安全與VPN-用戶級別切換認(rèn)證配置舉例-D

1、，安全與VPN-用戶級別切換認(rèn)證配置舉例用戶級別切換認(rèn)證配置舉例杭州華三通信技術(shù)有限公司第 PAGE 26頁，共26頁 HYPERLINK / 用戶級別切換認(rèn)證配置舉例關(guān)鍵詞：用戶級別切換認(rèn)證，RADIUS，HWTACACS縮略語英文全名中文解釋AAAAuthentication, Authorization, Accounting認(rèn)證、授權(quán)、計(jì)費(fèi)RADIUSRemote Authentication Dial-In User Service遠(yuǎn)程認(rèn)證撥號(hào)用戶服務(wù)HWTACACSHW Terminal Access Controller Access Control SystemHW 終端訪問控

2、制器控制系統(tǒng)協(xié)議摘 要：本文結(jié)合不同的登錄認(rèn)證方式，詳細(xì)介紹了三種用戶級別切換認(rèn)證的配置思路和配置過程。縮略語：目 錄 HYPERLINK l _bookmark0 特性簡介 HYPERLINK l _bookmark0 3 HYPERLINK l _bookmark0 應(yīng)用場合 HYPERLINK l _bookmark0 3 HYPERLINK l _bookmark1 本地Super認(rèn)證配置舉例 HYPERLINK l _bookmark1 4 HYPERLINK l _bookmark1 組網(wǎng)需求 HYPERLINK l _bookmark1 4 HYPERLINK l _bookma

3、rk1 配置思路 HYPERLINK l _bookmark1 4 HYPERLINK l _bookmark2 配置步驟 HYPERLINK l _bookmark2 5 HYPERLINK l _bookmark3 驗(yàn)證結(jié)果 HYPERLINK l _bookmark3 7 HYPERLINK l _bookmark4 RADIUS Super認(rèn)證配置舉例 HYPERLINK l _bookmark4 8 HYPERLINK l _bookmark4 組網(wǎng)需求 HYPERLINK l _bookmark4 8 HYPERLINK l _bookmark5 配置思路 HYPERLINK l

4、_bookmark5 9 HYPERLINK l _bookmark6 配置步驟 HYPERLINK l _bookmark6 10 HYPERLINK l _bookmark6 配置RADIUS server HYPERLINK l _bookmark6 10 HYPERLINK l _bookmark7 配置Device HYPERLINK l _bookmark7 14 HYPERLINK l _bookmark8 驗(yàn)證結(jié)果 HYPERLINK l _bookmark8 16 HYPERLINK l _bookmark9 （HWTACACS + Local）Super認(rèn)證配置舉例 HYP

5、ERLINK l _bookmark9 17 HYPERLINK l _bookmark9 組網(wǎng)需求 HYPERLINK l _bookmark9 17 HYPERLINK l _bookmark9 配置思路 HYPERLINK l _bookmark9 17 HYPERLINK l _bookmark10 配置步驟 HYPERLINK l _bookmark10 18 HYPERLINK l _bookmark10 配置HWTACACS server HYPERLINK l _bookmark10 18 HYPERLINK l _bookmark12 配置Device HYPERLINK l

6、 _bookmark12 23 HYPERLINK l _bookmark13 驗(yàn)證結(jié)果 HYPERLINK l _bookmark13 25 HYPERLINK l _bookmark14 相關(guān)資料 HYPERLINK l _bookmark14 26特性簡介用戶在不退出當(dāng)前登錄、不斷開當(dāng)前連接的前提下，可以通過執(zhí)行 super 命令暫時(shí)將自身的用戶級別從當(dāng)前的級別切換到指定的級別。級別切換后用戶不需要重新登錄，可以繼續(xù)配置設(shè)備，只是可以執(zhí)行的命令會(huì)不一樣。且切換后的級別是臨時(shí)的，只對當(dāng)前登錄生效，用戶重新登錄后， 又會(huì)恢復(fù)到原有級別。當(dāng)使用 super 命令從低級別往高級別切換時(shí)，相當(dāng)于用

7、戶請求增加訪問權(quán)限，因此系統(tǒng)需要對這種級別提升行為進(jìn)行認(rèn)證，只有認(rèn)證通過，才賦予該用戶新的訪問權(quán)限。我們簡稱這種用戶級別提升切換認(rèn)證為 Super 認(rèn)證。應(yīng)用場合目前，設(shè)備上支持兩種 Super 認(rèn)證方案：本地級別切換認(rèn)證（本地 Super 認(rèn)證）和遠(yuǎn)程 AAA 級別切換認(rèn)證（遠(yuǎn)程 Super 認(rèn)證）。本地 Super 認(rèn)證本地 Super 認(rèn)證是指，使用一個(gè)本地配置的密碼對級別切換行為進(jìn)行認(rèn)證。對于要切換到某一個(gè)級別的行為，所有用戶均使用同一個(gè)密碼。如下所示，任何登錄到設(shè)備上的用戶，要切換到 3 級別時(shí)，只需要正確輸入一個(gè)該設(shè)備上預(yù)先設(shè)置的本地級別切換密碼就可以。 super 3Passwo

8、rd: 此處輸入本地級別切換密碼User privilege level is 3, and only those commands can be used whose level is equal or less than this.Privilege note: 0-VISIT, 1-MONITOR, 2-SYSTEM, 3-MANAGE本地級別切換認(rèn)證方式具有配置簡單、易用的優(yōu)點(diǎn)，適合于網(wǎng)絡(luò)拓?fù)浜唵?，設(shè)備管理員權(quán)限統(tǒng)一，級別切換安全性要求不高的組網(wǎng)環(huán)境中。遠(yuǎn)程 Super 認(rèn)證遠(yuǎn)程 Super 認(rèn)證是指，使用遠(yuǎn)程 AAA 服務(wù)器對級別切換行為進(jìn)行認(rèn)證。如下所示，登錄到設(shè)備上的某管理員，要

9、切換到 3 級別時(shí)，需要正確輸入用戶名和對應(yīng)的級別切換密碼。 super 3 Username:oliveabcPassword: 此處輸入對應(yīng)的級別切換密碼User privilege level is 3, and only those commands can be used whose level is equal or less than this.Privilege note: 0-VISIT, 1-MONITOR, 2-SYSTEM, 3-MANAGE遠(yuǎn)程 Super 認(rèn)證需要部署相應(yīng)的 AAA 服務(wù)器來配合，用戶信息的管理與維護(hù)上比本地 Super 認(rèn)證稍顯復(fù)雜，但它具有如下優(yōu)

10、點(diǎn)：用戶進(jìn)行級別切換操作時(shí)使用相應(yīng)的級別切換用戶名和密碼在遠(yuǎn)程 AAA（ RADIUS 或HWTACACS）服務(wù)器上進(jìn)行身份認(rèn)證，不同的用戶可擁有不同的級別切換權(quán)限。通過與本地級別切換認(rèn)證組合使用，可支持兩種認(rèn)證切換方案（遠(yuǎn)程 Super 認(rèn)證無響應(yīng)的情況下轉(zhuǎn)本地 Super 認(rèn)證、本地級別切換密碼沒有設(shè)置時(shí)轉(zhuǎn)遠(yuǎn)程 Super 認(rèn)證），增強(qiáng)了認(rèn)證的可靠性，提高了設(shè)備管理的靈活性。因此，遠(yuǎn)程 Super 認(rèn)證適合于，網(wǎng)絡(luò)環(huán)境較為復(fù)雜，設(shè)備管理員權(quán)限需區(qū)分，級別切換安全性要求較高的組網(wǎng)環(huán)境中。本地 Super 認(rèn)證配置舉例組網(wǎng)需求某部門的所有人員均能以 Telnet 方式登錄網(wǎng)關(guān)設(shè)備，登錄該設(shè)備時(shí)

11、需要輸入用戶名和密碼， 身份認(rèn)證通過后所能訪問的命令級別為 1 級（監(jiān)控級），可執(zhí)行簡單的系統(tǒng)維護(hù)與業(yè)務(wù)故障診斷功能（例如 debugging）。其中，用戶名為攜帶域名的 testbbb，密碼為 123456。所有用戶切換自身用戶級別到更高的級別（本例中為 3）時(shí)，只需要輸入級別切換密碼，密碼正確就能成功切換到高級別。其中，級別切換密碼為 localpass。圖1 本地 Super 認(rèn)證典型組網(wǎng)圖配置思路配置登錄認(rèn)證用戶登錄時(shí)要求提供用戶名和密碼，因此用戶登錄采用 AAA 認(rèn)證方式。配置登錄用戶界面的認(rèn)證方式為 scheme。由于該組網(wǎng)環(huán)境中未部署遠(yuǎn)程 AAA 服務(wù)器，所以登錄認(rèn)證采用本地認(rèn)證

12、方案，使用設(shè)備上配置的本地用戶信息（local-user）來驗(yàn)證用戶身份。用戶登錄后的用戶級別由本地用戶的授權(quán)屬性決定。創(chuàng)建用戶的認(rèn)證域 bbb，配置 Login 用戶的認(rèn)證方案為 local；創(chuàng)建本地用戶，配置用戶登錄密碼和登錄后的用戶級別。配置 Super 認(rèn)證所有用戶切換級別使用相同的切換密碼，不需要輸入用戶名，因此級別切換認(rèn)證采用本地 Super認(rèn)證，使用設(shè)備上配置的本地級別切換密碼來認(rèn)證切換行為。配置 Super 認(rèn)證方式為 local；配置本地級別切換密碼。表1 配置要素列表登錄認(rèn)證方式登錄認(rèn)證方案Super 認(rèn)證方式登錄用戶名和密碼Super 認(rèn)證密碼schemelocalloc

13、al用戶名：testbbb密碼：123456localpass配置步驟以下配置均是在實(shí)驗(yàn)室環(huán)境下進(jìn)行的配置和驗(yàn)證，配置前設(shè)備的所有參數(shù)均采用出廠時(shí)的缺省配置。如果您已經(jīng)對設(shè)備進(jìn)行了配置，為了保證配置效果，請確認(rèn)現(xiàn)有配置和以下配置不沖突。本文檔不嚴(yán)格與具體軟、硬件版本對應(yīng)。配置步驟# 配置接口 Ethernet1/1 的 IP 地址，Telnet 用戶將通過該地址連接 Device。 system-viewDevice interface ethernet 1/1Device-Ethernet1/1 ip address Device-Ethernet1/1 quit# 開啟 Telnet 服務(wù)

14、器功能。Device telnet server enable# 配置 Telnet 用戶登錄采用 AAA 認(rèn)證方式。Device user-interface vty 0 4Device-ui-vty0-4 authentication-mode scheme Device-ui-vty0-4 quit# 創(chuàng)建 ISP 域 bbb。Device domain bbb# 配置 Login 用戶的認(rèn)證/授權(quán)方案為 local。（可選，ISP 域的缺省認(rèn)證/授權(quán)方案為 local）Device-isp-bbb authentication login local Device-isp-bbb au

15、thorization login local Device-isp-bbb quit# 創(chuàng)建本地用戶 test，服務(wù)器類型為 Telnet，密碼為 123456。Device local-user testDevice-luser-test service-type telnet Device-luser-test password simple 123456# 指定 Telnet 用戶登錄系統(tǒng)后所能訪問的命令級別為 1 級。Device-luser-test authorization-attribute level 1 Device-luser-test quit# 配置 Super 認(rèn)

16、證方式為 local。Device super authentication-mode local# 配置可切換到級別 3 的本地級別切換密碼為 localpass。（level 參數(shù)可選，缺省為 3）Device super password level 3 simple localpass配置文件Device display current-configuration #version 5.20, ESS 1907L03 #sysname Device #super password level 3 simple localpass #domain default enable syste

17、m #telnet server enable #domain bbbauthentication login local authorization login local access-limit disablestate active idle-cut disableself-service-url disable domain systemaccess-limit disable state activeidle-cut disableself-service-url disable #user-group system #local-user test password simple

18、 123456authorization-attribute level 1 service-type telnet#interface Ethernet1/1 port link-mode routeip address #interface Ethernet1/2 port link-mode route#user-interfacecon0user-interfacetty13user-interfaceauxuser-interfacevty0 4authentication-mode scheme #return驗(yàn)證結(jié)果可通過以下步驟驗(yàn)證上述配置。Telnet 用戶建立與 Devic

19、e 的連接在 Telnet 客戶端上按照提示輸入用戶名 testbbb 及密碼 123456，即可進(jìn)入 Device 的用戶界面，且只能訪問級別為 1 的命令。C:telnet *Copyright (c) 1998-2009 Huawei Tech. Co., Ltd. All rights reserved.*Without the owners prior written consent,*no decompiling or reverse-engineering shall be allowed.*Login authenticationUsername:testbbbPassword

20、: 此處輸入登錄密碼：123456?User view commands:clusterRun cluster commanddebuggingEnable system debugging functions dialerDialer disconnectdisplayDisplay current system information pingPing functionquitExit from current command viewrefreshDo soft resetresetReset operationrshEstablish one RSH connectionscreen-

21、lengthSpecify the lines displayed on one screensendSend information to other user terminal interface ssh2Establish a secure shell client connectionsuperSet the current user priority level telnetEstablish one TELNET connection terminalSet the terminal line characteristics tracertTrace route functionu

22、ndoCancel current setting切換用戶級別# 在當(dāng)前的用戶界面下執(zhí)行切換用戶級別到 3 級的命令，按照提示輸入本地級別切換密碼localpass，即可將當(dāng)前 Telnet 用戶的級別切換到 3 級。 super 3Password: 此處輸入本地級別切換密碼：localpassUser privilege level is 3, and only those commands can be used whose level is equal or less than this.Privilege note: 0-VISIT, 1-MONITOR, 2-SYSTEM, 3-M

23、ANAGERADIUS Super 認(rèn)證配置舉例組網(wǎng)需求某部門的所有人員均能以 Telnet 方式登錄網(wǎng)關(guān)設(shè)備，登錄該設(shè)備時(shí)需要輸入用戶名和密碼， 并使用 RADIUS 服務(wù)器進(jìn)行認(rèn)證，身份認(rèn)證通過后所能訪問的命令級別為 0 級（訪問級）， 可執(zhí)行網(wǎng)絡(luò)診斷等功能的命令（例如 ping）。其中，用戶名為攜帶域名的 adminbbb，密碼為 123456。允許管理員將自身級別切換到更高的級別（本例中為 3），且切換時(shí)需要使用 RADIUS 服務(wù)器進(jìn)行認(rèn)證。其中，級別切換密碼為 pass3。圖2 RADIUS Super 認(rèn)證典型組網(wǎng)圖配置思路配置登錄認(rèn)證用戶登錄時(shí)要求提供用戶名和密碼，因此用戶登錄

24、采用 AAA 認(rèn)證方式。配置登錄用戶界面的認(rèn)證方式為 scheme。使用 RADIUS 服務(wù)器進(jìn)行登錄認(rèn)證。創(chuàng)建 RADIUS 方案，指定 RADIUS 服務(wù)器 IP 地址及與其進(jìn)行交互的相關(guān)參數(shù)；創(chuàng)建用戶的認(rèn)證域 bbb，配置 Login 用戶的認(rèn)證方案為 RADIUS 方案。由于無授權(quán)需求，配置該域的 Login 用戶的授權(quán)方案為 none。配置 Super 認(rèn)證管理員使用 RADIUS 服務(wù)器進(jìn)行 Super 認(rèn)證。配置用戶認(rèn)證域的 Super 認(rèn)證方案為 RADIUS 方案；配置 Super 認(rèn)證方式為 scheme。配置服務(wù)器RADIUS 服務(wù)器上需要配置相應(yīng)的認(rèn)證信息和用戶信息。添

25、加管理員的登錄用戶名和登錄密碼；添加 RADIUS 級別切換用戶名和級別切換密碼。表2 配置要素列表登錄認(rèn)證方式/登錄認(rèn)證方案Super 認(rèn)證方式/Super 認(rèn)證方案登錄用戶名和密碼Super 認(rèn)證用戶名和密碼scheme/ radius-schemescheme/ radius-scheme用戶名：adminbbb 密碼：123456用戶名：$enab3 密碼：pass3由于 RADIUS 協(xié)議無法區(qū)分用戶所申請的權(quán)限級別，所以使用 RADIUS 進(jìn)行 Super 認(rèn)證時(shí)無論用戶輸入的用戶名（或用戶登錄名）是什么，設(shè)備都會(huì)根據(jù)用戶申請的權(quán)限級別使用固定用戶名“$enab+level”構(gòu)造認(rèn)

26、證請求報(bào)文進(jìn)行認(rèn)證，其中 level 為用戶申請的權(quán)限級別（03）。本例中，管理員要申請切換到級別 3，則設(shè)備將使用“$enab3”作為用戶名向 RADIUS 服務(wù)器發(fā)起認(rèn)證。（若配置要求用戶名中攜帶域名，則為$enab3domain，domain 為用戶的認(rèn)證域）。因此，相應(yīng)的 RADIUS 服務(wù)器上就需要添加用戶名為“$enab3”的用戶。配置步驟以下配置均是在實(shí)驗(yàn)室環(huán)境下進(jìn)行的配置和驗(yàn)證，配置前設(shè)備的所有參數(shù)均采用出廠時(shí)的缺省配置。如果您已經(jīng)對設(shè)備進(jìn)行了配置，為了保證配置效果，請確認(rèn)現(xiàn)有配置和以下配置不沖突。本文檔不嚴(yán)格與具體軟、硬件版本對應(yīng)。配置 RADIUS server本文以 AC

27、Sv4.0 為例，說明 RADIUS server 的基本配置。在進(jìn)行下面的配置之前，請保證設(shè)備管理員 Admin 與 ACS 服務(wù)器之間路由可達(dá)。登錄 ACS 服務(wù)器# 如 HYPERLINK l _bookmark6 圖 3所示的Web登錄頁面中，輸入Web登錄用戶名和密碼，單擊“Login”按鈕，即可登錄ACS服務(wù)器。圖3 登錄 ACS 服務(wù)器添加接入設(shè)備# 在左側(cè)導(dǎo)航欄中選擇Network Configuration，打開網(wǎng)絡(luò)配置界面，單擊，進(jìn)入AAA Client 的編輯頁面。圖4 添加接入設(shè)備# 在 AAA Client 的編輯頁面中進(jìn)行如下配置：輸入接入設(shè)備名稱，接入設(shè)備 IP

28、地址和交互 RADIUS 報(bào)文的共享密鑰；選擇認(rèn)證協(xié)議類型為“RADIUS+ (IETF)”；單擊“Submit + Apply”按鈕完成操作。圖5 配置接入設(shè)備添加登錄用戶# 在左側(cè)導(dǎo)航欄中選擇User Setup，打開用戶配置界面，在文本框中輸入用戶名“admin”，單擊“Add/Edit”后，進(jìn)入該用戶的編輯頁面。圖6 添加登錄用戶# 填寫用戶的相關(guān)輔助信息，配置用戶登錄密碼為“123456”。圖7 配置登錄用戶信息添加級別切換用戶# 在左側(cè)導(dǎo)航欄中選擇User Setup，打開用戶配置界面，在文本框中輸入用戶名“$enab3”，單擊“Add/Edit”后，進(jìn)入該用戶的編輯頁面。圖8 添

29、加級別切換用戶# 輸入用戶的相關(guān)輔助信息，配置用戶登錄密碼為“pass3”。圖9 配置級別切換用戶信息配置 Device配置步驟# 配置接口 Ethernet1/1 的 IP 地址，Telnet 用戶將通過該地址連接 Device。 system-viewDevice interface ethernet 1/1Device-Ethernet1/1 ip address Device-Ethernet1/1 quit# 配置接口 Ethernet1/2 的 IP 地址，Device 將通過該地址與服務(wù)器通信。Device interface ethernet 1/2Device-Etherne

30、t1/2 ip address Device-Ethernet1/2 quit# 開啟 Device 的 Telnet 服務(wù)器功能。Device telnet server enable# 配置 Telnet 用戶登錄采用 AAA 認(rèn)證方式。Device user-interface vty 0 4Device-ui-vty0-4 authentication-mode scheme Device-ui-vty0-4 quit# 創(chuàng)建 RADIUS 方案 rad。Device radius scheme rad# 配置主認(rèn)證服務(wù)器的 IP 地址為 ，認(rèn)證端口號(hào)為 1812（可選，缺省為 181

31、2）。Device-radius-rad primary authentication 1812 # 配置與認(rèn)證服務(wù)器交互報(bào)文時(shí)的共享密鑰為 expert。Device-radius-rad key authentication expert# 配置 RADIUS 服務(wù)器的服務(wù)類型為 standard。（可選，缺省為 standard）Device-radius-rad server-type standard# 配置向 RADIUS 服務(wù)器發(fā)送的用戶名不攜帶域名。Device-radius-rad user-name-format without-domain Device-radius-r

32、ad quit# 創(chuàng)建 ISP 域 bbb。Device domain bbb# 配置 Login 用戶的 RADIUS 認(rèn)證方案為 rad。Device-isp-bbb authentication login radius-scheme rad# 配置 Login 用戶的授權(quán)方案為 none。Device-isp-bbb authorization login none # 配置 Super 認(rèn)證的 RADIUS 認(rèn)證方案為 rad。Device-isp-bbb authentication super radius-scheme rad Device-isp-bbb quit# 配置 S

33、uper 認(rèn)證方式為 scheme。Device super authentication-mode scheme scheme配置文件Device display current-configuration #version 5.20, ESS 1907L03 #sysname Device #super authentication-mode scheme #telnet server enable #radius scheme radprimary authentication 5 key authentication expertuser-name-format without-dom

34、ain #domain bbbauthentication login radius-scheme rad authorization login none authentication super radius-scheme rad access-limit disablestate active idle-cut disableself-service-url disable domain systemaccess-limit disable state activeidle-cut disableself-service-url disable #user-group system #i

35、nterface Ethernet1/1 port link-mode routeip address #interface Ethernet1/2 port link-mode routeip address #user-interface con 0user-interface tty 13user-interface aux 0user-interface vty 0 4 authentication-mode scheme#return驗(yàn)證結(jié)果可通過以下步驟驗(yàn)證上述配置。Telnet 用戶建立與 Device 的連接在 Telnet 客戶端上按照提示輸入用戶名 adminbbb 及密碼

36、 123456，即可進(jìn)入 Device 的用戶界面，且只能訪問級別為 0 的命令。C:telnet *Copyright (c) 1998-2009 Huawei Tech. Co., Ltd. All rights reserved.*Without the owners prior written consent,*no decompiling or reverse-engineering shall be allowed.*Login authenticationUsername:adminbbbPassword: 此處輸入登錄密碼：123456?User view commands:c

37、lusterRun cluster commanddisplayDisplay current system information pingPing functionquitExit from current command view rshEstablish one RSH connectionssh2Establish a secure shell client connection superSet the current user priority leveltelnetEstablish one TELNET connection tracertTrace route functi

38、on切換用戶級別# 在當(dāng)前的用戶界面下執(zhí)行切換用戶級別到 3 級的命令，按照提示輸入 RADIUS 級別切換密碼pass3，即可將當(dāng)前 Telnet 用戶的級別切換到 3 級。 super 3Password: 此處輸入RADIUS 級別切換密碼：pass3User privilege level is 3, and only those commands can be used whose level is equal or less than this.Privilege note: 0-VISIT, 1-MONITOR, 2-SYSTEM, 3-MANAGE（HWTACACS + Loc

39、al）Super 認(rèn)證配置舉例組網(wǎng)需求某部門的所有人員均能以 Telnet 方式登錄網(wǎng)關(guān)設(shè)備，登錄該設(shè)備時(shí)需要輸入用戶名和密碼， 并使用 HWTACACS 服務(wù)器進(jìn)行認(rèn)證，認(rèn)證通過后所能訪問的命令級別為 0 級（訪問級）， 可執(zhí)行網(wǎng)絡(luò)診斷等功能的命令（例如 ping）。其中，用戶名為攜帶域名的 adminbbb，密碼為 123456。允許管理員將自身級別切換到更高的級別（本例中為 3），且切換時(shí)需要使用 HWTACACS 服務(wù)器進(jìn)行認(rèn)證。當(dāng)遠(yuǎn)程 Super 認(rèn)證無效時(shí)（例如服務(wù)器無響應(yīng)或 AAA 配置無效），需要本地 Super 認(rèn)證做備份方案來保證切換操作可完成。其中，遠(yuǎn)程 Super 認(rèn)證

40、的級別切換密碼為 pass3，本地 Super 認(rèn)證的級別切換密碼為 localpass。圖10 （HWTACACS + Local）Super 認(rèn)證典型組網(wǎng)圖配置思路配置登錄認(rèn)證用戶登錄時(shí)要求提供用戶名和密碼，因此用戶登錄采用 AAA 認(rèn)證方式。配置登錄用戶界面的認(rèn)證方式為 scheme。配置 Super 認(rèn)證使用 HWTACACS 服務(wù)器進(jìn)行登錄認(rèn)證。創(chuàng)建 HWTACACS 方案，配置 HWTACACS 服務(wù)器 IP 地址及與其進(jìn)行交互的相關(guān)參數(shù)。創(chuàng)建用戶的認(rèn)證域 bbb，配置 Login 用戶的認(rèn)證方案為 HWTACACS 方案；由于無授權(quán)需求，配置該域的 Login 用戶的授權(quán)方案為

41、none。管理員首先使用 HWTACACS 服務(wù)器進(jìn)行 Super 認(rèn)證，遠(yuǎn)程 Super 認(rèn)證無效時(shí)，轉(zhuǎn)為本地Super 認(rèn)證。配置用戶認(rèn)證域的 Super 認(rèn)證方案為 HWTACACS 方案；配置 Super 認(rèn)證方式為 scheme local；配置本地級別切換密碼。配置服務(wù)器HWTACACS 服務(wù)器上需要配置相應(yīng)的認(rèn)證信息和用戶信息。添加管理員的登錄用戶名和登錄密碼；配置登錄用戶的 HWTACACS 級別切換密碼。表3 配置要素列表登錄認(rèn)證方式/登錄認(rèn)證方案Super 認(rèn)證方式/Super 認(rèn)證方案登錄用戶名和密碼Super 認(rèn)證密碼scheme/ hwtacacs-schemesch

42、eme local/ hwtacacs-scheme用戶名：adminbbb密碼：123456Super 認(rèn)證方式切換前：pass3Super 認(rèn)證方式切換后：localpass與 RADIUS 協(xié)議不同的是，HWTACACS 協(xié)議支持用戶申請權(quán)限級別，因此使用 HWTACACS 服務(wù)器進(jìn)行 Super 認(rèn)證時(shí)，若用戶登錄時(shí)輸入了用戶名，則設(shè)備使用用戶登錄名作為用戶名向HWTACACS 服務(wù)器發(fā)起認(rèn)證，否則使用用戶輸入的級別切換用戶名。本例中的管理員進(jìn)行級別切換操作時(shí)，由于設(shè)備使用登錄名進(jìn)行 Super 認(rèn)證，因此僅被提示輸入級別切換密碼，相應(yīng)的 HWTACACS 服務(wù)器上就需要配置該登錄用戶

43、名對應(yīng)的級別切換密碼。配置步驟以下配置均是在實(shí)驗(yàn)室環(huán)境下進(jìn)行的配置和驗(yàn)證，配置前設(shè)備的所有參數(shù)均采用出廠時(shí)的缺省配置。如果您已經(jīng)對設(shè)備進(jìn)行了配置，為了保證配置效果，請確認(rèn)現(xiàn)有配置和以下配置不沖突。本文檔不嚴(yán)格與具體軟、硬件版本對應(yīng)。配置 HWTACACS server本文以 ACSv4.0 為例，說明 HWTACACS server 的基本配置。在進(jìn)行下面的配置之前，請保證設(shè)備管理員 Admin 與 ACS 服務(wù)器之間路由可達(dá)。登錄 ACS 服務(wù)器# 如 HYPERLINK l _bookmark11 圖 11所示的Web登錄頁面中，輸入Web登錄用戶名和密碼，單擊“Login”按鈕，即可登錄

44、ACS服務(wù)器。圖11 登錄 ACS 服務(wù)器添加接入設(shè)備# 在左側(cè)導(dǎo)航欄中選擇Network Configuration，打開網(wǎng)絡(luò)配置界面，單擊，進(jìn)入AAA Client 的編輯頁面。圖12 添加接入設(shè)備# 在 AAA Client 的編輯頁面中進(jìn)行如下配置：輸入接入設(shè)備名稱，接入設(shè)備 IP 地址和交互 HWTACACS 報(bào)文的共享密鑰；選擇認(rèn)證協(xié)議類型為“TACACS+ (Cisco IOS)”；單擊“Submit + Apply”按鈕完成操作。圖13 配置接入設(shè)備添加高級選項(xiàng)# 在左側(cè)導(dǎo)航欄中選擇Interface Configuration，打開接口配置界面，單擊“TACACS+(Cisc

45、o IOS)”鏈接，進(jìn)入 TACACS+的高級屬性頁面。圖14 配置用戶接口# 選中高級配置選項(xiàng)中的“Advanced TACACS+ Features”項(xiàng)，讓用戶配置界面中隱藏的高級選項(xiàng)顯示出來，該高級選項(xiàng)中包含了 Enable 密碼的相關(guān)配置。圖15 添加高級選項(xiàng)添加登錄用戶# 在左側(cè)導(dǎo)航欄中選擇User Setup，打開用戶配置界面，在文本框中輸入用戶名“admin”，單擊“Add/Edit”后，進(jìn)入該用戶的編輯頁面。圖16 添加登錄用戶# 輸入用戶的相關(guān)輔助信息，配置用戶登錄密碼為“123456”。圖17 配置登錄用戶信息配置級別切換密碼# 繼續(xù)在用戶 admin 的編輯頁面中進(jìn)行下面

46、的高級 TACACS+設(shè)置。選中“Max Privilege for any AAA Client”，在下拉框中選擇“Level 3”。該配置表示級別切換后，用戶可執(zhí)行的命令的最高級別為 3。選擇“Use separate password”，輸入級別切換密碼“pass3”。單擊“Submit”按鈕完成操作。圖18 添加級別切換用戶配置 Device配置步驟# 配置接口 Ethernet1/1 的 IP 地址，Telnet 用戶將通過該地址連接 Device。 system-viewDevice interface ethernet 1/1Device-Ethernet1/1 ip addre

47、ss Device-Ethernet1/1 quit# 配置接口 Ethernet1/2 的 IP 地址，Device 將通過該地址與服務(wù)器通信。Device interface ethernet 1/2Device-Ethernet1/2 ip address Device-Ethernet1/2 quit# 開啟 Device 的 Telnet 服務(wù)器功能。Device telnet server enable# 配置 Telnet 用戶登錄采用 AAA 認(rèn)證方式。Device user-interface vty 0 4Device-ui-vty0-4 authentication-mo

48、de scheme Device-ui-vty0-4 quit# 創(chuàng)建 HWTACACS 方案 hwtac。Device hwtacacs scheme hwtac# 配置主認(rèn)證服務(wù)器的 IP 地址為 ，認(rèn)證端口號(hào)為 49（可選，缺省為 49）。Device-hwtacacs-hwtac primary authentication 49# 配置與認(rèn)證服務(wù)器交互報(bào)文時(shí)的共享密鑰為 expert。Device-hwtacacs-hwtac key authentication expert# 配置向 HWTACACS 服務(wù)器發(fā)送的用戶名不攜帶域名。Device-hwtacacs-hwtac us

49、er-name-format without-domain Device-hwtacacs-hwtac quit# 創(chuàng)建 ISP 域 bbb。Device domain bbb# 配置 Login 用戶的 HWTACACS 認(rèn)證方案為 hwtac。Device-isp-bbb authentication login hwtacacs-scheme hwtac# 配置 Login 用戶的授權(quán)方案為 none。Device-isp-bbb authorization login none# 配置 Super 認(rèn)證的 HWTACACS 認(rèn)證方案為 rad。Device-isp-bbb authen

50、tication super hwtacacs-scheme hwtac Device-isp-bbb quit# 配置 Super 認(rèn)證方式為 scheme local。Device super authentication-mode scheme scheme local# 配置可切換到級別 3 的本地級別切換密碼為 localpass。（level 參數(shù)可選，缺省為 3）Device super password level 3 simple localpass配置文件Device display current-configuration #version 5.20, ESS 1907

51、L03 #sysname Device #super authentication-mode scheme #telnet server enable #hwtacacs scheme hwtacprimary authentication 5 key authentication expertuser-name-format without-domain#domain bbbauthentication login hwtacacs-scheme hwtac authorization login noneauthentication super hwtacacs-scheme hwtac access-limit disablestate active idle-cut disableself-service-url disable domain systemaccess-limit disable state activeidle-cut disableself-service-url disable #user-group system #interface Ethernet1/1 port link-mod