第一篇:AR典型配置案例 RADIUS认证登录其他设备的示例大全
www.xiexiebang.com
配置设备作为客户端,采用RADIUS认证登录其他设备的示例
规格
适用于所有版本、所有形态的AR路由器。组网需求
用户使用STelnet方式连接SSH服务器(即AR设备),要求在SSH认证过程中,配置SSH服务器支持SSH客户端通过RADIUS服务器进行远端认证。
RADIUS服务器认证该用户,将认证结果返回给SSH服务器。SSH服务器根据认证结果决定是否允许SSH客户端建立连接。组网图
图1 配置SSH支持RADIUS认证组网图
操作步骤
1.在SSH服务器端生成本地密钥对
[Huawei] sysname ssh server
[ssh server] rsa local-key-pair create The key name will be: Host The range of public key size is(512 ~ 2048).NOTES: If the key modulus is greater than 512, It will take a few minutes.Input the bits in the modulus[default = 2048]: 2048 Generating keys..........++++++++++++..........++++++++++++...................................++++++++......++++++++ 2.SSH Server的不同版本的配置存在差异,请关注对应版本的配置 3.# 4.user-interface vty 0 4 5.authentication-mode aaa //指定配置VTY0~4用户的验证方式为AAA 6.protocol inbound ssh //配置VTY支持SSH协议 www.xiexiebang.com
7.8.9.# aaa local-user ssh1@ssh.com password cipher %@%@0qu:lj # SSH客户端采用RADIUS认证连接SSH服务器。 [ssh client] stelnet 10.164.39.222 Please input the username: ssh1@ssh.com Trying 10.164.39.222...Press CTRL+K to abort Connected to 10.164.39.222...The server is not authenticated.Do you continue to access it?(Y/N):y Save the server's public key? [Y/N] :y The server's public key will be saved with the name: 10.164.39.222.Please wait...www.xiexiebang.com Enter password: 输入密码huawei,显示登录成功信息如下: Info: The max number of VTY users is 10, and the current number of VTY users on line is 2.# 在SSH服务器端执行display radius-server configuration命令和display ssh server session命令,可以查看到SSH服务器端关于RADIUS服务器的配置,并且看到STelnet客户端采用RADIUS认证已经成功连接到SSH服务器。 [ssh server] display ssh server session ------Conn Ver Encry State Auth-type Username------VTY 0 2.0 AES run password ssh1@ssh.com------配置注意事项 在RADIUS服务器端添加对应客户端的用户名。 在RADIUS服务器端指定SSH服务器的地址和密钥。 如果配置SSH客户端用户使用password验证,只需在SSH服务器端生成本地RSA密钥。如果配置SSH客户端用户使用RSA验证,则在SSH服务器端和客户端都需生成本地RSA密钥,并将客户端上产生的RSA公钥输入到服务器端。 [XXX级别] 关于iMC操作员登录控制的典型配置 一、组网需求: 使用iMC产品的配置前台,需要先使用操作员登录进入管理前台,然后才能执行各种业务功能和操作。 二、组网图: 实际参考iMC服务器的部署组网即可。 三、配置步骤: iMC操作员登录控制特性提供如下管理手段: 1)不同的认证方式:操作员可以使用iMC内嵌的操作员管理功能对操作员进行认证,也可以与RADIUS或LDAP服务器联动实现操作员的身份认证。 2)登录地址控制:iMC可以控制客户端的登录地址,只允许用户从特定的地址(范围)登录iMC。 3)密码控制策略:如果操作员在iMC系统上进行密码认证,则可以控制密码的强度、失效日期等。 4)密码防破解:iMC可以有效防范通过连续尝试的方式破解密码的非法行为。 iMC管理员可使用不同的登录认证方式。iMC提供三种操作员登录认证方式: 华为3Com机密 未经许可不得扩散 [XXX级别] 1)简单密码认证:使用iMC系统数据库中存放的操作员密码进行身份认证,是最常用的身份认证方式。 2)RADIUS认证:使用iMC特定操作员的“操作员登录名”或“操作员全称”作为用户名,以及用户在登录时输入的密码,到RADIUS服务器进行身份认证。 3)LDAP认证:使用iMC特定操作员的“操作员登录名”或“操作员全称”作为用户名,以及用户在登录时输入的密码,到LDAP服务器进行身份认证。 通过如下步骤,可配置不同的登录认证方式: 步骤一:配置操作员的登录认证方式。在增加或修改操作员界面,选择“登录认证方式”中的一种。如果选择了“简单密码认证”,则必须输入“登录密码”和“登录密码确认”;如果选择了“RADIUS认证”或“LDAP认证”,则无需输入登录密码信息。参考界面如下: 华为3Com机密 未经许可不得扩散 [XXX级别] 图1-1 配置登录认证方式 步骤二:如果使用“RADIUS认证”或“LDAP认证”,则同时需要对认证服务器进行配置。使用iMC的管理员登录iMC配置台,在“系统管理”中,点击“认证服务器配置”,根据需要对RADIUS认证服务器或LDAP认证服务器进行配置。参考界面如下: 华为3Com机密 未经许可不得扩散 [XXX级别] 图1-2 认证服务器配置界面 目前支持的RADIUS认证方式包括“PAP”和“CHAP”两种;支持的LDAP版本包括2和3两个版本;支持的服务器类型包括“通用LDAP服务器”和“微软活动目录”两类。用户可根据需要进行配置,各参数的详细说明可参考联机帮助。 登录地址控制。 iMC允许控制用户的登录客户端地址,即允许或禁止从某些地址(范围)登录。 华为3Com机密 未经许可不得扩散 [XXX级别] 在增加或修改操作员时,在“操作员访问控制列表”部分进行配置,如下图所示: 图1-3 登录地址控制的配置界面 上图的配置,只允许该操作员从“192.168.0.1-192.168.0.255”和“192.168.1.1-192.168.1.255”两个地址区域进行登录。 iMC操作员访问控制列表的匹配策略为“首先命中匹配”。例如:假设同时配置了“允许”地址段和“禁止”地址段,则在操作员进行登录时,将客户端的IP地址按照访问控制列表的顺序从上到下逐行匹配,如果与某段地址匹配成功,则使用该段地址的“访问类型”进行控制,即如果“访问类型”为“允许”,则允许登录;反之则禁止登录。如果所有地址段均不匹配,则使用“缺省访问控制列表匹配策略”的配置值进行控制。 此外,为了增加地址段的可重用性,iMC系统还提供了“访问控制模板”配置功能。在配置特定操作员的访问控制列表时,可以直接从已经配置好的模板中选取。 密码控制策略。 华为3Com机密 未经许可不得扩散 [XXX级别] iMC系统提供密码控制策略的配置,用于对操作员的登录密码管理进行监控。密码控制策略为全局配置,即对所有认证方式为“简单密码认证”的操作员均有效。如果操作员的认证方式为“RADIUS认证”或“LDAP认证”,则密码控制策略对该操作员无效。 使用iMC的管理员登录iMC配置台,在“系统管理”中,找到“密码控制策略”,点击进入如下配置界面: 图1-4 密码控制策略配置界面 各个参数的含义较明确,不再赘述。 密码防破解。 当使用某个操作员在同一个客户端连续尝试执行三次登录操作,且均失败时,iMC系统将在一分钟内禁止在该客户端上使用相同操作员继续执行登录操作(锁定)。一分钟后可以尝试一次,如果还是失败,则继续锁定一分钟。 华为3Com机密 未经许可不得扩散 [XXX级别] 需要注意的是:“失败”的原因不仅是密码错误,如果访问控制列表禁止或认证服务器不可用,均会登录失败,这些失败情况均用于密码防破解策略的判断条件。 该策略缺省启用,不允许关闭。 四、配置关键点: 使用RADIUS认证和LDAP认证时,需注意: 1)采用RADIUS或LDAP认证方式时,应使用“操作员登录名”或“操作员全称”作为RADIUS或LDAP身份认证的用户。即在RADIUS或LDAP身份认证时,首先尝试使用“操作员登录名+密码”进行认证;如果失败,则尝试使用“操作员全称+密码”进行认证。只要任何一种方式认证成功,则能成功登录。 2)当iMC的所有操作员(包括超级管理员“admin”)均使用RADIUS或LDAP方式进行身份认证时,如果由于意外故障导致RADIUS和LDAP服务器不可用,则无法再登录iMC。此时可以通过密码重置工具脚本(iMC安装路径clientbinresetpwd.bat),将操作员的认证方式和密码重置为缺省值(简单密码认证,缺省密码为“admin”)。 华为3Com机密 未经许可不得扩散 www.xiexiebang.com 17.Next startup system software: sd1:/software.cc 18.Backup system software for next startup: null 19.Startup saved-configuration file: sd1:/initcfg.cfg 20.Next startup saved-configuration file: sd1:/initcfg.cfg 21.在FTP Client端上传系统文件,如图2。www.xiexiebang.com 2-rw-77,582,080 Dec 13 2011 16:31:17 software_new.cc 28.指定设备启动时使用的系统文件。 29. 33.Info: The system is comparing the configuration, please wait.www.xiexiebang.com 41.Next startup system software: sd1:/software_new.cc 42.Backup system software for next startup: null 43.Startup saved-configuration file: sd1:/initcfg.cfg 44.Next startup saved-configuration file: sd1:/initcfg.cfg 配置注意事项 设备操作期间,尽量避免出现断电现象,如出现,可能会导致信息丢失,设备无法正常启动。 FTP的工作目录必须配置,除了使用local-user huawei ftp-directory设置本地用户的授权目录,还可以通过set default ftp-directory来设置FTP用户的缺省工作目录。 www.xiexiebang.com 43.Ethernet ip address : 192.168.200.174 44.Ethernet ip mask : ffffff00 45.Gateway ip address : 46.Ftp host ip address : 192.168.200.1 47.Ftp user : huawei Ftp password : ********** 48.完成属性配置后,自动返回至网络子菜单,选择第4项,从FTP服务器上下载资源文件。 49.Network Menu 50.51.1.Display parameter 52.2.Modify parameter 53.3.Save parameter 54.4.Download file 55.0.Return 56.www.xiexiebang.com] to file system........................................67.................................................................................68.................................................................................69................................................................................................................................OK!70.下载文件成功后返回主菜单,重启设备。 71.Network Menu 72.73.1.Display parameter 74.2.Modify parameter 75.3.Save parameter 76.4.Download file 77.0.Return 78.79.Enter your choice(0-4):0 80.Main Menu 81.82.1.Default Startup 83.2.Serial Menu 84.3.Network Menu 85.4.Startup Select 86.5.File Manager 87.6.Password Manager 88.7.Reboot 89.Enter your choice(1-6):7 配置注意事项 www.xiexiebang.com 建议不要随便进入BootROM菜单进行操作,若特别必要,可联系华为技术工程师指导操作。 AR150系列的管理网口为Ethernet0/0/3,AR160系列的管理网口为GigabitEthernet0/0/0,AR200系列的管理网口为Ethernet0/0/6,AR1200系列的管理网口为GigabitEthernet0/0/0,AR2220的管理网口为GigabitEthernet0/0/0,AR2240的管理网口为GigabitEthernet0/0/2,AR3200系列的管理网口为GigabitEthernet0/0/2。 说明: AR160系列路由器从V200R005C00版本开始支持。 www.xiexiebang.com 9.Next startup system software: flash:/software.cc 10.Backup system software for next startup: null 11.Startup saved-configuration file: flash:/initcfg.cfg 12.Next startup saved-configuration file: flash:/initcfg.cfg 13.下载设备启动文件,并查看文件是否下载成功。14. Directory of flash:/ Idx Attr Size(Byte)Date Time(LMT)FileName www.xiexiebang.com 5-rw-77,582,080 Dec 13 2011 10:41:12 software_new.cc 18.指定设备下次启动时使用的系统文件。 19. 23.Info: The system is comparing the configuration, please wait.24.Warning: All the configuration will be saved to the next startup configuration.25.Continue ? [y/n]:n 26.System will reboot!Continue ? [y/n]:y Info: system is rebooting ,please wait...27.检查配置结果。 28. 29.MainBoard: 30.Startup system software: flash:/software_new.cc 31.Next startup system software: flash:/software_new.cc 32.Backup system software for next startup: null 33.Startup saved-configuration file: flash:/initcfg.cfg 34.Next startup saved-configuration file: flash:/initcfg.cfg 配置注意事项 PC端需使能TFTP服务器功能,并存放系统文件。 保证设备操作期间,不能出现断电现象,断电后,可能会导致信息丢失,设备无法正常启动。第二篇:关于iMC操作员登录控制的典型配置
第三篇:AR典型配置案例 配置路由器作为FTP Server升级系统文件的示例
第四篇:AR典型配置案例 通过BootROM FTP方式升级系统文件的示例
第五篇:AR典型配置案例 配置路由器作为TFTP Client升级系统文件的示例
点击咨询 