配置login是什么意思
login是什么意思 时间:2021-04-04 阅读:()
用户级别切换认证配置举例杭州华三通信技术有限公司www.
h3c.
com.
cn第1页,共29页用户级别切换认证配置举例关键词:用户级别切换认证,RADIUS,HWTACACS摘要:本文结合不同的登录认证方式,详细介绍了三种用户级别切换认证的配置思路和配置过程.
缩略语:缩略语英文全名中文解释AAAAuthentication,Authorization,Accounting认证、授权、计费RADIUSRemoteAuthenticationDial-InUserService远程认证拨号用户服务HWTACACSHWTerminalAccessControllerAccessControlSystemHW终端访问控制器控制系统协议用户级别切换认证配置举例杭州华三通信技术有限公司www.
h3c.
com.
cn第2页,共29页目录1特性简介·32应用场合·33本地Super认证配置举例·43.
1组网需求·43.
2配置思路·43.
3配置步骤·53.
4验证结果·74RADIUSSuper认证配置举例84.
1组网需求·84.
2配置思路·84.
3配置步骤·94.
3.
1配置RADIUSserver104.
3.
2配置Device·154.
4验证结果·175(HWTACACS+Local)Super认证配置举例·185.
1组网需求·185.
2配置思路·195.
3配置步骤·205.
3.
1配置HWTACACSserver·205.
3.
2配置Device·255.
4验证结果·276相关资料·28用户级别切换认证配置举例杭州华三通信技术有限公司www.
h3c.
com.
cn第3页,共29页1特性简介用户在不退出当前登录、不断开当前连接的前提下,可以通过执行super命令暂时将自身的用户级别从当前的级别切换到指定的级别.
级别切换后用户不需要重新登录,可以继续配置设备,只是可以执行的命令会不一样.
且切换后的级别是临时的,只对当前登录生效,用户重新登录后,又会恢复到原有级别.
当使用super命令从低级别往高级别切换时,相当于用户请求增加访问权限,因此系统需要对这种级别提升行为进行认证,只有认证通过,才赋予该用户新的访问权限.
我们简称这种用户级别提升切换认证为Super认证.
2应用场合目前,设备上支持两种Super认证方案:本地级别切换认证(本地Super认证)和远程AAA级别切换认证(远程Super认证).
1.
本地Super认证本地Super认证是指,使用一个本地配置的密码对级别切换行为进行认证.
对于要切换到某一个级别的行为,所有用户均使用同一个密码.
如下所示,任何登录到设备上的用户,要切换到3级别时,只需要正确输入一个该设备上预先设置的本地级别切换密码就可以.
super3Password:super3Username:olive@abcPassword:system-view[Device]interfaceethernet1/1[Device-Ethernet1/1]ipaddress192.
168.
1.
1255.
255.
255.
0[Device-Ethernet1/1]quit#开启Telnet服务器功能.
[Device]telnetserverenable#配置Telnet用户登录采用AAA认证方式.
[Device]user-interfacevty04[Device-ui-vty0-4]authentication-modescheme[Device-ui-vty0-4]quit#创建ISP域bbb.
[Device]domainbbb#配置Login用户的认证/授权方案为local.
(可选,ISP域的缺省认证/授权方案为local)[Device-isp-bbb]authenticationloginlocal[Device-isp-bbb]authorizationloginlocal[Device-isp-bbb]quit#创建本地用户test,服务器类型为Telnet,密码为123456.
[Device]local-usertest[Device-luser-test]service-typetelnet[Device-luser-test]passwordsimple123456#指定Telnet用户登录系统后所能访问的命令级别为1级.
[Device-luser-test]authorization-attributelevel1[Device-luser-test]quit用户级别切换认证配置举例杭州华三通信技术有限公司www.
h3c.
com.
cn第6页,共29页#配置Super认证方式为local.
[Device]superauthentication-modelocal#配置可切换到级别3的本地级别切换密码为localpass.
(level参数可选,缺省为3)[Device]superpasswordlevel3simplelocalpass2.
配置文件[Device]displaycurrent-configuration#version5.
20,Release10601#sysnameDevice#superpasswordlevel3cipher$c$3$Zpr1U6u8+yBRZE4Pt8uTBI/VOboEnf2gsvEULg==superauthentication-modelocal#domaindefaultenablesystem#telnetserverenable#domainbbbauthenticationloginlocalauthorizationloginlocalaccess-limitdisablestateactiveidle-cutdisableself-service-urldisabledomainsystemaccess-limitdisablestateactiveidle-cutdisableself-service-urldisable#user-groupsystemgroup-attributeallow-guest#local-usertestpasswordcipher$c$3$UFdz+Q4t+duZFUhihLGBrmY1+RDjasu4Kg==authorization-attributelevel1service-typetelnet#interfaceEthernet1/1portlink-moderouteipaddress192.
168.
1.
1255.
255.
255.
0#interfaceEthernet1/2portlink-moderoute用户级别切换认证配置举例杭州华三通信技术有限公司www.
h3c.
com.
cn第7页,共29页#user-interfacecon0user-interfacetty13user-interfaceauxuser-interfacevty04authentication-modescheme#return3.
4验证结果可通过以下步骤验证上述配置.
(1)Telnet用户建立与Device的连接在Telnet客户端上按照提示输入用户名test@bbb及密码123456,即可进入Device的用户界面,且只能访问级别为1的命令.
C:\>telnet192.
168.
1.
1*Copyright(c)1998-2009HuaweiTech.
Co.
,Ltd.
Allrightsreserved.
**Withouttheowner'spriorwrittenconsent,**nodecompilingorreverse-engineeringshallbeallowed.
*LoginauthenticationUsername:test@bbbPassword:Userviewcommands:clusterRunclustercommanddebuggingEnablesystemdebuggingfunctionsdialerDialerdisconnectdisplayDisplaycurrentsysteminformationpingPingfunctionquitExitfromcurrentcommandviewrefreshDosoftresetresetResetoperationrshEstablishoneRSHconnectionscreen-lengthSpecifythelinesdisplayedononescreensendSendinformationtootheruserterminalinterfacessh2EstablishasecureshellclientconnectionsuperSetthecurrentuserpriorityleveltelnetEstablishoneTELNETconnectionterminalSettheterminallinecharacteristicstracertTraceroutefunction用户级别切换认证配置举例杭州华三通信技术有限公司www.
h3c.
com.
cn第8页,共29页undoCancelcurrentsetting(2)切换用户级别#在当前的用户界面下执行切换用户级别到3级的命令,按照提示输入本地级别切换密码localpass,即可将当前Telnet用户的级别切换到3级.
super3Password:,进入AAAClient的编辑页面.
用户级别切换认证配置举例杭州华三通信技术有限公司www.
h3c.
com.
cn第11页,共29页图4-3添加接入设备#在AAAClient的编辑页面中进行如下配置:输入接入设备名称,接入设备IP地址和交互RADIUS报文的共享密钥;选择认证协议类型为"RADIUS+(IETF)";单击"Submit+Apply"按钮完成操作.
图4-4配置接入设备用户级别切换认证配置举例杭州华三通信技术有限公司www.
h3c.
com.
cn第12页,共29页(3)添加登录用户#在左侧导航栏中选择[UserSetup],打开用户配置界面,在文本框中输入用户名"admin",单击"Add/Edit"后,进入该用户的编辑页面.
图4-5添加登录用户#填写用户的相关辅助信息,配置用户登录密码为"123456".
用户级别切换认证配置举例杭州华三通信技术有限公司www.
h3c.
com.
cn第13页,共29页图4-6配置登录用户信息(4)添加级别切换用户#在左侧导航栏中选择[UserSetup],打开用户配置界面,在文本框中输入用户名"$enab3$",单击"Add/Edit"后,进入该用户的编辑页面.
用户级别切换认证配置举例杭州华三通信技术有限公司www.
h3c.
com.
cn第14页,共29页图4-7添加级别切换用户#输入用户的相关辅助信息,配置用户登录密码为"pass3".
用户级别切换认证配置举例杭州华三通信技术有限公司www.
h3c.
com.
cn第15页,共29页图4-8配置级别切换用户信息4.
3.
2配置Device1.
配置步骤#配置接口Ethernet1/1的IP地址,Telnet用户将通过该地址连接Device.
system-view[Device]interfaceethernet1/1[Device-Ethernet1/1]ipaddress192.
168.
1.
1255.
255.
255.
0[Device-Ethernet1/1]quit#配置接口Ethernet1/2的IP地址,Device将通过该地址与服务器通信.
[Device]interfaceethernet1/2[Device-Ethernet1/2]ipaddress10.
1.
1.
1255.
255.
255.
0[Device-Ethernet1/2]quit#开启Device的Telnet服务器功能.
[Device]telnetserverenable#配置Telnet用户登录采用AAA认证方式.
[Device]user-interfacevty04[Device-ui-vty0-4]authentication-modescheme用户级别切换认证配置举例杭州华三通信技术有限公司www.
h3c.
com.
cn第16页,共29页[Device-ui-vty0-4]quit#创建RADIUS方案rad.
[Device]radiusschemerad#配置主认证服务器的IP地址为10.
1.
1.
2,认证端口号为1812(可选,缺省为1812).
[Device-radius-rad]primaryauthentication10.
1.
1.
21812#配置与认证服务器交互报文时的共享密钥为expert.
[Device-radius-rad]keyauthenticationexpert#配置RADIUS服务器的服务类型为standard.
(可选,缺省为standard)[Device-radius-rad]server-typestandard#配置向RADIUS服务器发送的用户名不携带域名.
[Device-radius-rad]user-name-formatwithout-domain[Device-radius-rad]quit#创建ISP域bbb.
[Device]domainbbb#配置Login用户的RADIUS认证方案为rad.
[Device-isp-bbb]authenticationloginradius-schemerad#配置Login用户的授权方案为none.
[Device-isp-bbb]authorizationloginnone#配置Super认证的RADIUS认证方案为rad.
[Device-isp-bbb]authenticationsuperradius-schemerad[Device-isp-bbb]quit#配置Super认证方式为scheme.
[Device]superauthentication-modescheme2.
配置文件[Device]displaycurrent-configuration#version5.
20,Release10601#sysnameDevice#superauthentication-modescheme#telnetserverenable#radiusschemeradprimaryauthentication10.
1.
1.
2keyauthenticationcipher$c$3$tE9TAUYN8Z6P9EsFLgAdI5/6PeVIdfLzyA==user-name-formatwithout-domain#domainbbbauthenticationloginradius-schemeradauthorizationloginnoneauthenticationsuperradius-schemerad用户级别切换认证配置举例杭州华三通信技术有限公司www.
h3c.
com.
cn第17页,共29页access-limitdisablestateactiveidle-cutdisableself-service-urldisabledomainsystemaccess-limitdisablestateactiveidle-cutdisableself-service-urldisable#user-groupsystemgroup-attributeallow-guest#interfaceEthernet1/1portlink-moderouteipaddress192.
168.
1.
1255.
255.
255.
0#interfaceEthernet1/2portlink-moderouteipaddress10.
1.
1.
1255.
255.
255.
0#user-interfacecon0user-interfacetty13user-interfaceaux0user-interfacevty04authentication-modescheme#return4.
4验证结果可通过以下步骤验证上述配置.
(1)Telnet用户建立与Device的连接在Telnet客户端上按照提示输入用户名admin@bbb及密码123456,即可进入Device的用户界面,且只能访问级别为0的命令.
C:\>telnet192.
168.
1.
1*Copyright(c)1998-2009HuaweiTech.
Co.
,Ltd.
Allrightsreserved.
**Withouttheowner'spriorwrittenconsent,**nodecompilingorreverse-engineeringshallbeallowed.
*Loginauthentication用户级别切换认证配置举例杭州华三通信技术有限公司www.
h3c.
com.
cn第18页,共29页Username:admin@bbbPassword:Userviewcommands:clusterRunclustercommanddisplayDisplaycurrentsysteminformationpingPingfunctionquitExitfromcurrentcommandviewrshEstablishoneRSHconnectionssh2EstablishasecureshellclientconnectionsuperSetthecurrentuserpriorityleveltelnetEstablishoneTELNETconnectiontracertTraceroutefunction(2)切换用户级别#在当前的用户界面下执行切换用户级别到3级的命令,按照提示输入RADIUS级别切换密码pass3,即可将当前Telnet用户的级别切换到3级.
super3Password:,进入AAAClient的编辑页面.
图5-3添加接入设备#在AAAClient的编辑页面中进行如下配置:输入接入设备名称,接入设备IP地址和交互HWTACACS报文的共享密钥;选择认证协议类型为"TACACS+(CiscoIOS)";单击"Submit+Apply"按钮完成操作.
用户级别切换认证配置举例杭州华三通信技术有限公司www.
h3c.
com.
cn第22页,共29页图5-4配置接入设备(3)添加高级选项#在左侧导航栏中选择[InterfaceConfiguration],打开接口配置界面,单击"TACACS+(CiscoIOS)"链接,进入TACACS+的高级属性页面.
图5-5配置用户接口#选中高级配置选项中的"AdvancedTACACS+Features"项,让用户配置界面中隐藏的高级选项显示出来,该高级选项中包含了Enable密码的相关配置.
用户级别切换认证配置举例杭州华三通信技术有限公司www.
h3c.
com.
cn第23页,共29页图5-6添加高级选项(4)添加登录用户#在左侧导航栏中选择[UserSetup],打开用户配置界面,在文本框中输入用户名"admin",单击"Add/Edit"后,进入该用户的编辑页面.
用户级别切换认证配置举例杭州华三通信技术有限公司www.
h3c.
com.
cn第24页,共29页图5-7添加登录用户#输入用户的相关辅助信息,配置用户登录密码为"123456".
图5-8配置登录用户信息(5)配置级别切换密码用户级别切换认证配置举例杭州华三通信技术有限公司www.
h3c.
com.
cn第25页,共29页#继续在用户admin的编辑页面中进行下面的高级TACACS+设置.
选中"MaxPrivilegeforanyAAAClient",在下拉框中选择"Level3".
该配置表示级别切换后,用户可执行的命令的最高级别为3.
选择"Useseparatepassword",输入级别切换密码"pass3".
单击"Submit"按钮完成操作.
图5-9添加级别切换用户5.
3.
2配置Device1.
配置步骤#配置接口Ethernet1/1的IP地址,Telnet用户将通过该地址连接Device.
system-view[Device]interfaceethernet1/1[Device-Ethernet1/1]ipaddress192.
168.
1.
1255.
255.
255.
0[Device-Ethernet1/1]quit#配置接口Ethernet1/2的IP地址,Device将通过该地址与服务器通信.
[Device]interfaceethernet1/2用户级别切换认证配置举例杭州华三通信技术有限公司www.
h3c.
com.
cn第26页,共29页[Device-Ethernet1/2]ipaddress10.
1.
1.
1255.
255.
255.
0[Device-Ethernet1/2]quit#开启Device的Telnet服务器功能.
[Device]telnetserverenable#配置Telnet用户登录采用AAA认证方式.
[Device]user-interfacevty04[Device-ui-vty0-4]authentication-modescheme[Device-ui-vty0-4]quit#创建HWTACACS方案hwtac.
[Device]hwtacacsschemehwtac#配置主认证服务器的IP地址为10.
1.
1.
2,认证端口号为49(可选,缺省为49).
[Device-hwtacacs-hwtac]primaryauthentication10.
1.
1.
249#配置与认证服务器交互报文时的共享密钥为expert.
[Device-hwtacacs-hwtac]keyauthenticationexpert#配置向HWTACACS服务器发送的用户名不携带域名.
[Device-hwtacacs-hwtac]user-name-formatwithout-domain[Device-hwtacacs-hwtac]quit#创建ISP域bbb.
[Device]domainbbb#配置Login用户的HWTACACS认证方案为hwtac.
[Device-isp-bbb]authenticationloginhwtacacs-schemehwtac#配置Login用户的授权方案为none.
[Device-isp-bbb]authorizationloginnone#配置Super认证的HWTACACS认证方案为rad.
[Device-isp-bbb]authenticationsuperhwtacacs-schemehwtac[Device-isp-bbb]quit#配置Super认证方式为schemelocal.
[Device]superauthentication-modeschemelocal#配置可切换到级别3的本地级别切换密码为localpass.
(level参数可选,缺省为3)[Device]superpasswordlevel3simplelocalpass2.
配置文件[Device]displaycurrent-configuration#version5.
20,Release10601#sysnameDevice#superpasswordlevel3cipher$c$3$Q+PilXDdUD/j2rRBANnbYr5ZBcGOXoLQDyxd8g==superauthentication-modeschemelocal#telnetserverenable#用户级别切换认证配置举例杭州华三通信技术有限公司www.
h3c.
com.
cn第27页,共29页hwtacacsschemehwtacprimaryauthentication192.
168.
1.
15keyauthenticationcipher$c$3$rPzPN0MlHR7EExRhS5QxKYDmfpCGNdnqkg==user-name-formatwithout-domain#domainbbbauthenticationloginhwtacacs-schemehwtacauthorizationloginnoneauthenticationsuperhwtacacs-schemehwtacaccess-limitdisablestateactiveidle-cutdisableself-service-urldisabledomainsystemaccess-limitdisablestateactiveidle-cutdisableself-service-urldisable#user-groupsystemgroup-attributeallow-guest#interfaceEthernet1/1portlink-moderouteipaddress192.
168.
1.
1255.
255.
255.
0#interfaceEthernet1/2portlink-moderouteipaddress10.
1.
1.
1255.
255.
255.
0#user-interfacecon0user-interfacetty13user-interfaceaux0user-interfacevty04authentication-modescheme#return5.
4验证结果可通过以下步骤验证上述配置.
(1)Telnet用户建立与Device的连接在Telnet客户端上按照提示输入用户名admin@bbb及密码123456,即可进入Device的用户界面,且只能访问级别为0的命令.
C:\>telnet192.
168.
1.
1用户级别切换认证配置举例杭州华三通信技术有限公司www.
h3c.
com.
cn第28页,共29页*Copyright(c)1998-2009HuaweiTech.
Co.
,Ltd.
Allrightsreserved.
**Withouttheowner'spriorwrittenconsent,**nodecompilingorreverse-engineeringshallbeallowed.
*LoginauthenticationUsername:admin@bbbPassword:Userviewcommands:clusterRunclustercommanddisplayDisplaycurrentsysteminformationpingPingfunctionquitExitfromcurrentcommandviewrshEstablishoneRSHconnectionssh2EstablishasecureshellclientconnectionsuperSetthecurrentuserpriorityleveltelnetEstablishoneTELNETconnectiontracertTraceroutefunction(2)切换用户级别#在当前的用户界面下执行切换用户级别到3级的命令,按照提示输入HWTACACS级别切换密码pass3,即可将当前Telnet用户的级别切换到3级.
super3Password:super3Password:Error:Invalidconfigurationornoresponsefromtheauthenticationserver.
Info:Changeauthenticationmodetolocal.
Password:<——此处需输入本地级别切换密码:localpassUserprivilegelevelis3,andonlythosecommandscanbeusedwhoselevelisequalorlessthanthis.
Privilegenote:0-VISIT,1-MONITOR,2-SYSTEM,3-MANAGE6相关资料用户级别切换认证技术白皮书用户级别切换认证配置举例杭州华三通信技术有限公司www.
h3c.
com.
cn第29页,共29页Copyright2013杭州华三通信技术有限公司版权所有,保留一切权利.
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播.
本文档中的信息可能变动,恕不另行通知.
h3c.
com.
cn第1页,共29页用户级别切换认证配置举例关键词:用户级别切换认证,RADIUS,HWTACACS摘要:本文结合不同的登录认证方式,详细介绍了三种用户级别切换认证的配置思路和配置过程.
缩略语:缩略语英文全名中文解释AAAAuthentication,Authorization,Accounting认证、授权、计费RADIUSRemoteAuthenticationDial-InUserService远程认证拨号用户服务HWTACACSHWTerminalAccessControllerAccessControlSystemHW终端访问控制器控制系统协议用户级别切换认证配置举例杭州华三通信技术有限公司www.
h3c.
com.
cn第2页,共29页目录1特性简介·32应用场合·33本地Super认证配置举例·43.
1组网需求·43.
2配置思路·43.
3配置步骤·53.
4验证结果·74RADIUSSuper认证配置举例84.
1组网需求·84.
2配置思路·84.
3配置步骤·94.
3.
1配置RADIUSserver104.
3.
2配置Device·154.
4验证结果·175(HWTACACS+Local)Super认证配置举例·185.
1组网需求·185.
2配置思路·195.
3配置步骤·205.
3.
1配置HWTACACSserver·205.
3.
2配置Device·255.
4验证结果·276相关资料·28用户级别切换认证配置举例杭州华三通信技术有限公司www.
h3c.
com.
cn第3页,共29页1特性简介用户在不退出当前登录、不断开当前连接的前提下,可以通过执行super命令暂时将自身的用户级别从当前的级别切换到指定的级别.
级别切换后用户不需要重新登录,可以继续配置设备,只是可以执行的命令会不一样.
且切换后的级别是临时的,只对当前登录生效,用户重新登录后,又会恢复到原有级别.
当使用super命令从低级别往高级别切换时,相当于用户请求增加访问权限,因此系统需要对这种级别提升行为进行认证,只有认证通过,才赋予该用户新的访问权限.
我们简称这种用户级别提升切换认证为Super认证.
2应用场合目前,设备上支持两种Super认证方案:本地级别切换认证(本地Super认证)和远程AAA级别切换认证(远程Super认证).
1.
本地Super认证本地Super认证是指,使用一个本地配置的密码对级别切换行为进行认证.
对于要切换到某一个级别的行为,所有用户均使用同一个密码.
如下所示,任何登录到设备上的用户,要切换到3级别时,只需要正确输入一个该设备上预先设置的本地级别切换密码就可以.
super3Password:super3Username:olive@abcPassword:system-view[Device]interfaceethernet1/1[Device-Ethernet1/1]ipaddress192.
168.
1.
1255.
255.
255.
0[Device-Ethernet1/1]quit#开启Telnet服务器功能.
[Device]telnetserverenable#配置Telnet用户登录采用AAA认证方式.
[Device]user-interfacevty04[Device-ui-vty0-4]authentication-modescheme[Device-ui-vty0-4]quit#创建ISP域bbb.
[Device]domainbbb#配置Login用户的认证/授权方案为local.
(可选,ISP域的缺省认证/授权方案为local)[Device-isp-bbb]authenticationloginlocal[Device-isp-bbb]authorizationloginlocal[Device-isp-bbb]quit#创建本地用户test,服务器类型为Telnet,密码为123456.
[Device]local-usertest[Device-luser-test]service-typetelnet[Device-luser-test]passwordsimple123456#指定Telnet用户登录系统后所能访问的命令级别为1级.
[Device-luser-test]authorization-attributelevel1[Device-luser-test]quit用户级别切换认证配置举例杭州华三通信技术有限公司www.
h3c.
com.
cn第6页,共29页#配置Super认证方式为local.
[Device]superauthentication-modelocal#配置可切换到级别3的本地级别切换密码为localpass.
(level参数可选,缺省为3)[Device]superpasswordlevel3simplelocalpass2.
配置文件[Device]displaycurrent-configuration#version5.
20,Release10601#sysnameDevice#superpasswordlevel3cipher$c$3$Zpr1U6u8+yBRZE4Pt8uTBI/VOboEnf2gsvEULg==superauthentication-modelocal#domaindefaultenablesystem#telnetserverenable#domainbbbauthenticationloginlocalauthorizationloginlocalaccess-limitdisablestateactiveidle-cutdisableself-service-urldisabledomainsystemaccess-limitdisablestateactiveidle-cutdisableself-service-urldisable#user-groupsystemgroup-attributeallow-guest#local-usertestpasswordcipher$c$3$UFdz+Q4t+duZFUhihLGBrmY1+RDjasu4Kg==authorization-attributelevel1service-typetelnet#interfaceEthernet1/1portlink-moderouteipaddress192.
168.
1.
1255.
255.
255.
0#interfaceEthernet1/2portlink-moderoute用户级别切换认证配置举例杭州华三通信技术有限公司www.
h3c.
com.
cn第7页,共29页#user-interfacecon0user-interfacetty13user-interfaceauxuser-interfacevty04authentication-modescheme#return3.
4验证结果可通过以下步骤验证上述配置.
(1)Telnet用户建立与Device的连接在Telnet客户端上按照提示输入用户名test@bbb及密码123456,即可进入Device的用户界面,且只能访问级别为1的命令.
C:\>telnet192.
168.
1.
1*Copyright(c)1998-2009HuaweiTech.
Co.
,Ltd.
Allrightsreserved.
**Withouttheowner'spriorwrittenconsent,**nodecompilingorreverse-engineeringshallbeallowed.
*LoginauthenticationUsername:test@bbbPassword:Userviewcommands:clusterRunclustercommanddebuggingEnablesystemdebuggingfunctionsdialerDialerdisconnectdisplayDisplaycurrentsysteminformationpingPingfunctionquitExitfromcurrentcommandviewrefreshDosoftresetresetResetoperationrshEstablishoneRSHconnectionscreen-lengthSpecifythelinesdisplayedononescreensendSendinformationtootheruserterminalinterfacessh2EstablishasecureshellclientconnectionsuperSetthecurrentuserpriorityleveltelnetEstablishoneTELNETconnectionterminalSettheterminallinecharacteristicstracertTraceroutefunction用户级别切换认证配置举例杭州华三通信技术有限公司www.
h3c.
com.
cn第8页,共29页undoCancelcurrentsetting(2)切换用户级别#在当前的用户界面下执行切换用户级别到3级的命令,按照提示输入本地级别切换密码localpass,即可将当前Telnet用户的级别切换到3级.
super3Password:,进入AAAClient的编辑页面.
用户级别切换认证配置举例杭州华三通信技术有限公司www.
h3c.
com.
cn第11页,共29页图4-3添加接入设备#在AAAClient的编辑页面中进行如下配置:输入接入设备名称,接入设备IP地址和交互RADIUS报文的共享密钥;选择认证协议类型为"RADIUS+(IETF)";单击"Submit+Apply"按钮完成操作.
图4-4配置接入设备用户级别切换认证配置举例杭州华三通信技术有限公司www.
h3c.
com.
cn第12页,共29页(3)添加登录用户#在左侧导航栏中选择[UserSetup],打开用户配置界面,在文本框中输入用户名"admin",单击"Add/Edit"后,进入该用户的编辑页面.
图4-5添加登录用户#填写用户的相关辅助信息,配置用户登录密码为"123456".
用户级别切换认证配置举例杭州华三通信技术有限公司www.
h3c.
com.
cn第13页,共29页图4-6配置登录用户信息(4)添加级别切换用户#在左侧导航栏中选择[UserSetup],打开用户配置界面,在文本框中输入用户名"$enab3$",单击"Add/Edit"后,进入该用户的编辑页面.
用户级别切换认证配置举例杭州华三通信技术有限公司www.
h3c.
com.
cn第14页,共29页图4-7添加级别切换用户#输入用户的相关辅助信息,配置用户登录密码为"pass3".
用户级别切换认证配置举例杭州华三通信技术有限公司www.
h3c.
com.
cn第15页,共29页图4-8配置级别切换用户信息4.
3.
2配置Device1.
配置步骤#配置接口Ethernet1/1的IP地址,Telnet用户将通过该地址连接Device.
system-view[Device]interfaceethernet1/1[Device-Ethernet1/1]ipaddress192.
168.
1.
1255.
255.
255.
0[Device-Ethernet1/1]quit#配置接口Ethernet1/2的IP地址,Device将通过该地址与服务器通信.
[Device]interfaceethernet1/2[Device-Ethernet1/2]ipaddress10.
1.
1.
1255.
255.
255.
0[Device-Ethernet1/2]quit#开启Device的Telnet服务器功能.
[Device]telnetserverenable#配置Telnet用户登录采用AAA认证方式.
[Device]user-interfacevty04[Device-ui-vty0-4]authentication-modescheme用户级别切换认证配置举例杭州华三通信技术有限公司www.
h3c.
com.
cn第16页,共29页[Device-ui-vty0-4]quit#创建RADIUS方案rad.
[Device]radiusschemerad#配置主认证服务器的IP地址为10.
1.
1.
2,认证端口号为1812(可选,缺省为1812).
[Device-radius-rad]primaryauthentication10.
1.
1.
21812#配置与认证服务器交互报文时的共享密钥为expert.
[Device-radius-rad]keyauthenticationexpert#配置RADIUS服务器的服务类型为standard.
(可选,缺省为standard)[Device-radius-rad]server-typestandard#配置向RADIUS服务器发送的用户名不携带域名.
[Device-radius-rad]user-name-formatwithout-domain[Device-radius-rad]quit#创建ISP域bbb.
[Device]domainbbb#配置Login用户的RADIUS认证方案为rad.
[Device-isp-bbb]authenticationloginradius-schemerad#配置Login用户的授权方案为none.
[Device-isp-bbb]authorizationloginnone#配置Super认证的RADIUS认证方案为rad.
[Device-isp-bbb]authenticationsuperradius-schemerad[Device-isp-bbb]quit#配置Super认证方式为scheme.
[Device]superauthentication-modescheme2.
配置文件[Device]displaycurrent-configuration#version5.
20,Release10601#sysnameDevice#superauthentication-modescheme#telnetserverenable#radiusschemeradprimaryauthentication10.
1.
1.
2keyauthenticationcipher$c$3$tE9TAUYN8Z6P9EsFLgAdI5/6PeVIdfLzyA==user-name-formatwithout-domain#domainbbbauthenticationloginradius-schemeradauthorizationloginnoneauthenticationsuperradius-schemerad用户级别切换认证配置举例杭州华三通信技术有限公司www.
h3c.
com.
cn第17页,共29页access-limitdisablestateactiveidle-cutdisableself-service-urldisabledomainsystemaccess-limitdisablestateactiveidle-cutdisableself-service-urldisable#user-groupsystemgroup-attributeallow-guest#interfaceEthernet1/1portlink-moderouteipaddress192.
168.
1.
1255.
255.
255.
0#interfaceEthernet1/2portlink-moderouteipaddress10.
1.
1.
1255.
255.
255.
0#user-interfacecon0user-interfacetty13user-interfaceaux0user-interfacevty04authentication-modescheme#return4.
4验证结果可通过以下步骤验证上述配置.
(1)Telnet用户建立与Device的连接在Telnet客户端上按照提示输入用户名admin@bbb及密码123456,即可进入Device的用户界面,且只能访问级别为0的命令.
C:\>telnet192.
168.
1.
1*Copyright(c)1998-2009HuaweiTech.
Co.
,Ltd.
Allrightsreserved.
**Withouttheowner'spriorwrittenconsent,**nodecompilingorreverse-engineeringshallbeallowed.
*Loginauthentication用户级别切换认证配置举例杭州华三通信技术有限公司www.
h3c.
com.
cn第18页,共29页Username:admin@bbbPassword:Userviewcommands:clusterRunclustercommanddisplayDisplaycurrentsysteminformationpingPingfunctionquitExitfromcurrentcommandviewrshEstablishoneRSHconnectionssh2EstablishasecureshellclientconnectionsuperSetthecurrentuserpriorityleveltelnetEstablishoneTELNETconnectiontracertTraceroutefunction(2)切换用户级别#在当前的用户界面下执行切换用户级别到3级的命令,按照提示输入RADIUS级别切换密码pass3,即可将当前Telnet用户的级别切换到3级.
super3Password:,进入AAAClient的编辑页面.
图5-3添加接入设备#在AAAClient的编辑页面中进行如下配置:输入接入设备名称,接入设备IP地址和交互HWTACACS报文的共享密钥;选择认证协议类型为"TACACS+(CiscoIOS)";单击"Submit+Apply"按钮完成操作.
用户级别切换认证配置举例杭州华三通信技术有限公司www.
h3c.
com.
cn第22页,共29页图5-4配置接入设备(3)添加高级选项#在左侧导航栏中选择[InterfaceConfiguration],打开接口配置界面,单击"TACACS+(CiscoIOS)"链接,进入TACACS+的高级属性页面.
图5-5配置用户接口#选中高级配置选项中的"AdvancedTACACS+Features"项,让用户配置界面中隐藏的高级选项显示出来,该高级选项中包含了Enable密码的相关配置.
用户级别切换认证配置举例杭州华三通信技术有限公司www.
h3c.
com.
cn第23页,共29页图5-6添加高级选项(4)添加登录用户#在左侧导航栏中选择[UserSetup],打开用户配置界面,在文本框中输入用户名"admin",单击"Add/Edit"后,进入该用户的编辑页面.
用户级别切换认证配置举例杭州华三通信技术有限公司www.
h3c.
com.
cn第24页,共29页图5-7添加登录用户#输入用户的相关辅助信息,配置用户登录密码为"123456".
图5-8配置登录用户信息(5)配置级别切换密码用户级别切换认证配置举例杭州华三通信技术有限公司www.
h3c.
com.
cn第25页,共29页#继续在用户admin的编辑页面中进行下面的高级TACACS+设置.
选中"MaxPrivilegeforanyAAAClient",在下拉框中选择"Level3".
该配置表示级别切换后,用户可执行的命令的最高级别为3.
选择"Useseparatepassword",输入级别切换密码"pass3".
单击"Submit"按钮完成操作.
图5-9添加级别切换用户5.
3.
2配置Device1.
配置步骤#配置接口Ethernet1/1的IP地址,Telnet用户将通过该地址连接Device.
system-view[Device]interfaceethernet1/1[Device-Ethernet1/1]ipaddress192.
168.
1.
1255.
255.
255.
0[Device-Ethernet1/1]quit#配置接口Ethernet1/2的IP地址,Device将通过该地址与服务器通信.
[Device]interfaceethernet1/2用户级别切换认证配置举例杭州华三通信技术有限公司www.
h3c.
com.
cn第26页,共29页[Device-Ethernet1/2]ipaddress10.
1.
1.
1255.
255.
255.
0[Device-Ethernet1/2]quit#开启Device的Telnet服务器功能.
[Device]telnetserverenable#配置Telnet用户登录采用AAA认证方式.
[Device]user-interfacevty04[Device-ui-vty0-4]authentication-modescheme[Device-ui-vty0-4]quit#创建HWTACACS方案hwtac.
[Device]hwtacacsschemehwtac#配置主认证服务器的IP地址为10.
1.
1.
2,认证端口号为49(可选,缺省为49).
[Device-hwtacacs-hwtac]primaryauthentication10.
1.
1.
249#配置与认证服务器交互报文时的共享密钥为expert.
[Device-hwtacacs-hwtac]keyauthenticationexpert#配置向HWTACACS服务器发送的用户名不携带域名.
[Device-hwtacacs-hwtac]user-name-formatwithout-domain[Device-hwtacacs-hwtac]quit#创建ISP域bbb.
[Device]domainbbb#配置Login用户的HWTACACS认证方案为hwtac.
[Device-isp-bbb]authenticationloginhwtacacs-schemehwtac#配置Login用户的授权方案为none.
[Device-isp-bbb]authorizationloginnone#配置Super认证的HWTACACS认证方案为rad.
[Device-isp-bbb]authenticationsuperhwtacacs-schemehwtac[Device-isp-bbb]quit#配置Super认证方式为schemelocal.
[Device]superauthentication-modeschemelocal#配置可切换到级别3的本地级别切换密码为localpass.
(level参数可选,缺省为3)[Device]superpasswordlevel3simplelocalpass2.
配置文件[Device]displaycurrent-configuration#version5.
20,Release10601#sysnameDevice#superpasswordlevel3cipher$c$3$Q+PilXDdUD/j2rRBANnbYr5ZBcGOXoLQDyxd8g==superauthentication-modeschemelocal#telnetserverenable#用户级别切换认证配置举例杭州华三通信技术有限公司www.
h3c.
com.
cn第27页,共29页hwtacacsschemehwtacprimaryauthentication192.
168.
1.
15keyauthenticationcipher$c$3$rPzPN0MlHR7EExRhS5QxKYDmfpCGNdnqkg==user-name-formatwithout-domain#domainbbbauthenticationloginhwtacacs-schemehwtacauthorizationloginnoneauthenticationsuperhwtacacs-schemehwtacaccess-limitdisablestateactiveidle-cutdisableself-service-urldisabledomainsystemaccess-limitdisablestateactiveidle-cutdisableself-service-urldisable#user-groupsystemgroup-attributeallow-guest#interfaceEthernet1/1portlink-moderouteipaddress192.
168.
1.
1255.
255.
255.
0#interfaceEthernet1/2portlink-moderouteipaddress10.
1.
1.
1255.
255.
255.
0#user-interfacecon0user-interfacetty13user-interfaceaux0user-interfacevty04authentication-modescheme#return5.
4验证结果可通过以下步骤验证上述配置.
(1)Telnet用户建立与Device的连接在Telnet客户端上按照提示输入用户名admin@bbb及密码123456,即可进入Device的用户界面,且只能访问级别为0的命令.
C:\>telnet192.
168.
1.
1用户级别切换认证配置举例杭州华三通信技术有限公司www.
h3c.
com.
cn第28页,共29页*Copyright(c)1998-2009HuaweiTech.
Co.
,Ltd.
Allrightsreserved.
**Withouttheowner'spriorwrittenconsent,**nodecompilingorreverse-engineeringshallbeallowed.
*LoginauthenticationUsername:admin@bbbPassword:Userviewcommands:clusterRunclustercommanddisplayDisplaycurrentsysteminformationpingPingfunctionquitExitfromcurrentcommandviewrshEstablishoneRSHconnectionssh2EstablishasecureshellclientconnectionsuperSetthecurrentuserpriorityleveltelnetEstablishoneTELNETconnectiontracertTraceroutefunction(2)切换用户级别#在当前的用户界面下执行切换用户级别到3级的命令,按照提示输入HWTACACS级别切换密码pass3,即可将当前Telnet用户的级别切换到3级.
super3Password:super3Password:Error:Invalidconfigurationornoresponsefromtheauthenticationserver.
Info:Changeauthenticationmodetolocal.
Password:<——此处需输入本地级别切换密码:localpassUserprivilegelevelis3,andonlythosecommandscanbeusedwhoselevelisequalorlessthanthis.
Privilegenote:0-VISIT,1-MONITOR,2-SYSTEM,3-MANAGE6相关资料用户级别切换认证技术白皮书用户级别切换认证配置举例杭州华三通信技术有限公司www.
h3c.
com.
cn第29页,共29页Copyright2013杭州华三通信技术有限公司版权所有,保留一切权利.
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播.
本文档中的信息可能变动,恕不另行通知.
- 配置login是什么意思相关文档
- Administratorlogin是什么意思
- 如下图login是什么意思
- waterlogin是什么意思
- 账户login是什么意思
- www.cab.zju.edu.cn/cab/xueyuanxiashubumen/nx/bioinplant.htm
- linklogin是什么意思
无视CC攻击CDN ,DDOS打不死高防CDN,免备案CDN,月付58元起
快快CDN主营业务为海外服务器无须备案,高防CDN,防劫持CDN,香港服务器,美国服务器,加速CDN,是一家综合性的主机服务商。美国高防服务器,1800DDOS防御,单机1800G DDOS防御,大陆直链 cn2线路,线路友好。快快CDN全球安全防护平台是一款集 DDOS 清洗、CC 指纹识别、WAF 防护为一体的外加全球加速的超强安全加速网络,为您的各类型业务保驾护航加速前进!价格都非常给力,需...
一键去除宝塔面板各种计算题与延时等待
现在宝塔面板真的是越来越过分了,删除文件、删除数据库、删除站点等操作都需要做计算题!我今天升级到7.7版本,发现删除数据库竟然还加了几秒的延时等待,也无法跳过!宝塔的老板该不会是小学数学老师吧,那么喜欢让我们做计算题!因此我写了个js用于去除各种计算题以及延时等待,同时还去除了软件列表页面的bt企业版广告。只需要执行以下命令即可一键完成!复制以下命令在SSH界面执行:Layout_file="/w...
Sharktech云服务器35折年付33美元起,2G内存/40G硬盘/4TB流量/多机房可选
Sharktech又称SK或者鲨鱼机房,是一家主打高防产品的国外商家,成立于2003年,提供的产品包括独立服务器租用、VPS云服务器等,自营机房在美国洛杉矶、丹佛、芝加哥和荷兰阿姆斯特丹等。之前我们经常分享商家提供的独立服务器产品,近期主机商针对云虚拟服务器(CVS)提供优惠码,优惠后XS套餐年付最低仅33.39美元起,支持使用支付宝、PayPal、信用卡等付款方式。下面以XS套餐为例,分享产品配...
login是什么意思为你推荐
-
云爆发什么是蒸汽云爆炸?要具备那些条件?摩根币JPM摩根币是什么?怎么赚钱是骗人的吗?12306崩溃为什么12306进不去ip在线查询我要用eclipse做个ip在线查询功能,用QQwry数据库,可是我不知道怎么把这个数据库放到我的程序里面去,高手帮忙指点下,小弟在这谢谢了杨丽晓博客杨丽晓今年高考了吗?广告法中国的广告法有哪些。yinrentangweichentang产品功效好不好?www.diediao.com跪求鸭王2www.jizzbo.comwww.toubai.com是什么网站本冈一郎本冈一郎有副作用吗?主要有什么呢?