华为交换机5700 AAA认证与SSH登录联动方案(测试已通过)

Posted on Posted in FAQ-宁盾一体化认证平台, FAQ-宁盾一体化认证平台, FAQ-网络AAA

1,创建hwtacacs模板
hwtacacs-server template liangxia
hwtacacs-server authentication 192.168.222.234
hwtacacs-server authorization 192.168.222.234
hwtacacs-server accounting 192.168.222.234
hwtacacs-server source-ip 10.123.116.254
hwtacacs-server shared-key cipher %^%#;KE*(Z0<u%^%#
undo hwtacacs-server user-name domain-included

2,aaa相关配置以及domain域配置
aaa
authentication-scheme default
authentication-scheme liangxia
authentication-mode hwtacacs
authorization-scheme default
authorization-scheme liangxia
authorization-mode hwtacacs
authorization-cmd 15 hwtacacs         配置级别为15的用户为命令行授权,授权模式为                                                                             HWTACACS模式
accounting-scheme default
accounting-scheme liangxia
accounting-mode hwtacacs
accounting realtime 3
accounting start-fail online
recording-scheme liangxia                配置这几条命令  创建记录方案的记录策略
recording-mode hwtacacs liangxia           配置与记录方案相关联的HWTACACS模板
cmd recording-scheme liangxia          配置记录方案的记录策略
domain default
domain liangxia
authentication-scheme liangxia
accounting-scheme liangxia
authorization-scheme liangxia
hwtacacs-server liangxia

在全局模式下输入:
domain liangxia
domain liangxia admin    将TACACS认证域设置为默认域

3,建立ssh-user
在aaa模式下输入
local-user name service-type ssh
local-user admin password irreversible-cipher *******
local-user admin privilege level 15
local-user admin service-type telnet terminal ssh

在全局模式下输入

stelnet server enable 开启ssh服务
ssh authentication-type default password 此命令必须配置,将ssh账户从平台调用
ssh user name 创建ssh user (name为名称,可以任意起)
ssh user name authentication-type password
ssh user name service-type all

4,在虚拟链接界面调用AAA
user-interface vty 0 4
authentication-mode aaa
user privilege level 15

注:标红处命令在低版本华为交换机中需要配置,否则授权报文无法进行通讯
在高版本交换机中可选择配置(为规避授权问题,建议配置)