思科radius认证(S交换机通过Telnet登录设备配置示例)
说明:● 本示例只介绍设备的认证相关配置,请同时确保已在RADIUS服务器上做了相关配置,如设备地址、共享密钥、创建用户等配置假设已在RADIUS服务器上创建了用户名yc123,密码test#123● 认证方案中的认证方式配置为authentication-mode RADIUS local时,当RADIUS认证服务器无响应时,设备可以使用本地认证的配置对用户进行本地认证,避免了设备与RADIUS认证服务器连接超时的情况下用户认证失败的情况,我来为大家科普一下关于思科radius认证?以下内容希望对你有帮助!
思科radius认证
说明:● 本示例只介绍设备的认证相关配置,请同时确保已在RADIUS服务器上做了相关配置,如设备地址、共享密钥、创建用户等配置。假设已在RADIUS服务器上创建了用户名yc123,密码test#123。● 认证方案中的认证方式配置为authentication-mode RADIUS local时,当RADIUS认证服务器无响应时,设备可以使用本地认证的配置对用户进行本地认证,避免了设备与RADIUS认证服务器连接超时的情况下用户认证失败的情况。
1. 开启telnet服务器功能、指定源接口<Huawei> system-view[Huawei] Telnet server enable[Huawei] telnet server-source all-interface //该命令仅需在V200R020及之后版本配置
2. 配置VTY用户界面所支持的协议、验证方式[Huawei] user-interface vty 0 4[Huawei-ui-vty0-4] protocol inbound telnet[Huawei-ui-vty0-4] authentication-mode aaa[Huawei-ui-vty0-4] quit
3. 配置RADIUS认证(1)配置RADIUS服务器模板,指定服务器的IP地址与端口号、共享密钥[Huawei] radius-server template r1[Huawei-radius-r1] radius-server authentication 10.1.1.1 1812[Huawei-radius-r1] radius-server shared-key cipher abcd#123[Huawei-radius-r1] quit
(2)配置认证方案,指定认证方式依次为RADIUS和本地[Huawei] aaa[Huawei-aaa] authentication-scheme r1[Huawei-aaa-authen-r1] authentication-mode radius local[Huawei-aaa-authen-r1] quit
(3)配置业务方案,指定用户级别[Huawei-aaa] service-scheme r1[Huawei-aaa-service-r1] admin-user privilege level 15[Huawei-aaa-service-r1] quit
(4)新建一个域,并在域下引用RADIUS服务器模板、认证方案和业务方案[Huawei-aaa] domain huawei[Huawei-aaa-domain-huawei] radius-server r1[Huawei-aaa-domain-huawei] authentication-scheme r1[Huawei-aaa-domain-huawei] service-scheme r1[Huawei-aaa-domain-huawei] quit
4. 配置登录用户的本地用户名与密码、级别和接入类型[Huawei-aaa] local-user yc123 password irreversible-cipher test#123[Huawei-aaa] local-user yc123 privilege level 15[Huawei-aaa] local-user yc123 service-type telnet[Huawei-aaa] quit
5.(可选)配置管理员所属域为默认管理域说明:管理员用户的全局默认域为“default_admin”。● 如果在此步修改了全局默认管理域,那么登录设备时就不需要输入域名了,建议修改。[Huawei] domain huawei admin
● 若不修改的话,那么管理员登录设备时,输入用户名时需要携带域名才行,格式为“用户名@域名”,例如yc123@huawei,并且在缺省情况下,设备向RADIUS服务器发送的报文中的用户名为用户原始输入的用户名,设备不对其进行修改,如果RADIUS服务器不接受包含域名的用户名,还需要在RADIUS服务器模板下配置命令undo radius-server user-name domain-included使设备向RADIUS服务器发送的报文中的用户名不包含域名才行。或者也可以在RADIUS服务器和本地创建携带域名的用户名(例如yc123@huawei)。
论坛原帖:【原创】园区交换机通过Telnet登录设备配置示例(RADIUS认证 本地认证备份)
,免责声明:本文仅代表文章作者的个人观点,与本站无关。其原创性、真实性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容文字的真实性、完整性和原创性本站不作任何保证或承诺,请读者仅作参考,并自行核实相关内容。文章投诉邮箱:anhduc.ph@yahoo.com