引言:交换机、防火墙、路由器的远程管理telnet、ssh是不错的管理方式,但其账号的安全就成为了一种必须考虑的问题,下面我们就来通过aaa服务器来统一管理账号,并可以实现对网络设备的管理 实验拓扑:
实验要求: 借助aaa服务器实现对交换机、防火墙、路由器telnet、ssh用户的远端认证 实验配置: 1、cisco-acs4.0安装 cisco-4.0依赖java环境,要先安装jdk, 选择ACCEPT,
选择四个复选框,查看是否满足要求: a.终端用户能够连接上AAAclient(设备) b.AAA客户端能够ping 通该ACS软件所在服务器 c.所有的AAA客户端运行的系统版本要在11.1 (包括11.1)以上 d.ACS所在服务器上的浏览器版本要求IE v6.0 sp1或者网警浏览器v7.02以上
设置安装路径
高级选项的选择,可根据需要选择;
安装完成后,发现打开桌面上的ACS admin页面是空白的,应修改Internet选项下的安全级别,
调为中低就可以,
安全级别调低后,就可以正常访问了
默认情况下,acs并没有华为设备的服务器类型,只能选用Radius(IETF),自适应类型,故下面可以自己添加huawei设备的服务器类型, [User Defined Vendor] Name=Huawei IETF Code=2011 VSA 29=hw_Exec_Privilege [hw_Exec_Privilege] Type=INTEGER Profile=IN OUT Enums=hw_Exec_Privilege-Values [hw_Exec_Privilege-Values] 0=Access 1=Monitor 2=Manager 3=Administrator [Encryption-Type] 1=1 2=2 3=3 [Ftp_Directory] Type=STRING Profile=OUT 将上面文字另存为h3c.ini 可以放在根目录下,方面添加 打开命令行,切换到ACS的安装目录下
增加华为私有属性:>CSUtil -addUDV 0 c:\h3c.ini (其中0 表示在0 位置,上图中共有0-9个位置)
列举现在的私有属性,出现Huawei私有属性
添加过服务器类型后,就来分别添加aaa客户端,与修改aaa服务器
整体效果图:
勾选华为的私有属性
组用户属性设置
设置radius服务器类型为huawei时,修改权限为管理权限,默认为access,访问权限
添加用户,
案例一、路由器 [Router]radius server 192.168.101.160 #radius服务器的ip地址 [Router]radius shared-key 123456 #验证的密钥对,应与ACS中设置的相同 [Router]aaa authentication-scheme login default radius #登录的用户默认到radius服务器上进行验证 [Router]aaa accounting-scheme optional #设置审计可选
案例二、交换机 [Quidway]radius scheme abc #方案名称abc [Quidway-radius-abc]primary authentication 192.168.101.160 #服务器ip [Quidway-radius-abc]server huawei #服务器类型 [Quidway-radius-abc]key authentication 123456 #密钥对 [Quidway-radius-abc]user-name without-domain #用户发送账号信息时不带域名 [Quidway-radius-abc]accounting optional #审计可选 [Quidway]domain system #使用默认域 [Quidway-isp-system]radius-scheme abc #指明方案 [Quidway-isp-system]access-limit enable 10 #允许最大的连接数量10 [Quidway]user-interface vty 0 4 #进入虚拟终端配置 [Quidway-ui-vty0-4]authentication-mode scheme #验证方式为账号 [Quidway-ui-vty0-4]protocol inbound all #允许进入的协议为all(ssh + telnet) [Quidway]rsa local-key-pair create #创建密钥对 [Quidway]ssh user user1 authentication-type all [S2403H-EI] [Quidway]ssh authentication-type default all [S2403H-HI] [Quidway]super password simple 123 设置切换到管理员的密码,否则ssh用户登录后将无权限来管理交换机
当ssh登录,要将server-type 改为standard默认,也就是标准的,并且登录后其权限值也较低,
案例三、防火墙 [H3C]firewall zone trust [H3C-zone-trust]add inter eth0/0 #加到信任域 [H3C]radius scheme abc #方案名称abc [H3C-radius-abc]primary authentication 192.168.101.160 [H3C-radius-abc]server-type standard [H3C-radius-abc]key authentication 123456 [H3C-radius-abc]accounting optional [H3C-radius-abc]user without-domain [H3C]domain system [H3C-isp-system]radius-scheme abc [H3C-isp-system]access-limit enab 10 [H3C-isp-system]accounting optional [H3C]rsa local-key-pair create #创建密钥对 [H3C]ssh authentication-type default all #ssh的验证方式默认为所有方式
将进入0级别
可以先配置super 密码,切换到管理员级别
[H3C]super password level 3 simple 123 设置切换到管理员级别的密码 也可以自己创建域,然后将其设为默认域, 例:[H3C]domain default enable example
结束了,以后就不用再担心设备的账号难管理了 |