当前位置: 首页 > 网络安全 > NAC网络准入控制、radius、802.1X、AAA > AAA
cjhcjh AAA   此文章访问量   2099

华为交换机:配置管理员使用RADIUS+Local方式认证并授权用户级别示例(群晖NAS作为Radius Server,交换机与radius通信等正常时,交换机上配置的localuser就不起作用)

华为交换机:配置管理员使用RADIUS+Local方式认证并授权用户级别示例(群晖NAS作为Radius Server,交换机与radius通信等正常时,交换机上配置的localuser就不起作用)

组网需求
如图所示,网络中部署了RADIUS服务器,企业希望管理员使用RADIUS认证,通过STelnet登录设备:
    管理员输入正确的用户名和密码才能通过STelnet登录设备。
    管理员通过STelnet登录设备后,服务器授权用户级别为15级,可以执行命令级别为0~15的所有命令行。
    当服务器不回应设备的认证请求时(例如,设备和服务器之间链路中断时),管理员登录设备时转为Local认证

注意事项
(1)配置前请确保各设备之间路由可达。
(2)请确保RADIUS服务器模板内的共享密钥和RADIUS服务器上的配置保持一致。
(3)如果登录的账号在RADIUS服务器上没有创建,但是在本地存在。RADIUS认证时,将被认为认证失败,不再转入本地认证。只有在RADIUS服务器Down或者无响应时,才会转入本地认证。
(4)如果计费方案配置计费模式为RADIUS,为避免设备和服务器之间链路中断后,管理员用户本地认证通过,而开始计费失败导致用户登录失败,所以需要在计费方案下配置命令:accounting start-fail online,确保初始计费失败后允许用户上线。
(5)如果RADIUS服务器不接受包含域名的用户名,可以在RADIUS服务器模板视图下,配置命令undo radius-server user-name domain-included使设备向RADIUS服务器发送的报文中的用户名不包含域名。
(6)域被配置成全局默认管理域之后,管理用户的用户名中携带该域名或者不携带域名时,会使用全局默认管理域下的AAA配置信息。
(7)配置命令undo radius-server user-name domain-included后,设备仅会修改发送报文中的用户名格式,不会影响用户所属的域。例如,配置该命令后,用户名为“user@example.com”的用户仍使用example.com域下的AAA配置信息。
(8)使用RADIUS扩展属性HW-Exec-Privilege(26-29)来授权管理员用户的优先级时,有效值范围是0~15。取值大于等于16为无效值。

(1)拓扑图

图片.png

配置:

sw1_2022.09.03.23时58分37秒.txt

(2)sw1:配置设备的管理ip地址与默认路由
interface Vlanif1
 ip address 10.12.3.3 255.255.0.0

ip route-static 0.0.0.0 0.0.0.0 10.12.12.254

(3)sw1:配置STelnet登录
# 在服务器端生成本地密钥对。
[sw1]dsa local-key-pair create
Info: The key name will be: sw1_Host_DSA
Info: The key modulus can be any one of the following : 2048.
Info: Key pair generation will take a short while.
Info: Generating keys...
Info: Succeeded in creating the DSA host keys.
[sw1]
# 配置VTY用户界面0~14的认证方式为AAA认证、支持的协议为SSH。
user-interface vty 0 4
   authentication-mode aaa
   protocol inbound ssh

# 开启设备的SSH服务器功能。
[sw1]ssh server-source -i Vlanif 1
Warning: SSH server source configuration will take effect in the next login. Do you want to continue? [Y/N]:
Error: Please choose 'YES' or 'NO' first before pressing 'Enter'. [Y/N]:y
Info: Succeeded in setting the source interface of the SSH server to Vlanif1.
//假设VLANIF 1为管理网口。有管理网口的设备需要执行此步骤,从而将管理网口配置为SSH服务器端的源接口,提高系统安全性。
[sw1]stelnet server enable
Info: Succeeded in starting the STelnet server.

# 配置所有SSH用户的认证方式为Password认证、服务方式为STelnet。
[sw1]ssh authentication-type default password

其他说明:
如果仅某几个SSH用户的认证方式为Password认证、服务方式为STelnet,可以通过指定SSH用户名的形式配置。例如:指定用户名为admin的SSH用户的认证方式为Password认证、服务方式为STelnet。
#[Switch] ssh user admin authentication-type password
#[Switch] ssh user admin service-type stelnet
(4)sw1: 配置RADIUS认证
# 配置RADIUS服务器模板,实现与RADIUS服务器的通信。
radius server group 1
   radius server shared-key www.zh-cjh.com
   radius server authentication 10.12.160.8 1812
   radius server accounting 10.12.160.8 1813     //可以不配置,这个文章只用了认证
 
# 配置AAA认证方案,指定认证方式为RADIUS+Local。
aaa
    authentication-scheme sch1
        authentication-mode radius local


# 配置计费方案acc1
aaa
    accounting-scheme acc1
         accounting-mode none
也可以使用以下配置:
# 配置计费方案acc1,指定计费方式为RADIUS计费。
[Switch-aaa] accounting-scheme acc1
[Switch-aaa-accounting-acc1] accounting-mode radius
[Switch-aaa-accounting-acc1] accounting start-fail online   #--配置当开始计费失败时,允许用户上线

# 在域下引用AAA认证方案、RADIUS服务器模板。

aaa
   domain zh-cjh.com
       authentication-scheme sch1
       accounting-scheme acc1
       radius server group 1
 
# 配置example.com为全局默认管理域。
aaa
   default-domain admin zh-cjh.com

配置本地认证
# 配置本地账号“a1”,密码“P@ssw0rd”,级别为3级(0到3级,3为最高级了,这里的最高级不是15级)。
aaa
    local-user a1@zh-cjh.com password
         输入密码P@ssw0rd
    local-user a1@zh-cjh.com service-type ssh
    local-user a1@zh-cjh.com level 3
   
    [sw1-aaa]local-user a1@zh-cjh.com level ?
  INTEGER<0-3>  Value
 

(5)配置RADIUS服务器
配置步骤包括:添加设备、添加用户等待。
配置RADIUS服务器参考配置如下:
群晖NAS: 配置Radius Server
http://www.zh-cjh.com/wangluoanquan/2845.html


(6)验证配置结果(失败)

图片.png

查看原因:在radius服务器上查看,用户名不对,因为带了@zh-cjh.com, radius服务器就不认识了

图片.png

display aaa online-fail-record命令用于查询用户的上线失败记录。

图片.png

display aaa offline-record  查看用户下线记录
图片.png


解决:交换机发送用户名给radius服务器时不要带域名

配置用户认证时,不带上域名。
radius server group 1
   radius server user-name domain-excluded
 备注:
 radius-server user-name domain-included命令用来配置设备向RADIUS服务器发送的报文中的用户名包含域名。
radius-server user-name original命令用来配置设备向RADIUS服务器发送的报文中的用户名为用户原始输入的用户名,设备不对其进行修改。
undo radius-server user-name domain-included命令用来配置设备向RADIUS服务器发送的报文中的用户名不包含域名。
undo radius-server user-name domain-included except-eap命令用来配置设备向RADIUS服务器发送的报文中的用户名不包含域名(除EAP认证外的其他认证方式)。
缺省情况下,设备向RADIUS服务器发送的报文中的用户名为用户原始输入的用户名,设备不对其进行修改。

测试:用户名:user1  密码:123456

图片.png

图片.png

但是没有权限进入系统视图。

解决:

user-interface vty 0 4
   user privilege level 3   #配置15级,这个版本只有1到3组。

图片.png

图片.png

图片.png

测试:把radius server的网线拔掉,模拟radius server故障,看看使用交换机上的localuser是否可以正常登录:登录成功。

图片.png


radius server 关联ad域服务器

图片.png

radius server加入域:

图片.png

图片.png

启用radius server的域用户

图片.png

测试:使用radius关联的域用户或者radius server的本地用户都是可以成功登录的。

图片.png

当sw1与radius server连接工作正常时,交换机上上的本地用户是使用不了的,因为交换机把用户名密码发送到了radius server上去做匹配了。

图片.png

图片.png



其他:如果使用 domain default_admin,那交换机默认给radius server发送的域名为default_admin。当然也可以配置发送用户名时不带域名。

radius server group 1
 radius server shared-key  www.zh-cjh.com
 radius server authentication 10.12.160.8 1812
aaa
 #
 authentication-scheme default
  authentication-mode radius local
 domain default_admin
  radius server group 1

图片.png


telnet也是支持AAA的

user-interface vty 0 4
   protocol inbound all

图片.png



备注:

用户访问交换机,交换机从群晖radius server上匹配权限 ,radius server从微软AD上关联域帐户。

当然也可以直接把windows server配置成radius server:

Windows2016搭建radius服务器
http://www.zh-cjh.com/wangluoanquan/2847.html


NAC网络准入控制、radius、802.1X(列表、list、全)radiuslist
http://www.zh-cjh.com/wenzhangguilei/1008.html
文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html

1、本站资源长期持续更新。
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。

转载请保留出处:  www.zh-cjh.com珠海陈坚浩博客 » 华为交换机:配置管理员使用RADIUS+Local方式认证并授权用户级别示例(群晖NAS作为Radius Server,交换机与radius通信等正常时,交换机上配置的localuser就不起作用)

作者: cjh


手机扫一扫,手机上查看此文章:

相关推荐

一切源于价值!

其他 模板文件不存在: ./template/plugins/comment/pc/index.htm

未雨绸缪、居安思危!

数据安全、有备无患!

注意操作、数据无价!

一切源于价值!