- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- BOB登陆 人才研學中心
- 關於我們
關鍵詞:用戶級別切換認證,RADIUS,HWTACACS
摘 要:本文結合不同的登錄認證方式,詳細介紹了三種用戶級別切換認證的配置思路和配置過程。
縮略語:
縮略語 | 英文全名 | 中文解釋 |
AAA | Authentication, Authorization, Accounting | 認證、授權、計費 |
RADIUS | Remote Authentication Dial-In User Service | 遠程認證撥號用戶服務 |
HWTACACS | HW Terminal Access Controller Access Control System | HW終端訪問控製器控製係統協議 |
用戶在不退出當前登錄、不斷開當前連接的前提下,可以通過執行super命令暫時將自身的用戶級別從當前的級別切換到指定的級別。級別切換後用戶不需要重新登錄,可以繼續配置設備,隻是可以執行的命令會不一樣。且切換後的級別是臨時的,隻對當前登錄生效,用戶重新登錄後,又會恢複到原有級別。
當使用super命令從低級別往高級別切換時,相當於用戶請求增加訪問權限,因此係統需要對這種級別提升行為進行認證,隻有認證通過,才賦予該用戶新的訪問權限。我們簡稱這種用戶級別提升切換認證為Super認證。
目前,設備上支持兩種Super認證方案:本地級別切換認證(本地Super認證)和遠程AAA級別切換認證(遠程Super認證)。
本地Super認證是指,使用一個本地配置的密碼對級別切換行為進行認證。對於要切換到某一個級別的行為,所有用戶均使用同一個密碼。如下所示,任何登錄到設備上的用戶,要切換到3級別時,隻需要正確輸入一個該設備上預先設置的本地級別切換密碼就可以。
<Device> super 3
Password: <——此處輸入本地級別切換密碼
User privilege level is 3, and only those commands can be used
whose level is equal or less than this.
Privilege note: 0-VISIT, 1-MONITOR, 2-SYSTEM, 3-MANAGE
本地級別切換認證方式具有配置簡單、易用的優點,適合於網絡拓撲簡單,設備管理員權限統一,級別切換安全性要求不高的組網環境中。
遠程Super認證是指,使用遠程AAA服務器對級別切換行為進行認證。如下所示,登錄到設備上的某管理員,要切換到3級別時,需要正確輸入用戶名和對應的級別切換密碼。
<Device> super 3
Username:olive@abc
Password: <——此處輸入對應的級別切換密碼
User privilege level is 3, and only those commands can be used
whose level is equal or less than this.
Privilege note: 0-VISIT, 1-MONITOR, 2-SYSTEM, 3-MANAGE
遠程Super認證需要部署相應的AAA服務器來配合,用戶信息的管理與維護上比本地Super認證稍顯複雜,但它具有如下優點:
· 用戶進行級別切換操作時使用相應的級別切換用戶名和密碼在遠程AAA(RADIUS或HWTACACS)服務器上進行身份認證,不同的用戶可擁有不同的級別切換權限。
· 通過與本地級別切換認證組合使用,可支持兩種認證切換方案(遠程Super認證無響應的情況下轉本地Super認證、本地級別切換密碼沒有設置時轉遠程Super認證),增強了認證的可靠性,提高了設備管理的靈活性。
因此,遠程Super認證適合於,網絡環境較為複雜,設備管理員權限需區分,級別切換安全性要求較高的組網環境中。
(1) 某部門的所有人員均能以Telnet方式登錄網關設備,登錄該設備時需要輸入用戶名和密碼,身份認證通過後所能訪問的命令級別為1級(監控級),可執行簡單的係統維護與業務故障診斷功能(例如debugging)。其中,用戶名為攜帶域名的test@bbb,密碼為123456。
(1) 所有用戶切換自身用戶級別到更高的級別(本例中為3)時,隻需要輸入級別切換密碼,密碼正確就能成功切換到高級別。其中,級別切換密碼為localpass。
圖3-1 本地Super認證典型組網圖
(1) 用戶登錄時要求提供用戶名和密碼,因此用戶登錄采用AAA認證方式。
· 配置登錄用戶界麵的認證方式為scheme。
(2) 由於該組網環境中未部署遠程AAA服務器,所以登錄認證采用本地認證方案,使用設備上配置的本地用戶信息(local-user)來驗證用戶身份。用戶登錄後的用戶級別由本地用戶的授權屬性決定。
· 創建用戶的認證域bbb,配置Login用戶的認證方案為local;
· 創建本地用戶,配置用戶登錄密碼和登錄後的用戶級別。
所有用戶切換級別使用相同的切換密碼,不需要輸入用戶名,因此級別切換認證采用本地Super認證,使用設備上配置的本地級別切換密碼來認證切換行為。
· 配置Super認證方式為local;
· 配置本地級別切換密碼。
表3-1 配置要素列表
登錄認證方式 | 登錄認證方案 | Super認證方式 | 登錄用戶名和密碼 | Super認證密碼 |
scheme | local | local | 用戶名:test@bbb 密碼:123456 | localpass |
以下配置均是在實驗室環境下進行的配置和驗證,配置前設備的所有參數均采用出廠時的缺省配置。如果您已經對設備進行了配置,為了保證配置效果,請確認現有配置和以下配置不衝突。本文檔不嚴格與具體軟、硬件版本對應。
# 配置接口Ethernet1/1的IP地址,Telnet用戶將通過該地址連接Device。
<Device> system-view
[Device] interface ethernet 1/1
[Device-Ethernet1/1] ip address 192.168.1.1 255.255.255.0
[Device-Ethernet1/1] quit
# 開啟Telnet服務器功能。
[Device] telnet server enable
# 配置Telnet用戶登錄采用AAA認證方式。
[Device] user-interface vty 0 4
[Device-ui-vty0-4] authentication-mode scheme
[Device-ui-vty0-4] quit
# 創建ISP域bbb。
[Device] domain bbb
# 配置Login用戶的認證/授權方案為local。(可選,ISP域的缺省認證/授權方案為local)
[Device-isp-bbb] authentication login local
[Device-isp-bbb] authorization login local
[Device-isp-bbb] quit
# 創建本地用戶test,服務器類型為Telnet,密碼為123456。
[Device] local-user test
[Device-luser-test] service-type telnet
[Device-luser-test] password simple 123456
# 指定Telnet用戶登錄係統後所能訪問的命令級別為1級。
[Device-luser-test] authorization-attribute level 1
[Device-luser-test] quit
# 配置Super認證方式為local。
[Device] super authentication-mode local
# 配置可切換到級別3的本地級別切換密碼為localpass。(level參數可選,缺省為3)
[Device] super password level 3 simple localpass
[Device] display current-configuration
#
version 5.20, Release 10601version 5.20, ESS 1907L03
#
sysname Device
#
super password level 3 cipher $c$3$Zpr1U6u8+yBRZE4Pt8uTBI/VOboEnf2gsvEULg==
super authentication-mode localsimple localpass
#
domain default enable system
#
telnet server enable
#
domain bbb
authentication login local
authorization login local
access-limit disable
state active
idle-cut disable
self-service-url disable
domain system
access-limit disable
state active
idle-cut disable
self-service-url disable
#
user-group system
group-attribute allow-guest
#
local-user test
password cipher $c$3$UFdz+Q4t+duZFUhihLGBrmY1+RDjasu4Kg==simple 123456
authorization-attribute level 1
service-type telnet
#
interface Ethernet1/1
port link-mode route
ip address 192.168.1.1 255.255.255.0
#
interface Ethernet1/2
port link-mode route
#
user-interface con 0
user-interface tty 13
user-interface aux
user-interface vty 0 4
authentication-mode scheme
#
return
可通過以下步驟驗證上述配置。
(1) Telnet用戶建立與Device的連接
在Telnet客戶端上按照提示輸入用戶名test@bbb及密碼123456,即可進入Device的用戶界麵,且隻能訪問級別為1的命令。
C:\>telnet 192.168.1.1
******************************************************************************
* Copyright (c) 1998-2009 Huawei Tech. Co., Ltd. All rights reserved. *
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
Login authentication
Username:test@bbb
Password: <——此處輸入登錄密碼:123456
<Device>?
User view commands:
cluster Run cluster command
debugging Enable system debugging functions
dialer Dialer disconnect
display Display current system information
ping Ping function
quit Exit from current command view
refresh Do soft reset
reset Reset operation
rsh Establish one RSH connection
screen-length Specify the lines displayed on one screen
send Send information to other user terminal interface
ssh2 Establish a secure shell client connection
super Set the current user priority level
telnet Establish one TELNET connection
terminal Set the terminal line characteristics
tracert Trace route function
undo Cancel current setting
(2) 切換用戶級別
# 在當前的用戶界麵下執行切換用戶級別到3級的命令,按照提示輸入本地級別切換密碼localpass,即可將當前Telnet用戶的級別切換到3級。
<Device> super 3
Password: <——此處輸入本地級別切換密碼:localpass
User privilege level is 3, and only those commands can be used
whose level is equal or less than this.
Privilege note: 0-VISIT, 1-MONITOR, 2-SYSTEM, 3-MANAGE
(1) 某部門的所有人員均能以Telnet方式登錄網關設備,登錄該設備時需要輸入用戶名和密碼,並使用RADIUS服務器進行認證,身份認證通過後所能訪問的命令級別為0級(訪問級),可執行網絡診斷等功能的命令(例如ping)。其中,用戶名為攜帶域名的admin@bbb,密碼為123456。
(2) 允許管理員將自身級別切換到更高的級別(本例中為3),且切換時需要使用RADIUS服務器進行認證。其中,級別切換密碼為pass3。
圖4-1 RADIUS Super認證典型組網圖
(1) 用戶登錄時要求提供用戶名和密碼,因此用戶登錄采用AAA認證方式。
· 配置登錄用戶界麵的認證方式為scheme。
(2) 使用RADIUS服務器進行登錄認證。
· 創建RADIUS方案,指定RADIUS服務器IP地址及與其進行交互的相關參數;
· 創建用戶的認證域bbb,配置Login用戶的認證方案為RADIUS方案。由於無授權需求,配置該域的Login用戶的授權方案為none。
管理員使用RADIUS服務器進行Super認證。
· 配置用戶認證域的Super認證方案為RADIUS方案;
· 配置Super認證方式為scheme。
RADIUS服務器上需要配置相應的認證信息和用戶信息。
· 添加管理員的登錄用戶名和登錄密碼;
· 添加RADIUS級別切換用戶名和級別切換密碼。
表4-1 配置要素列表
登錄認證方式 /登錄認證方案 | Super認證方式 /Super認證方案 | 登錄用戶名和密碼 | Super認證用戶名和密碼 |
scheme / radius-scheme | scheme / radius-scheme | 用戶名:admin@bbb 密碼:123456 | 用戶名:$enab3$ 密碼:pass3 |
由於RADIUS協議無法區分用戶所申請的權限級別,所以使用RADIUS進行Super認證時無論用戶輸入的用戶名(或用戶登錄名)是什麼,設備都會根據用戶申請的權限級別使用固定用戶名“$enab+level$”構造認證請求報文進行認證,其中level為用戶申請的權限級別(0~3)。
本例中,管理員要申請切換到級別3,則設備將使用“$enab3$”作為用戶名向RADIUS服務器發起認證。(若配置要求用戶名中攜帶域名,則為$enab3@domain$,domain為用戶的認證域)。因此,相應的RADIUS服務器上就需要添加用戶名為“$enab3$”的用戶。
以下配置均是在實驗室環境下進行的配置和驗證,配置前設備的所有參數均采用出廠時的缺省配置。如果您已經對設備進行了配置,為了保證配置效果,請確認現有配置和以下配置不衝突。本文檔不嚴格與具體軟、硬件版本對應。
本文以ACSv4.0為例,說明RADIUS server的基本配置。
在進行下麵的配置之前,請保證設備管理員Admin與ACS服務器之間路由可達。
(1) 登錄ACS服務器
# 如圖4所示的Web登錄頁麵中,輸入Web登錄用戶名和密碼,單擊“Login”按鈕,即可登錄ACS服務器。
圖4-2 登錄ACS服務器
(2) 添加接入設備
# 在左側導航欄中選擇[Network Configuration],打開網絡配置界麵,單擊<Add Entry>,進入AAA Client的編輯頁麵。
圖4-3 添加接入設備
# 在AAA Client的編輯頁麵中進行如下配置:
· 輸入接入設備名稱,接入設備IP地址和交互RADIUS報文的共享密鑰;
· 選擇認證協議類型為“RADIUS+ (IETF)”;
· 單擊“Submit + Apply”按鈕完成操作。
圖4-4 配置接入設備
(3) 添加登錄用戶
# 在左側導航欄中選擇[User Setup],打開用戶配置界麵,在文本框中輸入用戶名“admin”,單擊“Add/Edit”後,進入該用戶的編輯頁麵。
圖4-5 添加登錄用戶
# 填寫用戶的相關輔助信息,配置用戶登錄密碼為“123456”。
圖4-6 配置登錄用戶信息
(4) 添加級別切換用戶
# 在左側導航欄中選擇[User Setup],打開用戶配置界麵,在文本框中輸入用戶名“$enab3$”,單擊“Add/Edit”後,進入該用戶的編輯頁麵。
圖4-7 添加級別切換用戶
# 輸入用戶的相關輔助信息,配置用戶登錄密碼為“pass3”。
圖4-8 配置級別切換用戶信息
# 配置接口Ethernet1/1的IP地址,Telnet用戶將通過該地址連接Device。
<Device> system-view
[Device] interface ethernet 1/1
[Device-Ethernet1/1] ip address 192.168.1.1 255.255.255.0
[Device-Ethernet1/1] quit
# 配置接口Ethernet1/2的IP地址,Device將通過該地址與服務器通信。
[Device] interface ethernet 1/2
[Device-Ethernet1/2] ip address 10.1.1.1 255.255.255.0
[Device-Ethernet1/2] quit
# 開啟Device的Telnet服務器功能。
[Device] telnet server enable
# 配置Telnet用戶登錄采用AAA認證方式。
[Device] user-interface vty 0 4
[Device-ui-vty0-4] authentication-mode scheme
[Device-ui-vty0-4] quit
# 創建RADIUS方案rad。
[Device] radius scheme rad
# 配置主認證服務器的IP地址為10.1.1.2,認證端口號為1812(可選,缺省為1812)。
[Device-radius-rad] primary authentication 10.1.1.2 1812
# 配置與認證服務器交互報文時的共享密鑰為expert。
[Device-radius-rad] key authentication expert
# 配置RADIUS服務器的服務類型為standard。(可選,缺省為standard)
[Device-radius-rad] server-type standard
# 配置向RADIUS服務器發送的用戶名不攜帶域名。
[Device-radius-rad] user-name-format without-domain
[Device-radius-rad] quit
# 創建ISP域bbb。
[Device] domain bbb
# 配置Login用戶的RADIUS認證方案為rad。
[Device-isp-bbb] authentication login radius-scheme rad
# 配置Login用戶的授權方案為none。
[Device-isp-bbb] authorization login none
# 配置Super認證的RADIUS認證方案為rad。
[Device-isp-bbb] authentication super radius-scheme rad
[Device-isp-bbb] quit
# 配置Super認證方式為scheme。
[Device] super authentication-mode scheme scheme
[Device] display current-configuration
#
version 5.20, Release 10601version 5.20, ESS 1907L03
#
sysname Device
#
super authentication-mode scheme
#
telnet server enable
#
radius scheme rad
primary authentication 10.1.1.2192.168.1.15
key authentication cipher $c$3$tE9TAUYN8Z6P9EsFLgAdI5/6PeVIdfLzyA==expert
user-name-format without-domain
#
domain bbb
authentication login radius-scheme rad
authorization login none
authentication super radius-scheme rad
access-limit disable
state active
idle-cut disable
self-service-url disable
domain system
access-limit disable
state active
idle-cut disable
self-service-url disable
#
user-group system
group-attribute allow-guest
#
interface Ethernet1/1
port link-mode route
ip address 192.168.1.1 255.255.255.0
#
interface Ethernet1/2
port link-mode route
ip address 10.1.1.1 255.255.255.0
#
user-interface con 0
user-interface tty 13
user-interface aux 0
user-interface vty 0 4
authentication-mode scheme
#
return
可通過以下步驟驗證上述配置。
(1) Telnet用戶建立與Device的連接
在Telnet客戶端上按照提示輸入用戶名admin@bbb及密碼123456,即可進入Device的用戶界麵,且隻能訪問級別為0的命令。
C:\>telnet 192.168.1.1
******************************************************************************
* Copyright (c) 1998-2009 Huawei Tech. Co., Ltd. All rights reserved. *
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
Login authentication
Username:admin@bbb
Password: <——此處輸入登錄密碼:123456
<Device>?
User view commands:
cluster Run cluster command
display Display current system information
ping Ping function
quit Exit from current command view
rsh Establish one RSH connection
ssh2 Establish a secure shell client connection
super Set the current user priority level
telnet Establish one TELNET connection
tracert Trace route function
(2) 切換用戶級別
# 在當前的用戶界麵下執行切換用戶級別到3級的命令,按照提示輸入RADIUS級別切換密碼pass3,即可將當前Telnet用戶的級別切換到3級。
<Device> super 3
Password: <——此處輸入RADIUS級別切換密碼:pass3
User privilege level is 3, and only those commands can be used
whose level is equal or less than this.
Privilege note: 0-VISIT, 1-MONITOR, 2-SYSTEM, 3-MANAGE
(1) 某部門的所有人員均能以Telnet方式登錄網關設備,登錄該設備時需要輸入用戶名和密碼,並使用HWTACACS服務器進行認證,認證通過後所能訪問的命令級別為0級(訪問級),可執行網絡診斷等功能的命令(例如ping)。其中,用戶名為攜帶域名的admin@bbb,密碼為123456。
(2) 允許管理員將自身級別切換到更高的級別(本例中為3),且切換時需要使用HWTACACS服務器進行認證。當遠程Super認證無效時(例如服務器無響應或AAA配置無效),需要本地Super認證做備份方案來保證切換操作可完成。其中,遠程Super認證的級別切換密碼為pass3,本地Super認證的級別切換密碼為localpass。
圖5-1 (HWTACACS + Local)Super認證典型組網圖
用戶登錄時要求提供用戶名和密碼,因此用戶登錄采用AAA認證方式。
· 配置登錄用戶界麵的認證方式為scheme。
(1) 使用HWTACACS服務器進行登錄認證。
· 創建HWTACACS方案,配置HWTACACS服務器IP地址及與其進行交互的相關參數。
· 創建用戶的認證域bbb,配置Login用戶的認證方案為HWTACACS方案;由於無授權需求,配置該域的Login用戶的授權方案為none。
(2) 管理員首先使用HWTACACS服務器進行Super認證,遠程Super認證無效時,轉為本地Super認證。
· 配置用戶認證域的Super認證方案為HWTACACS方案;
· 配置Super認證方式為scheme local;
· 配置本地級別切換密碼。
HWTACACS服務器上需要配置相應的認證信息和用戶信息。
· 添加管理員的登錄用戶名和登錄密碼;
· 配置登錄用戶的HWTACACS級別切換密碼。
表5-1 配置要素列表
登錄認證方式 /登錄認證方案 | Super認證方式 /Super認證方案 | 登錄用戶名和密碼 | Super認證密碼 |
scheme / hwtacacs-scheme | scheme local / hwtacacs-scheme | 用戶名:admin@bbb 密碼:123456 | Super認證方式切換前:pass3 Super認證方式切換後:localpass |
與RADIUS協議不同的是,HWTACACS協議支持用戶申請權限級別,因此使用HWTACACS服務器進行Super認證時,若用戶登錄時輸入了用戶名,則設備使用用戶登錄名作為用戶名向HWTACACS服務器發起認證,否則使用用戶輸入的級別切換用戶名。
本例中的管理員進行級別切換操作時,由於設備使用登錄名進行Super認證,因此僅被提示輸入級別切換密碼,相應的HWTACACS服務器上就需要配置該登錄用戶名對應的級別切換密碼。
以下配置均是在實驗室環境下進行的配置和驗證,配置前設備的所有參數均采用出廠時的缺省配置。如果您已經對設備進行了配置,為了保證配置效果,請確認現有配置和以下配置不衝突。本文檔不嚴格與具體軟、硬件版本對應。
本文以ACSv4.0為例,說明HWTACACS server的基本配置。
在進行下麵的配置之前,請保證設備管理員Admin與ACS服務器之間路由可達。
(1) 登錄ACS服務器
# 如圖12所示的Web登錄頁麵中,輸入Web登錄用戶名和密碼,單擊“Login”按鈕,即可登錄ACS服務器。
圖5-2 登錄ACS服務器
(2) 添加接入設備
# 在左側導航欄中選擇[Network Configuration],打開網絡配置界麵,單擊<Add Entry>,進入AAA Client的編輯頁麵。
圖5-3 添加接入設備
# 在AAA Client的編輯頁麵中進行如下配置:
· 輸入接入設備名稱,接入設備IP地址和交互HWTACACS報文的共享密鑰;
· 選擇認證協議類型為“TACACS+ (Cisco IOS)”;
· 單擊“Submit + Apply”按鈕完成操作。
圖5-4 配置接入設備
(3) 添加高級選項
# 在左側導航欄中選擇[Interface Configuration],打開接口配置界麵,單擊“TACACS+(Cisco IOS)”鏈接,進入TACACS+的高級屬性頁麵。
圖5-5 配置用戶接口
# 選中高級配置選項中的“Advanced TACACS+ Features”項,讓用戶配置界麵中隱藏的高級選項顯示出來,該高級選項中包含了Enable密碼的相關配置。
圖5-6 添加高級選項
(4) 添加登錄用戶
# 在左側導航欄中選擇[User Setup],打開用戶配置界麵,在文本框中輸入用戶名“admin”,單擊“Add/Edit”後,進入該用戶的編輯頁麵。
圖5-7 添加登錄用戶
# 輸入用戶的相關輔助信息,配置用戶登錄密碼為“123456”。
圖5-8 配置登錄用戶信息
(5) 配置級別切換密碼
# 繼續在用戶admin的編輯頁麵中進行下麵的高級TACACS+設置。
· 選中“Max Privilege for any AAA Client”,在下拉框中選擇“Level 3”。該配置表示級別切換後,用戶可執行的命令的最高級別為3。
· 選擇“Use separate password”,輸入級別切換密碼“pass3”。
· 單擊“Submit”按鈕完成操作。
圖5-9 添加級別切換用戶
# 配置接口Ethernet1/1的IP地址,Telnet用戶將通過該地址連接Device。
<Device> system-view
[Device] interface ethernet 1/1
[Device-Ethernet1/1] ip address 192.168.1.1 255.255.255.0
[Device-Ethernet1/1] quit
# 配置接口Ethernet1/2的IP地址,Device將通過該地址與服務器通信。
[Device] interface ethernet 1/2
[Device-Ethernet1/2] ip address 10.1.1.1 255.255.255.0
[Device-Ethernet1/2] quit
# 開啟Device的Telnet服務器功能。
[Device] telnet server enable
# 配置Telnet用戶登錄采用AAA認證方式。
[Device] user-interface vty 0 4
[Device-ui-vty0-4] authentication-mode scheme
[Device-ui-vty0-4] quit
# 創建HWTACACS方案hwtac。
[Device] hwtacacs scheme hwtac
# 配置主認證服務器的IP地址為10.1.1.2,認證端口號為49(可選,缺省為49)。
[Device-hwtacacs-hwtac] primary authentication 10.1.1.2 49
# 配置與認證服務器交互報文時的共享密鑰為expert。
[Device-hwtacacs-hwtac] key authentication expert
# 配置向HWTACACS服務器發送的用戶名不攜帶域名。
[Device-hwtacacs-hwtac] user-name-format without-domain
[Device-hwtacacs-hwtac] quit
# 創建ISP域bbb。
[Device] domain bbb
# 配置Login用戶的HWTACACS認證方案為hwtac。
[Device-isp-bbb] authentication login hwtacacs-scheme hwtac
# 配置Login用戶的授權方案為none。
[Device-isp-bbb] authorization login none
# 配置Super認證的HWTACACS認證方案為rad。
[Device-isp-bbb] authentication super hwtacacs-scheme hwtac
[Device-isp-bbb] quit
# 配置Super認證方式為scheme local。
[Device] super authentication-mode scheme scheme local
# 配置可切換到級別3的本地級別切換密碼為localpass。(level參數可選,缺省為3)
[Device] super password level 3 simple localpass
[Device] display current-configuration
#
version 5.20, Release 10601version 5.20, ESS 1907L03
#
sysname Device
#
super password level 3 cipher $c$3$Q+PilXDdUD/j2rRBANnbYr5ZBcGOXoLQDyxd8g==
super authentication-mode scheme local
#
telnet server enable
#
hwtacacs scheme hwtac
primary authentication 192.168.1.15
key authentication cipher $c$3$rPzPN0MlHR7EExRhS5QxKYDmfpCGNdnqkg==expert
user-name-format without-domain
#
domain bbb
authentication login hwtacacs-scheme hwtac
authorization login none
authentication super hwtacacs-scheme hwtac
access-limit disable
state active
idle-cut disable
self-service-url disable
domain system
access-limit disable
state active
idle-cut disable
self-service-url disable
#
user-group system
group-attribute allow-guest
#
interface Ethernet1/1
port link-mode route
ip address 192.168.1.1 255.255.255.0
#
interface Ethernet1/2
port link-mode route
ip address 10.1.1.1 255.255.255.0
#
user-interface con 0
user-interface tty 13
user-interface aux 0
user-interface vty 0 4
authentication-mode scheme
#
return
可通過以下步驟驗證上述配置。
(1) Telnet用戶建立與Device的連接
在Telnet客戶端上按照提示輸入用戶名admin@bbb及密碼123456,即可進入Device的用戶界麵,且隻能訪問級別為0的命令。
C:\>telnet 192.168.1.1
******************************************************************************
* Copyright (c) 1998-2009 Huawei Tech. Co., Ltd. All rights reserved. *
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
Login authentication
Username:admin@bbb
Password: <——此處輸入登錄密碼:123456
<Device>?
User view commands:
cluster Run cluster command
display Display current system information
ping Ping function
quit Exit from current command view
rsh Establish one RSH connection
ssh2 Establish a secure shell client connection
super Set the current user priority level
telnet Establish one TELNET connection
tracert Trace route function
(2) 切換用戶級別
# 在當前的用戶界麵下執行切換用戶級別到3級的命令,按照提示輸入HWTACACS級別切換密碼pass3,即可將當前Telnet用戶的級別切換到3級。
<Device> super 3
Password: <——此處輸入HWTACACS級別切換密碼:pass3
User privilege level is 3, and only those commands can be used
whose level is equal or less than this.
Privilege note: 0-VISIT, 1-MONITOR, 2-SYSTEM, 3-MANAGE
# 若輸入HWTACACS級別切換密碼後,係統提示錯誤並通知用戶認證模式已改變,則表示本次切換認證失敗。繼續按照提示輸入本地級別切換認證密碼localpass,若認證成功即可將當前Telnet用戶的級別切換到3級。
<Device> super 3
Password:
Error: Invalid configuration or no response from the authentication server.
Info: Change authentication mode to local.
Password: <——此處需輸入本地級別切換密碼:localpass
User privilege level is 3, and only those commands can be used
whose level is equal or less than this.
Privilege note: 0-VISIT, 1-MONITOR, 2-SYSTEM, 3-MANAGE
· 用戶級別切換認證技術白皮書
Copyright © 2013杭州華三通信技術有限公司 版權所有,保留一切權利。
非經本公司書麵許可,任何單位和個人不得擅自摘抄、複製本文檔內容的部分或全部,並不得以任何形式傳播。
本文檔中的信息可能變動,恕不另行通知。
售前谘詢
售後谘詢
人工在線谘詢
