建用户的认证域bbb,配置Login用户的认证方案为RADIUS方案。由于无授权需求,配置该域的Login用户的授权方案为none

2. 配置Super认证

管理员使用RADIUS服务器进行Super认证。

·              配置用户认证域的Super认证方案为RADIUS方案;

·              配置Super认证方式为scheme

3. 配置服务器

RADIUS服务器上需要配置相应的认证信息和用户信息。

·              添加管理员的登录用户名和登录密码;

·              添加RADIUS级别切换用户名和级别切换密码。

表4-1 配置要素列表

登录认证方式

/登录认证方案

Super认证方式

/Super认证方案

登录用户名和密码

Super认证用户名和密码

scheme

/ radius-scheme

scheme

/ radius-scheme

用户名:admin@bbb

密码:123456

用户名:$enab3$

密码:pass3

 

说明

由于RADIUS协议无法区分用户所申请的权限级别,所以使用RADIUS进行Super认证时无论用户输入的用户名(或用户登录名)是什么,设备都会根据用户申请的权限级别使用固定用户名“$enab+level$”构造认证请求报文进行认证,其中level为用户申请的权限级别(0~3)。

本例中,管理员要申请切换到级别3,则设备将使用“$enab3$”作为用户名向RADIUS服务器发起认证。(若配置要求用户名中携带域名,则为$enab3@domain$,domain为用户的认证域)。因此,相应的RADIUS服务器上就需要添加用户名为“$enab3$”的用户。

 

4.3  配置步骤

说明

以下配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下配置不冲突。本文档不严格与具体软、硬件版本对应。

 

4.3.1  配置RADIUS server

说明

本文以ACSv4.0为例,说明RADIUS server的基本配置。

在进行下面的配置之前,请保证设备管理员Admin与ACS服务器之间路由可达。

 

(1)      登录ACS服务器

# 如图4所示的Web登录页面中,输入Web登录用户名和密码,单击“Login”按钮,即可登录ACS服务器。

图4-2 登录ACS服务器

华为用户级别切换认证配置举例_第3张图片

 

(2)      添加接入设备

# 在左侧导航栏中选择[Network Configuration],打开网络配置界面,单击<Add Entry>,进入AAA Client的编辑页面。

图4-3 添加接入设备

华为用户级别切换认证配置举例_第4张图片

 

# 在AAA Client的编辑页面中进行如下配置:

·              输入接入设备名称,接入设备IP地址和交互RADIUS报文的共享密钥;

·              选择认证协议类型为“RADIUS+ (IETF)”;

·              单击“Submit + Apply”按钮完成操作。

图4-4 配置接入设备

华为用户级别切换认证配置举例_第5张图片

 

(3)      添加登录用户

# 在左侧导航栏中选择[User Setup],打开用户配置界面,在文本框中输入用户名“admin”,单击“Add/Edit”后,进入该用户的编辑页面。

图4-5 添加登录用户

华为用户级别切换认证配置举例_第6张图片

 

# 填写用户的相关辅助信息,配置用户登录密码为“123456”。

图4-6 配置登录用户信息

华为用户级别切换认证配置举例_第7张图片

 

(4)      添加级别切换用户

# 在左侧导航栏中选择[User Setup],打开用户配置界面,在文本框中输入用户名“$enab3$”,单击“Add/Edit”后,进入该用户的编辑页面。

图4-7 添加级别切换用户

华为用户级别切换认证配置举例_第8张图片华为用户级别切换认证配置举例_第9张图片

 

# 输入用户的相关辅助信息,配置用户登录密码为“pass3”。

图4-8 配置级别切换用户信息

华为用户级别切换认证配置举例_第10张图片华为用户级别切换认证配置举例_第11张图片

 

4.3.2  配置Device

1. 配置步骤

# 配置接口Ethernet1/1的IP地址,Telnet用户将通过该地址连接Device。

<Device> system-view

[Device] interface ethernet 1/1

[Device-Ethernet1/1] ip address 192.168.1.1 255.255.255.0

[Device-Ethernet1/1] quit

# 配置接口Ethernet1/2的IP地址,Device将通过该地址与服务器通信。

[Device] interface ethernet 1/2

[Device-Ethernet1/2] ip address 10.1.1.1 255.255.255.0

[Device-Ethernet1/2] quit

# 开启Device的Telnet服务器功能。

[Device] telnet server enable

# 配置Telnet用户登录采用AAA认证方式。

[Device] user-interface vty 0 4

[Device-ui-vty0-4] authentication-mode scheme

[Device-ui-vty0-4] quit

# 创建RADIUS方案rad。

[Device] radius scheme rad

# 配置主认证服务器的IP地址为10.1.1.2,认证端口号为1812(可选,缺省为1812)。

[Device-radius-rad] primary authentication 10.1.1.2 1812

# 配置与认证服务器交互报文时的共享密钥为expert。

[Device-radius-rad] key authentication expert

# 配置RADIUS服务器的服务类型为standard。(可选,缺省为standard

[Device-radius-rad] server-type standard

# 配置向RADIUS服务器发送的用户名不携带域名。

[Device-radius-rad] user-name-format without-domain

[Device-radius-rad] quit

# 创建ISP域bbb。

[Device] domain bbb

# 配置Login用户的RADIUS认证方案为rad。

[Device-isp-bbb] authentication login radius-scheme rad

# 配置Login用户的授权方案为none

[Device-isp-bbb] authorization login none

# 配置Super认证的RADIUS认证方案为rad。

[Device-isp-bbb] authentication super radius-scheme rad

[Device-isp-bbb] quit

# 配置Super认证方式为scheme

[Device] super authentication-mode scheme scheme

2. 配置文件

[Device] display current-configuration

#

 version 5.20, Release 10601version 5.20, ESS 1907L03

#

 sysname Device

#

 

super authentication-mode scheme

#

telnet server enable

#

radius scheme rad

 primary authentication 10.1.1.2192.168.1.15

 key authentication cipher $c$3$tE9TAUYN8Z6P9EsFLgAdI5/6PeVIdfLzyA==expert

 user-name-format without-domain

#

domain bbb

 authentication login radius-scheme rad

 authorization login none

 authentication super radius-scheme rad

 access-limit disable

 state active

 idle-cut disable

 self-service-url disable

domain system

 access-limit disable

 state active

 idle-cut disable

 self-service-url disable

#

user-group system

 group-attribute allow-guest

#

interface Ethernet1/1

 port link-mode route

 ip address 192.168.1.1 255.255.255.0

#

interface Ethernet1/2

 port link-mode route

 ip address 10.1.1.1 255.255.255.0

#

user-interface con 0

user-interface tty 13

user-interface aux 0

user-interface vty 0 4

 authentication-mode scheme

#

return

4.4  验证结果

可通过以下步骤验证上述配置。

(1)      Telnet用户建立与Device的连接

在Telnet客户端上按照提示输入用户名admin@bbb及密码123456,即可进入Device的用户界面,且只能访问级别为0的命令。

C:\>telnet 192.168.1.1

******************************************************************************

* Copyright (c) 1998-2009 Huawei Tech. Co., Ltd. All rights reserved.        *

* Without the owner's prior written consent,                                 *

* no decompiling or reverse-engineering shall be allowed.                    *

******************************************************************************

 

 

Login authentication

 

 

Username:admin@bbb

Password: <——此处输入登录密码:123456

<Device>?

User view commands:

  cluster  Run cluster command

  display  Display current system information

  ping     Ping function

  quit     Exit from current command view

  rsh      Establish one RSH connection

  ssh2     Establish a secure shell client connection

  super    Set the current user priority level

  telnet   Establish one TELNET connection

  tracert  Trace route function

(2)      切换用户级别

# 在当前的用户界面下执行切换用户级别到3级的命令,按照提示输入RADIUS级别切换密码pass3,即可将当前Telnet用户的级别切换到3级。

<Device> super 3

Password: <——此处输入RADIUS级别切换密码:pass3

User privilege level is 3, and only those commands can be used

whose level is equal or less than this.

Privilege note: 0-VISIT, 1-MONITOR, 2-SYSTEM, 3-MANAGE

5 (HWTACACS + Local)Super认证配置举例

5.1  组网需求

(1)      某部门的所有人员均能以Telnet方式登录网关设备,登录该设备时需要输入用户名和密码,并使用HWTACACS服务器进行认证,认证通过后所能访问的命令级别为0级(访问级),可执行网络诊断等功能的命令(例如ping)。其中,用户名为携带域名的admin@bbb,密码为123456。

(2)      允许管理员将自身级别切换到更高的级别(本例中为3),且切换时需要使用HWTACACS服务器进行认证。当远程Super认证无效时(例如服务器无响应或AAA配置无效),需要本地Super认证做备份方案来保证切换操作可完成。其中,远程Super认证的级别切换密码为pass3,本地Super认证的级别切换密码为localpass。

图5-1 (HWTACACS + Local)Super认证典型组网图

华为用户级别切换认证配置举例_第12张图片

5.2  配置思路

1. 配置登录认证

用户登录时要求提供用户名和密码,因此用户登录采用AAA认证方式。

·              配置登录用户界面的认证方式为scheme

2. 配置Super认证

(1)      使用HWTACACS服务器进行登录认证。

·              创建HWTACACS方案,配置HWTACACS服务器IP地址及与其进行交互的相关参数。

·              创建用户的认证域bbb,配置Login用户的认证方案为HWTACACS方案;由于无授权需求,配置该域的Login用户的授权方案为none

(2)      管理员首先使用HWTACACS服务器进行Super认证,远程Super认证无效时,转为本地Super认证。

·              配置用户认证域的Super认证方案为HWTACACS方案;

·              配置Super认证方式为scheme local

·              配置本地级别切换密码。

3. 配置服务器

HWTACACS服务器上需要配置相应的认证信息和用户信息。

·              添加管理员的登录用户名和登录密码;

·              配置登录用户的HWTACACS级别切换密码。

表5-1 配置要素列表

登录认证方式

/登录认证方案

Super认证方式

/Super认证方案

登录用户名和密码

Super认证密码

scheme

/ hwtacacs-scheme

scheme local

/ hwtacacs-scheme

用户名:admin@bbb

密码:123456

Super认证方式切换前:pass3

Super认证方式切换后:localpass

 

说明

与RADIUS协议不同的是,HWTACACS协议支持用户申请权限级别,因此使用HWTACACS服务器进行Super认证时,若用户登录时输入了用户名,则设备使用用户登录名作为用户名向HWTACACS服务器发起认证,否则使用用户输入的级别切换用户名。

本例中的管理员进行级别切换操作时,由于设备使用登录名进行Super认证,因此仅被提示输入级别切换密码,相应的HWTACACS服务器上就需要配置该登录用户名对应的级别切换密码。

 

5.3  配置步骤

说明

以下配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下配置不冲突。本文档不严格与具体软、硬件版本对应。

 

5.3.1  配置HWTACACS server

说明

本文以ACSv4.0为例,说明HWTACACS server的基本配置。

在进行下面的配置之前,请保证设备管理员Admin与ACS服务器之间路由可达。

 

(1)      登录ACS服务器

# 如图12所示的Web登录页面中,输入Web登录用户名和密码,单击“Login”按钮,即可登录ACS服务器。

图5-2 登录ACS服务器

华为用户级别切换认证配置举例_第13张图片

 

(2)      添加接入设备

# 在左侧导航栏中选择[Network Configuration],打开网络配置界面,单击<Add Entry>,进入AAA Client的编辑页面。

图5-3 添加接入设备

华为用户级别切换认证配置举例_第14张图片

 

# 在AAA Client的编辑页面中进行如下配置:

·              输入接入设备名称,接入设备IP地址和交互HWTACACS报文的共享密钥;

·              选择认证协议类型为“TACACS+ (Cisco IOS)”;

·              单击“Submit + Apply”按钮完成操作。

图5-4 配置接入设备

华为用户级别切换认证配置举例_第15张图片

 

(3)      添加高级选项

# 在左侧导航栏中选择[Interface Configuration],打开接口配置界面,单击“TACACS+(Cisco IOS)”链接,进入TACACS+的高级属性页面。

图5-5 配置用户接口

华为用户级别切换认证配置举例_第16张图片

 

# 选中高级配置选项中的“Advanced TACACS+ Features”项,让用户配置界面中隐藏的高级选项显示出来,该高级选项中包含了Enable密码的相关配置。

图5-6 添加高级选项

华为用户级别切换认证配置举例_第17张图片

 

(4)      添加登录用户

# 在左侧导航栏中选择[User Setup],打开用户配置界面,在文本框中输入用户名“admin”,单击“Add/Edit”后,进入该用户的编辑页面。

图5-7 添加登录用户

华为用户级别切换认证配置举例_第18张图片

 

# 输入用户的相关辅助信息,配置用户登录密码为“123456”。

图5-8 配置登录用户信息

华为用户级别切换认证配置举例_第19张图片

 

(5)      配置级别切换密码

# 继续在用户admin的编辑页面中进行下面的高级TACACS+设置。

·              选中“Max Privilege for any AAA Client”,在下拉框中选择“Level 3”。该配置表示级别切换后,用户可执行的命令的最高级别为3。

·              选择“Use separate password”,输入级别切换密码“pass3”。

·              单击“Submit”按钮完成操作。

图5-9 添加级别切换用户

华为用户级别切换认证配置举例_第20张图片

 

5.3.2  配置Device

1. 配置步骤

# 配置接口Ethernet1/1的IP地址,Telnet用户将通过该地址连接Device。

<Device> system-view

[Device] interface ethernet 1/1

[Device-Ethernet1/1] ip address 192.168.1.1 255.255.255.0

[Device-Ethernet1/1] quit

# 配置接口Ethernet1/2的IP地址,Device将通过该地址与服务器通信。

[Device] interface ethernet 1/2

[Device-Ethernet1/2] ip address 10.1.1.1 255.255.255.0

[Device-Ethernet1/2] quit

# 开启Device的Telnet服务器功能。

[Device] telnet server enable

# 配置Telnet用户登录采用AAA认证方式。

[Device] user-interface vty 0 4

[Device-ui-vty0-4] authentication-mode scheme

[Device-ui-vty0-4] quit

# 创建HWTACACS方案hwtac。

[Device] hwtacacs scheme hwtac

# 配置主认证服务器的IP地址为10.1.1.2,认证端口号为49(可选,缺省为49)。

[Device-hwtacacs-hwtac] primary authentication 10.1.1.2 49

# 配置与认证服务器交互报文时的共享密钥为expert。

[Device-hwtacacs-hwtac] key authentication expert

# 配置向HWTACACS服务器发送的用户名不携带域名。

[Device-hwtacacs-hwtac] user-name-format without-domain

[Device-hwtacacs-hwtac] quit

# 创建ISP域bbb。

[Device] domain bbb

# 配置Login用户的HWTACACS认证方案为hwtac。

[Device-isp-bbb] authentication login hwtacacs-scheme hwtac

# 配置Login用户的授权方案为none

[Device-isp-bbb] authorization login none

# 配置Super认证的HWTACACS认证方案为rad。

[Device-isp-bbb] authentication super hwtacacs-scheme hwtac

[Device-isp-bbb] quit

# 配置Super认证方式为scheme local

[Device] super authentication-mode scheme scheme local

# 配置可切换到级别3的本地级别切换密码为localpass。(level参数可选,缺省为3)

[Device] super password level 3 simple localpass

2. 配置文件

[Device] display current-configuration

#

 version 5.20, Release 10601version 5.20, ESS 1907L03

#

 sysname Device

#

 super password level 3 cipher $c$3$Q+PilXDdUD/j2rRBANnbYr5ZBcGOXoLQDyxd8g==

 super authentication-mode scheme local

#

telnet server enable

#

hwtacacs scheme hwtac

 primary authentication 192.168.1.15

 key authentication cipher $c$3$rPzPN0MlHR7EExRhS5QxKYDmfpCGNdnqkg==expert

 user-name-format without-domain

#

domain bbb

 authentication login hwtacacs-scheme hwtac

 authorization login none

 authentication super hwtacacs-scheme hwtac

 access-limit disable

 state active

 idle-cut disable

 self-service-url disable

domain system

 access-limit disable

 state active

 idle-cut disable

 self-service-url disable

#

user-group system

 group-attribute allow-guest

#

interface Ethernet1/1

 port link-mode route

 ip address 192.168.1.1 255.255.255.0

#

interface Ethernet1/2

 port link-mode route

 ip address 10.1.1.1 255.255.255.0

#

user-interface con 0

user-interface tty 13

user-interface aux 0

user-interface vty 0 4

 authentication-mode scheme

#

return

5.4  验证结果

可通过以下步骤验证上述配置。

(1)      Telnet用户建立与Device的连接

在Telnet客户端上按照提示输入用户名admin@bbb及密码123456,即可进入Device的用户界面,且只能访问级别为0的命令。

C:\>telnet 192.168.1.1

******************************************************************************

* Copyright (c) 1998-2009 Huawei Tech. Co., Ltd. All rights reserved.        *

* Without the owner's prior written consent,                                 *

* no decompiling or reverse-engineering shall be allowed.                    *

******************************************************************************

 

Login authentication

 

 

Username:admin@bbb

Password: <——此处输入登录密码:123456

<Device>?

User view commands:

  cluster  Run cluster command

  display  Display current system information

  ping     Ping function

  quit     Exit from current command view

  rsh      Establish one RSH connection

  ssh2     Establish a secure shell client connection

  super    Set the current user priority level

  telnet   Establish one TELNET connection

  tracert  Trace route function

(2)      切换用户级别

# 在当前的用户界面下执行切换用户级别到3级的命令,按照提示输入HWTACACS级别切换密码pass3,即可将当前Telnet用户的级别切换到3级。

<Device> super 3

Password: <——此处输入HWTACACS级别切换密码:pass3

User privilege level is 3, and only those commands can be used

whose level is equal or less than this.

Privilege note: 0-VISIT, 1-MONITOR, 2-SYSTEM, 3-MANAGE

# 若输入HWTACACS级别切换密码后,系统提示错误并通知用户认证模式已改变,则表示本次切换认证失败。继续按照提示输入本地级别切换认证密码localpass,若认证成功即可将当前Telnet用户的级别切换到3级。

<Device> super 3

 Password:

 Error: Invalid configuration or no response from the authentication server.

 Info: Change authentication mode to local.

 Password: <——此处需输入本地级别切换密码:localpass

User privilege level is 3, and only those commands can be used

whose level is equal or less than this.

Privilege note: 0-VISIT, 1-MONITOR, 2-SYSTEM, 3-MANAGE

你可能感兴趣的:(华为用户级别切换认证配置举例)