说明:● 本示例只介绍设备的认证相关配置,请同时确保已在RADIUS服务器上做了相关配置,如设备地址、共享密钥、创建用户等配置。● 通过不同的管理域来实现RADIUS认证与本地认证两种方式同时使用,两个管理机构独立管理。由于设备上默认存在default_admin管理域且认证方式为local(如下所示),所以在这里本地认证方式直接使用此域名,RADIUS认证方式则单独新建一个域名。#authentication-scheme defaultauthentication-mode localdomain default_adminauthentication-scheme default#
由于设备只有一个默认管理域(缺省管理域名为“default_admin”),所以根据输入用户名时是否要携带域名,可以细分为两个场景,下面分别给出示例。
场景一:本地认证方式用户名不携带域名,RADIUS认证方式用户名携带域名
1. 开启Telnet服务器功能、指定源接口 system-view[Huawei] telnet server enable[Huawei] telnet server-source all-interface //该命令仅需在V200R020及之后版本配置
2. 配置VTY用户界面所支持的协议、验证方式[Huawei] user-interface vty 0 4[Huawei-ui-vty0-4] protocol inbound telnet[Huawei-ui-vty0-4] authentication-mode aaa[Huawei-ui-vty0-4] quit
3. 配置RADIUS认证(1)配置RADIUS服务器模板,指定服务器的IP地址与端口号、共享密钥[Huawei] radius-server template r1[Huawei-radius-r1] radius-server authentication 10.1.1.1 1812[Huawei-radius-r1] radius-server shared-key cipher abcd#123[Huawei-radius-r1] quit
说明:如果RADIUS服务器不接受包含域名的用户名,还需要配置命令undo radius-server user-name domain-included使设备向RADIUS服务器发送的报文中的用户名不包含域名。
(2)配置认证方案,指定认证方式依次为RADIUS[Huawei] aaa[Huawei-aaa] authentication-scheme r1[Huawei-aaa-authen-r1] authentication-mode radius[Huawei-aaa-authen-r1] quit
(3)配置业务方案,指定用户级别[Huawei-aaa] service-scheme r1[Huawei-aaa-service-r1] admin-user privilege level 15[Huawei-aaa-service-r1] quit
(4)新建一个域(例如域名为“huawei”),并在域下引用RADIUS服务器模板、认证方案和业务方案[Huawei-aaa] domain huawei[Huawei-aaa-domain-huawei] radius-server r1[Huawei-aaa-domain-huawei] authentication-scheme r1[Huawei-aaa-domain-huawei] service-scheme r1[Huawei-aaa-domain-huawei] quit
4. 配置登录用户的本地用户名与密码、级别和接入类型[Huawei-aaa] local-user yc123 password irreversible-cipher test#123[Huawei-aaa] local-user yc123 privilege level 15[Huawei-aaa] local-user yc123 service-type telnet
场景二:本地认证方式用户名携带域名,RADIUS认证方式用户名不携带域名
1. 开启Telnet服务器功能、指定源接口 system-view[Huawei] telnet server enable[Huawei] telnet server-source all-interface //该命令仅在V200R020C00及之后版本使用
2. 配置VTY用户界面所支持的协议、验证方式[Huawei] user-interface vty 0 4[Huawei-ui-vty0-4] protocol inbound telnet[Huawei-ui-vty0-4] authentication-mode aaa[Huawei-ui-vty0-4] quit
3. 配置RADIUS认证(1)配置RADIUS服务器模板,指定服务器的IP地址与端口号、共享密钥。[Huawei] radius-server template r1[Huawei-radius-r1] radius-server authentication 10.1.1.1 1812[Huawei-radius-r1] radius-server shared-key cipher abcd#123[Huawei-radius-r1] quit
(2)配置认证方案,指定认证方式依次为RADIUS。[Huawei] aaa[Huawei-aaa] authentication-scheme r1[Huawei-aaa-authen-r1] authentication-mode radius[Huawei-aaa-authen-r1] quit
(3)配置业务方案,指定用户级别。[Huawei-aaa] service-scheme r1[Huawei-aaa-service-r1] admin-user privilege level 15[Huawei-aaa-service-r1] quit
(4)新建一个域,并在域下引用RADIUS服务器模板、认证方案和业务方案。[Huawei-aaa] domain huawei[Huawei-aaa-domain-huawei] radius-server r1[Huawei-aaa-domain-huawei] authentication-scheme r1[Huawei-aaa-domain-huawei] service-scheme r1[Huawei-aaa-domain-huawei] quit
4. 配置登录用户的本地用户名(携带缺省管理域名)与密码、级别和接入类型[Huawei-aaa] local-user yc123@default_admin password irreversible-cipher test#123[Huawei-aaa] local-user yc123@default_admin privilege level 15[Huawei-aaa] local-user yc123@default_admin service-type telnet[Huawei-aaa] quit
5. 配置RADIUS认证方式的域为默认管理域[Huawei] domain huawei admin
论坛原帖:
以上内容来源于网络,由“WiFi之家网”整理收藏!
评论