配置采用HWTACACS协议进行认证、授权和计费示例

Posted on Posted in FAQ 汇总, FAQ-宁盾一体化认证平台, FAQ-宁盾一体化认证平台, FAQ-网络AAA, 宁盾认证服务器

组网需求

图1所示,用户要求:

·         Switch对接入用户先用HWTACACS服务器进行认证,如果认证没有响应,再使用本地认证。

·         Switch对接入用户先用HWTACACS服务器进行授权,如果授权没有响应,再使用本地授权。

·         Switch对接入用户采用HWTACACS计费。

·         对用户进行实时计费,计费间隔为3分钟。

·         HWTACACS主用服务器为10.7.66.66/24,备用服务器为10.7.66.67/24,服务器的认证、授权和计费端口号均为49

采用HWTACACS协议对用户进行认证、计费和授权组网图

配置思路

采用如下的思路配置对用户使用本地和HWTACACS认证、HWTACACS授权和进行实时计费。

1.       配置HWTACACS服务器模板。

2.       配置认证方案、授权方案、计费方案。

3.       在域下应用HWTACACS服务器模板、认证方案、授权方案、计费方案。

操作步骤

1.       使能HWTACACS功能。

  <Quidway> system-view

  [Quidway] sysname Switch

   [Switch] hwtacacs enable

说明:

设备默认已经使能HWTACACS功能,如果未修改过默认配置,可以不配置此命令。

2.       配置HWTACACS服务器模板。

配置HWTACACS服务器模板ht

[Switch] hwtacacs-server template ht

配置HWTACACS主用认证、授权、计费服务器的IP地址和端口。

[Switch-hwtacacs-ht] hwtacacs-server authentication 10.7.66.66 49

[Switch-hwtacacs-ht] hwtacacs-server authorization 10.7.66.66 49

[Switch-hwtacacs-ht] hwtacacs-server accounting 10.7.66.66 49

配置HWTACACS备用认证、授权、计费服务器的IP地址和端口。

[Switch-hwtacacs-ht] hwtacacs-server authentication 10.7.66.67 49 secondary

[Switch-hwtacacs-ht] hwtacacs-server authorization 10.7.66.67 49 secondary

[Switch-hwtacacs-ht] hwtacacs-server accounting 10.7.66.67 49 secondary

配置HWTACACS服务器密钥。

说明:

请确保HWTACACS服务器模板内的共享密钥与HWTACACS服务器上的配置保持一致。

[Switch-hwtacacs-ht] hwtacacs-server shared-key cipher Huawei@2012

[Switch-hwtacacs-ht] quit

3.       配置认证方案、授权方案、计费方案。

配置认证方案l-h,认证模式为先进行HWTACACS认证,后进行本地认证。

[Switch] aaa

[Switch-aaa] authentication-scheme l-h

[Switch-aaa-authen-l-h] authentication-mode hwtacacs local

[Switch-aaa-authen-l-h] quit

配置授权方案hwtacacs,授权模式为先进行HWTACACS授权,后进行本地授权。

[Switch-aaa] authorization-scheme hwtacacs

[Switch-aaa-author-hwtacacs] authorization-mode hwtacacs local

[Switch-aaa-author-hwtacacs] quit

配置计费方案hwtacacs,计费模式为HWTACACS,并配置当开始计费失败时,允许用户上线。

[Switch-aaa] accounting-scheme hwtacacs

[Switch-aaa-accounting-hwtacacs] accounting-mode hwtacacs

[Switch-aaa-accounting-hwtacacs] accounting start-fail online

配置实时计费间隔为3分钟。

[Switch-aaa-accounting-hwtacacs] accounting realtime 3

[Switch-aaa-accounting-hwtacacs] quit

4.       配置huawei域,在域下采用l-h认证方案、HWTACACS授权方案、HWTACACS计费方案、htHWTACACS模板。

[Switch-aaa] domain huawei

[Switch-aaa-domain-huawei] authentication-scheme l-h

[Switch-aaa-domain-huawei] authorization-scheme hwtacacs

[Switch-aaa-domain-huawei] accounting-scheme hwtacacs

[Switch-aaa-domain-huawei] hwtacacs-server ht

[Switch-aaa-domain-huawei] quit

[Switch-aaa] quit

[Switch] quit

5.    配置AAA本地认证。

16. [Quidway] aaa

17. [Quidway-aaa] local-user user1 password irreversible-cipher Huawei@123

18. [Quidway-aaa] local-user user1 service-type ssh

19. [Quidway-aaa] local-user user1 privilege level 15

20. [Quidway-aaa] quit

6.    验证配置结果。

Switch上执行命令display hwtacacs-server template,可以观察到该HWTACACS服务器模板的配置与要求一致。

<Switch> display hwtacacs-server template ht

—————————————————————————

HWTACACS-server template name   : ht

Primary-authentication-server   : 10.7.66.66:49:-

Primary-authorization-server    : 10.7.66.66:49:-

Primary-accounting-server       : 10.7.66.66:49:-

Secondary-authentication-server : 10.7.66.67:49:-

Secondary-authorization-server  : 10.7.66.67:49:-

Secondary-accounting-server     : 10.7.66.67:49:-

Current-authentication-server   : 10.7.66.66:49:-

Current-authorization-server    : 10.7.66.66:49:-

Current-accounting-server       : 10.7.66.66:49:-

Source-IP-address               : 0.0.0.0

Shared-key                      : ****************

Quiet-interval(min)             : 5

Response-timeout-Interval(sec)  : 5

Domain-included                 : Yes

Traffic-unit                    : B

—————————————————————————

同时在Switch上执行命令display domain,可以观察到该域的配置与要求一致。

<Switch> display domain name huawei

 

Domain-name                     : huawei

Domain-state                    : Active

Authentication-scheme-name      : l-h

Accounting-scheme-name          : hwtacacs

Authorization-scheme-name       : hwtacacs

Service-scheme-name             : –

RADIUS-server-template          : –

HWTACACS-server-template        : ht

User-group                      : –

Push-url-address                : –

 

配置文件

Switch的配置文件

#

sysname Switch

#

hwtacacs-server template ht

hwtacacs-server authentication 10.7.66.66

hwtacacs-server authentication 10.7.66.67 secondary

hwtacacs-server authorization 10.7.66.66

hwtacacs-server authorization 10.7.66.67 secondary

hwtacacs-server accounting 10.7.66.66

hwtacacs-server accounting 10.7.66.67 secondary

hwtacacs-server shared-key cipher %^%#VznDEFI11##ZC>1@:=xUO^!OP~*<c1$FoD*zXPGJ%^%#

#

aaa

authentication-scheme l-h

authentication-mode hwtacacs local

authorization-scheme hwtacacs

authorization-mode hwtacacs local

accounting-scheme hwtacacs

accounting-mode hwtacacs

accounting realtime 3

accounting start-fail online

domain huawei

authentication-scheme l-h

accounting-scheme hwtacacs

authorization-scheme hwtacacs

hwtacacs-server ht

#

return