配置login是什么意思
login是什么意思 时间:2021-04-04 阅读:()
用户级别切换认证配置举例杭州华三通信技术有限公司www.
h3c.
com.
cn第1页,共29页用户级别切换认证配置举例关键词:用户级别切换认证,RADIUS,HWTACACS摘要:本文结合不同的登录认证方式,详细介绍了三种用户级别切换认证的配置思路和配置过程.
缩略语:缩略语英文全名中文解释AAAAuthentication,Authorization,Accounting认证、授权、计费RADIUSRemoteAuthenticationDial-InUserService远程认证拨号用户服务HWTACACSHWTerminalAccessControllerAccessControlSystemHW终端访问控制器控制系统协议用户级别切换认证配置举例杭州华三通信技术有限公司www.
h3c.
com.
cn第2页,共29页目录1特性简介·32应用场合·33本地Super认证配置举例·43.
1组网需求·43.
2配置思路·43.
3配置步骤·53.
4验证结果·74RADIUSSuper认证配置举例84.
1组网需求·84.
2配置思路·84.
3配置步骤·94.
3.
1配置RADIUSserver104.
3.
2配置Device·154.
4验证结果·175(HWTACACS+Local)Super认证配置举例·185.
1组网需求·185.
2配置思路·195.
3配置步骤·205.
3.
1配置HWTACACSserver·205.
3.
2配置Device·255.
4验证结果·276相关资料·28用户级别切换认证配置举例杭州华三通信技术有限公司www.
h3c.
com.
cn第3页,共29页1特性简介用户在不退出当前登录、不断开当前连接的前提下,可以通过执行super命令暂时将自身的用户级别从当前的级别切换到指定的级别.
级别切换后用户不需要重新登录,可以继续配置设备,只是可以执行的命令会不一样.
且切换后的级别是临时的,只对当前登录生效,用户重新登录后,又会恢复到原有级别.
当使用super命令从低级别往高级别切换时,相当于用户请求增加访问权限,因此系统需要对这种级别提升行为进行认证,只有认证通过,才赋予该用户新的访问权限.
我们简称这种用户级别提升切换认证为Super认证.
2应用场合目前,设备上支持两种Super认证方案:本地级别切换认证(本地Super认证)和远程AAA级别切换认证(远程Super认证).
1.
本地Super认证本地Super认证是指,使用一个本地配置的密码对级别切换行为进行认证.
对于要切换到某一个级别的行为,所有用户均使用同一个密码.
如下所示,任何登录到设备上的用户,要切换到3级别时,只需要正确输入一个该设备上预先设置的本地级别切换密码就可以.
super3Password:super3Username:olive@abcPassword:system-view[Device]interfaceethernet1/1[Device-Ethernet1/1]ipaddress192.
168.
1.
1255.
255.
255.
0[Device-Ethernet1/1]quit#开启Telnet服务器功能.
[Device]telnetserverenable#配置Telnet用户登录采用AAA认证方式.
[Device]user-interfacevty04[Device-ui-vty0-4]authentication-modescheme[Device-ui-vty0-4]quit#创建ISP域bbb.
[Device]domainbbb#配置Login用户的认证/授权方案为local.
(可选,ISP域的缺省认证/授权方案为local)[Device-isp-bbb]authenticationloginlocal[Device-isp-bbb]authorizationloginlocal[Device-isp-bbb]quit#创建本地用户test,服务器类型为Telnet,密码为123456.
[Device]local-usertest[Device-luser-test]service-typetelnet[Device-luser-test]passwordsimple123456#指定Telnet用户登录系统后所能访问的命令级别为1级.
[Device-luser-test]authorization-attributelevel1[Device-luser-test]quit用户级别切换认证配置举例杭州华三通信技术有限公司www.
h3c.
com.
cn第6页,共29页#配置Super认证方式为local.
[Device]superauthentication-modelocal#配置可切换到级别3的本地级别切换密码为localpass.
(level参数可选,缺省为3)[Device]superpasswordlevel3simplelocalpass2.
配置文件[Device]displaycurrent-configuration#version5.
20,Release10601#sysnameDevice#superpasswordlevel3cipher$c$3$Zpr1U6u8+yBRZE4Pt8uTBI/VOboEnf2gsvEULg==superauthentication-modelocal#domaindefaultenablesystem#telnetserverenable#domainbbbauthenticationloginlocalauthorizationloginlocalaccess-limitdisablestateactiveidle-cutdisableself-service-urldisabledomainsystemaccess-limitdisablestateactiveidle-cutdisableself-service-urldisable#user-groupsystemgroup-attributeallow-guest#local-usertestpasswordcipher$c$3$UFdz+Q4t+duZFUhihLGBrmY1+RDjasu4Kg==authorization-attributelevel1service-typetelnet#interfaceEthernet1/1portlink-moderouteipaddress192.
168.
1.
1255.
255.
255.
0#interfaceEthernet1/2portlink-moderoute用户级别切换认证配置举例杭州华三通信技术有限公司www.
h3c.
com.
cn第7页,共29页#user-interfacecon0user-interfacetty13user-interfaceauxuser-interfacevty04authentication-modescheme#return3.
4验证结果可通过以下步骤验证上述配置.
(1)Telnet用户建立与Device的连接在Telnet客户端上按照提示输入用户名test@bbb及密码123456,即可进入Device的用户界面,且只能访问级别为1的命令.
C:\>telnet192.
168.
1.
1*Copyright(c)1998-2009HuaweiTech.
Co.
,Ltd.
Allrightsreserved.
**Withouttheowner'spriorwrittenconsent,**nodecompilingorreverse-engineeringshallbeallowed.
*LoginauthenticationUsername:test@bbbPassword:Userviewcommands:clusterRunclustercommanddebuggingEnablesystemdebuggingfunctionsdialerDialerdisconnectdisplayDisplaycurrentsysteminformationpingPingfunctionquitExitfromcurrentcommandviewrefreshDosoftresetresetResetoperationrshEstablishoneRSHconnectionscreen-lengthSpecifythelinesdisplayedononescreensendSendinformationtootheruserterminalinterfacessh2EstablishasecureshellclientconnectionsuperSetthecurrentuserpriorityleveltelnetEstablishoneTELNETconnectionterminalSettheterminallinecharacteristicstracertTraceroutefunction用户级别切换认证配置举例杭州华三通信技术有限公司www.
h3c.
com.
cn第8页,共29页undoCancelcurrentsetting(2)切换用户级别#在当前的用户界面下执行切换用户级别到3级的命令,按照提示输入本地级别切换密码localpass,即可将当前Telnet用户的级别切换到3级.
super3Password:,进入AAAClient的编辑页面.
用户级别切换认证配置举例杭州华三通信技术有限公司www.
h3c.
com.
cn第11页,共29页图4-3添加接入设备#在AAAClient的编辑页面中进行如下配置:输入接入设备名称,接入设备IP地址和交互RADIUS报文的共享密钥;选择认证协议类型为"RADIUS+(IETF)";单击"Submit+Apply"按钮完成操作.
图4-4配置接入设备用户级别切换认证配置举例杭州华三通信技术有限公司www.
h3c.
com.
cn第12页,共29页(3)添加登录用户#在左侧导航栏中选择[UserSetup],打开用户配置界面,在文本框中输入用户名"admin",单击"Add/Edit"后,进入该用户的编辑页面.
图4-5添加登录用户#填写用户的相关辅助信息,配置用户登录密码为"123456".
用户级别切换认证配置举例杭州华三通信技术有限公司www.
h3c.
com.
cn第13页,共29页图4-6配置登录用户信息(4)添加级别切换用户#在左侧导航栏中选择[UserSetup],打开用户配置界面,在文本框中输入用户名"$enab3$",单击"Add/Edit"后,进入该用户的编辑页面.
用户级别切换认证配置举例杭州华三通信技术有限公司www.
h3c.
com.
cn第14页,共29页图4-7添加级别切换用户#输入用户的相关辅助信息,配置用户登录密码为"pass3".
用户级别切换认证配置举例杭州华三通信技术有限公司www.
h3c.
com.
cn第15页,共29页图4-8配置级别切换用户信息4.
3.
2配置Device1.
配置步骤#配置接口Ethernet1/1的IP地址,Telnet用户将通过该地址连接Device.
system-view[Device]interfaceethernet1/1[Device-Ethernet1/1]ipaddress192.
168.
1.
1255.
255.
255.
0[Device-Ethernet1/1]quit#配置接口Ethernet1/2的IP地址,Device将通过该地址与服务器通信.
[Device]interfaceethernet1/2[Device-Ethernet1/2]ipaddress10.
1.
1.
1255.
255.
255.
0[Device-Ethernet1/2]quit#开启Device的Telnet服务器功能.
[Device]telnetserverenable#配置Telnet用户登录采用AAA认证方式.
[Device]user-interfacevty04[Device-ui-vty0-4]authentication-modescheme用户级别切换认证配置举例杭州华三通信技术有限公司www.
h3c.
com.
cn第16页,共29页[Device-ui-vty0-4]quit#创建RADIUS方案rad.
[Device]radiusschemerad#配置主认证服务器的IP地址为10.
1.
1.
2,认证端口号为1812(可选,缺省为1812).
[Device-radius-rad]primaryauthentication10.
1.
1.
21812#配置与认证服务器交互报文时的共享密钥为expert.
[Device-radius-rad]keyauthenticationexpert#配置RADIUS服务器的服务类型为standard.
(可选,缺省为standard)[Device-radius-rad]server-typestandard#配置向RADIUS服务器发送的用户名不携带域名.
[Device-radius-rad]user-name-formatwithout-domain[Device-radius-rad]quit#创建ISP域bbb.
[Device]domainbbb#配置Login用户的RADIUS认证方案为rad.
[Device-isp-bbb]authenticationloginradius-schemerad#配置Login用户的授权方案为none.
[Device-isp-bbb]authorizationloginnone#配置Super认证的RADIUS认证方案为rad.
[Device-isp-bbb]authenticationsuperradius-schemerad[Device-isp-bbb]quit#配置Super认证方式为scheme.
[Device]superauthentication-modescheme2.
配置文件[Device]displaycurrent-configuration#version5.
20,Release10601#sysnameDevice#superauthentication-modescheme#telnetserverenable#radiusschemeradprimaryauthentication10.
1.
1.
2keyauthenticationcipher$c$3$tE9TAUYN8Z6P9EsFLgAdI5/6PeVIdfLzyA==user-name-formatwithout-domain#domainbbbauthenticationloginradius-schemeradauthorizationloginnoneauthenticationsuperradius-schemerad用户级别切换认证配置举例杭州华三通信技术有限公司www.
h3c.
com.
cn第17页,共29页access-limitdisablestateactiveidle-cutdisableself-service-urldisabledomainsystemaccess-limitdisablestateactiveidle-cutdisableself-service-urldisable#user-groupsystemgroup-attributeallow-guest#interfaceEthernet1/1portlink-moderouteipaddress192.
168.
1.
1255.
255.
255.
0#interfaceEthernet1/2portlink-moderouteipaddress10.
1.
1.
1255.
255.
255.
0#user-interfacecon0user-interfacetty13user-interfaceaux0user-interfacevty04authentication-modescheme#return4.
4验证结果可通过以下步骤验证上述配置.
(1)Telnet用户建立与Device的连接在Telnet客户端上按照提示输入用户名admin@bbb及密码123456,即可进入Device的用户界面,且只能访问级别为0的命令.
C:\>telnet192.
168.
1.
1*Copyright(c)1998-2009HuaweiTech.
Co.
,Ltd.
Allrightsreserved.
**Withouttheowner'spriorwrittenconsent,**nodecompilingorreverse-engineeringshallbeallowed.
*Loginauthentication用户级别切换认证配置举例杭州华三通信技术有限公司www.
h3c.
com.
cn第18页,共29页Username:admin@bbbPassword:Userviewcommands:clusterRunclustercommanddisplayDisplaycurrentsysteminformationpingPingfunctionquitExitfromcurrentcommandviewrshEstablishoneRSHconnectionssh2EstablishasecureshellclientconnectionsuperSetthecurrentuserpriorityleveltelnetEstablishoneTELNETconnectiontracertTraceroutefunction(2)切换用户级别#在当前的用户界面下执行切换用户级别到3级的命令,按照提示输入RADIUS级别切换密码pass3,即可将当前Telnet用户的级别切换到3级.
super3Password:,进入AAAClient的编辑页面.
图5-3添加接入设备#在AAAClient的编辑页面中进行如下配置:输入接入设备名称,接入设备IP地址和交互HWTACACS报文的共享密钥;选择认证协议类型为"TACACS+(CiscoIOS)";单击"Submit+Apply"按钮完成操作.
用户级别切换认证配置举例杭州华三通信技术有限公司www.
h3c.
com.
cn第22页,共29页图5-4配置接入设备(3)添加高级选项#在左侧导航栏中选择[InterfaceConfiguration],打开接口配置界面,单击"TACACS+(CiscoIOS)"链接,进入TACACS+的高级属性页面.
图5-5配置用户接口#选中高级配置选项中的"AdvancedTACACS+Features"项,让用户配置界面中隐藏的高级选项显示出来,该高级选项中包含了Enable密码的相关配置.
用户级别切换认证配置举例杭州华三通信技术有限公司www.
h3c.
com.
cn第23页,共29页图5-6添加高级选项(4)添加登录用户#在左侧导航栏中选择[UserSetup],打开用户配置界面,在文本框中输入用户名"admin",单击"Add/Edit"后,进入该用户的编辑页面.
用户级别切换认证配置举例杭州华三通信技术有限公司www.
h3c.
com.
cn第24页,共29页图5-7添加登录用户#输入用户的相关辅助信息,配置用户登录密码为"123456".
图5-8配置登录用户信息(5)配置级别切换密码用户级别切换认证配置举例杭州华三通信技术有限公司www.
h3c.
com.
cn第25页,共29页#继续在用户admin的编辑页面中进行下面的高级TACACS+设置.
选中"MaxPrivilegeforanyAAAClient",在下拉框中选择"Level3".
该配置表示级别切换后,用户可执行的命令的最高级别为3.
选择"Useseparatepassword",输入级别切换密码"pass3".
单击"Submit"按钮完成操作.
图5-9添加级别切换用户5.
3.
2配置Device1.
配置步骤#配置接口Ethernet1/1的IP地址,Telnet用户将通过该地址连接Device.
system-view[Device]interfaceethernet1/1[Device-Ethernet1/1]ipaddress192.
168.
1.
1255.
255.
255.
0[Device-Ethernet1/1]quit#配置接口Ethernet1/2的IP地址,Device将通过该地址与服务器通信.
[Device]interfaceethernet1/2用户级别切换认证配置举例杭州华三通信技术有限公司www.
h3c.
com.
cn第26页,共29页[Device-Ethernet1/2]ipaddress10.
1.
1.
1255.
255.
255.
0[Device-Ethernet1/2]quit#开启Device的Telnet服务器功能.
[Device]telnetserverenable#配置Telnet用户登录采用AAA认证方式.
[Device]user-interfacevty04[Device-ui-vty0-4]authentication-modescheme[Device-ui-vty0-4]quit#创建HWTACACS方案hwtac.
[Device]hwtacacsschemehwtac#配置主认证服务器的IP地址为10.
1.
1.
2,认证端口号为49(可选,缺省为49).
[Device-hwtacacs-hwtac]primaryauthentication10.
1.
1.
249#配置与认证服务器交互报文时的共享密钥为expert.
[Device-hwtacacs-hwtac]keyauthenticationexpert#配置向HWTACACS服务器发送的用户名不携带域名.
[Device-hwtacacs-hwtac]user-name-formatwithout-domain[Device-hwtacacs-hwtac]quit#创建ISP域bbb.
[Device]domainbbb#配置Login用户的HWTACACS认证方案为hwtac.
[Device-isp-bbb]authenticationloginhwtacacs-schemehwtac#配置Login用户的授权方案为none.
[Device-isp-bbb]authorizationloginnone#配置Super认证的HWTACACS认证方案为rad.
[Device-isp-bbb]authenticationsuperhwtacacs-schemehwtac[Device-isp-bbb]quit#配置Super认证方式为schemelocal.
[Device]superauthentication-modeschemelocal#配置可切换到级别3的本地级别切换密码为localpass.
(level参数可选,缺省为3)[Device]superpasswordlevel3simplelocalpass2.
配置文件[Device]displaycurrent-configuration#version5.
20,Release10601#sysnameDevice#superpasswordlevel3cipher$c$3$Q+PilXDdUD/j2rRBANnbYr5ZBcGOXoLQDyxd8g==superauthentication-modeschemelocal#telnetserverenable#用户级别切换认证配置举例杭州华三通信技术有限公司www.
h3c.
com.
cn第27页,共29页hwtacacsschemehwtacprimaryauthentication192.
168.
1.
15keyauthenticationcipher$c$3$rPzPN0MlHR7EExRhS5QxKYDmfpCGNdnqkg==user-name-formatwithout-domain#domainbbbauthenticationloginhwtacacs-schemehwtacauthorizationloginnoneauthenticationsuperhwtacacs-schemehwtacaccess-limitdisablestateactiveidle-cutdisableself-service-urldisabledomainsystemaccess-limitdisablestateactiveidle-cutdisableself-service-urldisable#user-groupsystemgroup-attributeallow-guest#interfaceEthernet1/1portlink-moderouteipaddress192.
168.
1.
1255.
255.
255.
0#interfaceEthernet1/2portlink-moderouteipaddress10.
1.
1.
1255.
255.
255.
0#user-interfacecon0user-interfacetty13user-interfaceaux0user-interfacevty04authentication-modescheme#return5.
4验证结果可通过以下步骤验证上述配置.
(1)Telnet用户建立与Device的连接在Telnet客户端上按照提示输入用户名admin@bbb及密码123456,即可进入Device的用户界面,且只能访问级别为0的命令.
C:\>telnet192.
168.
1.
1用户级别切换认证配置举例杭州华三通信技术有限公司www.
h3c.
com.
cn第28页,共29页*Copyright(c)1998-2009HuaweiTech.
Co.
,Ltd.
Allrightsreserved.
**Withouttheowner'spriorwrittenconsent,**nodecompilingorreverse-engineeringshallbeallowed.
*LoginauthenticationUsername:admin@bbbPassword:Userviewcommands:clusterRunclustercommanddisplayDisplaycurrentsysteminformationpingPingfunctionquitExitfromcurrentcommandviewrshEstablishoneRSHconnectionssh2EstablishasecureshellclientconnectionsuperSetthecurrentuserpriorityleveltelnetEstablishoneTELNETconnectiontracertTraceroutefunction(2)切换用户级别#在当前的用户界面下执行切换用户级别到3级的命令,按照提示输入HWTACACS级别切换密码pass3,即可将当前Telnet用户的级别切换到3级.
super3Password:super3Password:Error:Invalidconfigurationornoresponsefromtheauthenticationserver.
Info:Changeauthenticationmodetolocal.
Password:<——此处需输入本地级别切换密码:localpassUserprivilegelevelis3,andonlythosecommandscanbeusedwhoselevelisequalorlessthanthis.
Privilegenote:0-VISIT,1-MONITOR,2-SYSTEM,3-MANAGE6相关资料用户级别切换认证技术白皮书用户级别切换认证配置举例杭州华三通信技术有限公司www.
h3c.
com.
cn第29页,共29页Copyright2013杭州华三通信技术有限公司版权所有,保留一切权利.
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播.
本文档中的信息可能变动,恕不另行通知.
h3c.
com.
cn第1页,共29页用户级别切换认证配置举例关键词:用户级别切换认证,RADIUS,HWTACACS摘要:本文结合不同的登录认证方式,详细介绍了三种用户级别切换认证的配置思路和配置过程.
缩略语:缩略语英文全名中文解释AAAAuthentication,Authorization,Accounting认证、授权、计费RADIUSRemoteAuthenticationDial-InUserService远程认证拨号用户服务HWTACACSHWTerminalAccessControllerAccessControlSystemHW终端访问控制器控制系统协议用户级别切换认证配置举例杭州华三通信技术有限公司www.
h3c.
com.
cn第2页,共29页目录1特性简介·32应用场合·33本地Super认证配置举例·43.
1组网需求·43.
2配置思路·43.
3配置步骤·53.
4验证结果·74RADIUSSuper认证配置举例84.
1组网需求·84.
2配置思路·84.
3配置步骤·94.
3.
1配置RADIUSserver104.
3.
2配置Device·154.
4验证结果·175(HWTACACS+Local)Super认证配置举例·185.
1组网需求·185.
2配置思路·195.
3配置步骤·205.
3.
1配置HWTACACSserver·205.
3.
2配置Device·255.
4验证结果·276相关资料·28用户级别切换认证配置举例杭州华三通信技术有限公司www.
h3c.
com.
cn第3页,共29页1特性简介用户在不退出当前登录、不断开当前连接的前提下,可以通过执行super命令暂时将自身的用户级别从当前的级别切换到指定的级别.
级别切换后用户不需要重新登录,可以继续配置设备,只是可以执行的命令会不一样.
且切换后的级别是临时的,只对当前登录生效,用户重新登录后,又会恢复到原有级别.
当使用super命令从低级别往高级别切换时,相当于用户请求增加访问权限,因此系统需要对这种级别提升行为进行认证,只有认证通过,才赋予该用户新的访问权限.
我们简称这种用户级别提升切换认证为Super认证.
2应用场合目前,设备上支持两种Super认证方案:本地级别切换认证(本地Super认证)和远程AAA级别切换认证(远程Super认证).
1.
本地Super认证本地Super认证是指,使用一个本地配置的密码对级别切换行为进行认证.
对于要切换到某一个级别的行为,所有用户均使用同一个密码.
如下所示,任何登录到设备上的用户,要切换到3级别时,只需要正确输入一个该设备上预先设置的本地级别切换密码就可以.
super3Password:super3Username:olive@abcPassword:system-view[Device]interfaceethernet1/1[Device-Ethernet1/1]ipaddress192.
168.
1.
1255.
255.
255.
0[Device-Ethernet1/1]quit#开启Telnet服务器功能.
[Device]telnetserverenable#配置Telnet用户登录采用AAA认证方式.
[Device]user-interfacevty04[Device-ui-vty0-4]authentication-modescheme[Device-ui-vty0-4]quit#创建ISP域bbb.
[Device]domainbbb#配置Login用户的认证/授权方案为local.
(可选,ISP域的缺省认证/授权方案为local)[Device-isp-bbb]authenticationloginlocal[Device-isp-bbb]authorizationloginlocal[Device-isp-bbb]quit#创建本地用户test,服务器类型为Telnet,密码为123456.
[Device]local-usertest[Device-luser-test]service-typetelnet[Device-luser-test]passwordsimple123456#指定Telnet用户登录系统后所能访问的命令级别为1级.
[Device-luser-test]authorization-attributelevel1[Device-luser-test]quit用户级别切换认证配置举例杭州华三通信技术有限公司www.
h3c.
com.
cn第6页,共29页#配置Super认证方式为local.
[Device]superauthentication-modelocal#配置可切换到级别3的本地级别切换密码为localpass.
(level参数可选,缺省为3)[Device]superpasswordlevel3simplelocalpass2.
配置文件[Device]displaycurrent-configuration#version5.
20,Release10601#sysnameDevice#superpasswordlevel3cipher$c$3$Zpr1U6u8+yBRZE4Pt8uTBI/VOboEnf2gsvEULg==superauthentication-modelocal#domaindefaultenablesystem#telnetserverenable#domainbbbauthenticationloginlocalauthorizationloginlocalaccess-limitdisablestateactiveidle-cutdisableself-service-urldisabledomainsystemaccess-limitdisablestateactiveidle-cutdisableself-service-urldisable#user-groupsystemgroup-attributeallow-guest#local-usertestpasswordcipher$c$3$UFdz+Q4t+duZFUhihLGBrmY1+RDjasu4Kg==authorization-attributelevel1service-typetelnet#interfaceEthernet1/1portlink-moderouteipaddress192.
168.
1.
1255.
255.
255.
0#interfaceEthernet1/2portlink-moderoute用户级别切换认证配置举例杭州华三通信技术有限公司www.
h3c.
com.
cn第7页,共29页#user-interfacecon0user-interfacetty13user-interfaceauxuser-interfacevty04authentication-modescheme#return3.
4验证结果可通过以下步骤验证上述配置.
(1)Telnet用户建立与Device的连接在Telnet客户端上按照提示输入用户名test@bbb及密码123456,即可进入Device的用户界面,且只能访问级别为1的命令.
C:\>telnet192.
168.
1.
1*Copyright(c)1998-2009HuaweiTech.
Co.
,Ltd.
Allrightsreserved.
**Withouttheowner'spriorwrittenconsent,**nodecompilingorreverse-engineeringshallbeallowed.
*LoginauthenticationUsername:test@bbbPassword:Userviewcommands:clusterRunclustercommanddebuggingEnablesystemdebuggingfunctionsdialerDialerdisconnectdisplayDisplaycurrentsysteminformationpingPingfunctionquitExitfromcurrentcommandviewrefreshDosoftresetresetResetoperationrshEstablishoneRSHconnectionscreen-lengthSpecifythelinesdisplayedononescreensendSendinformationtootheruserterminalinterfacessh2EstablishasecureshellclientconnectionsuperSetthecurrentuserpriorityleveltelnetEstablishoneTELNETconnectionterminalSettheterminallinecharacteristicstracertTraceroutefunction用户级别切换认证配置举例杭州华三通信技术有限公司www.
h3c.
com.
cn第8页,共29页undoCancelcurrentsetting(2)切换用户级别#在当前的用户界面下执行切换用户级别到3级的命令,按照提示输入本地级别切换密码localpass,即可将当前Telnet用户的级别切换到3级.
super3Password:,进入AAAClient的编辑页面.
用户级别切换认证配置举例杭州华三通信技术有限公司www.
h3c.
com.
cn第11页,共29页图4-3添加接入设备#在AAAClient的编辑页面中进行如下配置:输入接入设备名称,接入设备IP地址和交互RADIUS报文的共享密钥;选择认证协议类型为"RADIUS+(IETF)";单击"Submit+Apply"按钮完成操作.
图4-4配置接入设备用户级别切换认证配置举例杭州华三通信技术有限公司www.
h3c.
com.
cn第12页,共29页(3)添加登录用户#在左侧导航栏中选择[UserSetup],打开用户配置界面,在文本框中输入用户名"admin",单击"Add/Edit"后,进入该用户的编辑页面.
图4-5添加登录用户#填写用户的相关辅助信息,配置用户登录密码为"123456".
用户级别切换认证配置举例杭州华三通信技术有限公司www.
h3c.
com.
cn第13页,共29页图4-6配置登录用户信息(4)添加级别切换用户#在左侧导航栏中选择[UserSetup],打开用户配置界面,在文本框中输入用户名"$enab3$",单击"Add/Edit"后,进入该用户的编辑页面.
用户级别切换认证配置举例杭州华三通信技术有限公司www.
h3c.
com.
cn第14页,共29页图4-7添加级别切换用户#输入用户的相关辅助信息,配置用户登录密码为"pass3".
用户级别切换认证配置举例杭州华三通信技术有限公司www.
h3c.
com.
cn第15页,共29页图4-8配置级别切换用户信息4.
3.
2配置Device1.
配置步骤#配置接口Ethernet1/1的IP地址,Telnet用户将通过该地址连接Device.
system-view[Device]interfaceethernet1/1[Device-Ethernet1/1]ipaddress192.
168.
1.
1255.
255.
255.
0[Device-Ethernet1/1]quit#配置接口Ethernet1/2的IP地址,Device将通过该地址与服务器通信.
[Device]interfaceethernet1/2[Device-Ethernet1/2]ipaddress10.
1.
1.
1255.
255.
255.
0[Device-Ethernet1/2]quit#开启Device的Telnet服务器功能.
[Device]telnetserverenable#配置Telnet用户登录采用AAA认证方式.
[Device]user-interfacevty04[Device-ui-vty0-4]authentication-modescheme用户级别切换认证配置举例杭州华三通信技术有限公司www.
h3c.
com.
cn第16页,共29页[Device-ui-vty0-4]quit#创建RADIUS方案rad.
[Device]radiusschemerad#配置主认证服务器的IP地址为10.
1.
1.
2,认证端口号为1812(可选,缺省为1812).
[Device-radius-rad]primaryauthentication10.
1.
1.
21812#配置与认证服务器交互报文时的共享密钥为expert.
[Device-radius-rad]keyauthenticationexpert#配置RADIUS服务器的服务类型为standard.
(可选,缺省为standard)[Device-radius-rad]server-typestandard#配置向RADIUS服务器发送的用户名不携带域名.
[Device-radius-rad]user-name-formatwithout-domain[Device-radius-rad]quit#创建ISP域bbb.
[Device]domainbbb#配置Login用户的RADIUS认证方案为rad.
[Device-isp-bbb]authenticationloginradius-schemerad#配置Login用户的授权方案为none.
[Device-isp-bbb]authorizationloginnone#配置Super认证的RADIUS认证方案为rad.
[Device-isp-bbb]authenticationsuperradius-schemerad[Device-isp-bbb]quit#配置Super认证方式为scheme.
[Device]superauthentication-modescheme2.
配置文件[Device]displaycurrent-configuration#version5.
20,Release10601#sysnameDevice#superauthentication-modescheme#telnetserverenable#radiusschemeradprimaryauthentication10.
1.
1.
2keyauthenticationcipher$c$3$tE9TAUYN8Z6P9EsFLgAdI5/6PeVIdfLzyA==user-name-formatwithout-domain#domainbbbauthenticationloginradius-schemeradauthorizationloginnoneauthenticationsuperradius-schemerad用户级别切换认证配置举例杭州华三通信技术有限公司www.
h3c.
com.
cn第17页,共29页access-limitdisablestateactiveidle-cutdisableself-service-urldisabledomainsystemaccess-limitdisablestateactiveidle-cutdisableself-service-urldisable#user-groupsystemgroup-attributeallow-guest#interfaceEthernet1/1portlink-moderouteipaddress192.
168.
1.
1255.
255.
255.
0#interfaceEthernet1/2portlink-moderouteipaddress10.
1.
1.
1255.
255.
255.
0#user-interfacecon0user-interfacetty13user-interfaceaux0user-interfacevty04authentication-modescheme#return4.
4验证结果可通过以下步骤验证上述配置.
(1)Telnet用户建立与Device的连接在Telnet客户端上按照提示输入用户名admin@bbb及密码123456,即可进入Device的用户界面,且只能访问级别为0的命令.
C:\>telnet192.
168.
1.
1*Copyright(c)1998-2009HuaweiTech.
Co.
,Ltd.
Allrightsreserved.
**Withouttheowner'spriorwrittenconsent,**nodecompilingorreverse-engineeringshallbeallowed.
*Loginauthentication用户级别切换认证配置举例杭州华三通信技术有限公司www.
h3c.
com.
cn第18页,共29页Username:admin@bbbPassword:Userviewcommands:clusterRunclustercommanddisplayDisplaycurrentsysteminformationpingPingfunctionquitExitfromcurrentcommandviewrshEstablishoneRSHconnectionssh2EstablishasecureshellclientconnectionsuperSetthecurrentuserpriorityleveltelnetEstablishoneTELNETconnectiontracertTraceroutefunction(2)切换用户级别#在当前的用户界面下执行切换用户级别到3级的命令,按照提示输入RADIUS级别切换密码pass3,即可将当前Telnet用户的级别切换到3级.
super3Password:,进入AAAClient的编辑页面.
图5-3添加接入设备#在AAAClient的编辑页面中进行如下配置:输入接入设备名称,接入设备IP地址和交互HWTACACS报文的共享密钥;选择认证协议类型为"TACACS+(CiscoIOS)";单击"Submit+Apply"按钮完成操作.
用户级别切换认证配置举例杭州华三通信技术有限公司www.
h3c.
com.
cn第22页,共29页图5-4配置接入设备(3)添加高级选项#在左侧导航栏中选择[InterfaceConfiguration],打开接口配置界面,单击"TACACS+(CiscoIOS)"链接,进入TACACS+的高级属性页面.
图5-5配置用户接口#选中高级配置选项中的"AdvancedTACACS+Features"项,让用户配置界面中隐藏的高级选项显示出来,该高级选项中包含了Enable密码的相关配置.
用户级别切换认证配置举例杭州华三通信技术有限公司www.
h3c.
com.
cn第23页,共29页图5-6添加高级选项(4)添加登录用户#在左侧导航栏中选择[UserSetup],打开用户配置界面,在文本框中输入用户名"admin",单击"Add/Edit"后,进入该用户的编辑页面.
用户级别切换认证配置举例杭州华三通信技术有限公司www.
h3c.
com.
cn第24页,共29页图5-7添加登录用户#输入用户的相关辅助信息,配置用户登录密码为"123456".
图5-8配置登录用户信息(5)配置级别切换密码用户级别切换认证配置举例杭州华三通信技术有限公司www.
h3c.
com.
cn第25页,共29页#继续在用户admin的编辑页面中进行下面的高级TACACS+设置.
选中"MaxPrivilegeforanyAAAClient",在下拉框中选择"Level3".
该配置表示级别切换后,用户可执行的命令的最高级别为3.
选择"Useseparatepassword",输入级别切换密码"pass3".
单击"Submit"按钮完成操作.
图5-9添加级别切换用户5.
3.
2配置Device1.
配置步骤#配置接口Ethernet1/1的IP地址,Telnet用户将通过该地址连接Device.
system-view[Device]interfaceethernet1/1[Device-Ethernet1/1]ipaddress192.
168.
1.
1255.
255.
255.
0[Device-Ethernet1/1]quit#配置接口Ethernet1/2的IP地址,Device将通过该地址与服务器通信.
[Device]interfaceethernet1/2用户级别切换认证配置举例杭州华三通信技术有限公司www.
h3c.
com.
cn第26页,共29页[Device-Ethernet1/2]ipaddress10.
1.
1.
1255.
255.
255.
0[Device-Ethernet1/2]quit#开启Device的Telnet服务器功能.
[Device]telnetserverenable#配置Telnet用户登录采用AAA认证方式.
[Device]user-interfacevty04[Device-ui-vty0-4]authentication-modescheme[Device-ui-vty0-4]quit#创建HWTACACS方案hwtac.
[Device]hwtacacsschemehwtac#配置主认证服务器的IP地址为10.
1.
1.
2,认证端口号为49(可选,缺省为49).
[Device-hwtacacs-hwtac]primaryauthentication10.
1.
1.
249#配置与认证服务器交互报文时的共享密钥为expert.
[Device-hwtacacs-hwtac]keyauthenticationexpert#配置向HWTACACS服务器发送的用户名不携带域名.
[Device-hwtacacs-hwtac]user-name-formatwithout-domain[Device-hwtacacs-hwtac]quit#创建ISP域bbb.
[Device]domainbbb#配置Login用户的HWTACACS认证方案为hwtac.
[Device-isp-bbb]authenticationloginhwtacacs-schemehwtac#配置Login用户的授权方案为none.
[Device-isp-bbb]authorizationloginnone#配置Super认证的HWTACACS认证方案为rad.
[Device-isp-bbb]authenticationsuperhwtacacs-schemehwtac[Device-isp-bbb]quit#配置Super认证方式为schemelocal.
[Device]superauthentication-modeschemelocal#配置可切换到级别3的本地级别切换密码为localpass.
(level参数可选,缺省为3)[Device]superpasswordlevel3simplelocalpass2.
配置文件[Device]displaycurrent-configuration#version5.
20,Release10601#sysnameDevice#superpasswordlevel3cipher$c$3$Q+PilXDdUD/j2rRBANnbYr5ZBcGOXoLQDyxd8g==superauthentication-modeschemelocal#telnetserverenable#用户级别切换认证配置举例杭州华三通信技术有限公司www.
h3c.
com.
cn第27页,共29页hwtacacsschemehwtacprimaryauthentication192.
168.
1.
15keyauthenticationcipher$c$3$rPzPN0MlHR7EExRhS5QxKYDmfpCGNdnqkg==user-name-formatwithout-domain#domainbbbauthenticationloginhwtacacs-schemehwtacauthorizationloginnoneauthenticationsuperhwtacacs-schemehwtacaccess-limitdisablestateactiveidle-cutdisableself-service-urldisabledomainsystemaccess-limitdisablestateactiveidle-cutdisableself-service-urldisable#user-groupsystemgroup-attributeallow-guest#interfaceEthernet1/1portlink-moderouteipaddress192.
168.
1.
1255.
255.
255.
0#interfaceEthernet1/2portlink-moderouteipaddress10.
1.
1.
1255.
255.
255.
0#user-interfacecon0user-interfacetty13user-interfaceaux0user-interfacevty04authentication-modescheme#return5.
4验证结果可通过以下步骤验证上述配置.
(1)Telnet用户建立与Device的连接在Telnet客户端上按照提示输入用户名admin@bbb及密码123456,即可进入Device的用户界面,且只能访问级别为0的命令.
C:\>telnet192.
168.
1.
1用户级别切换认证配置举例杭州华三通信技术有限公司www.
h3c.
com.
cn第28页,共29页*Copyright(c)1998-2009HuaweiTech.
Co.
,Ltd.
Allrightsreserved.
**Withouttheowner'spriorwrittenconsent,**nodecompilingorreverse-engineeringshallbeallowed.
*LoginauthenticationUsername:admin@bbbPassword:Userviewcommands:clusterRunclustercommanddisplayDisplaycurrentsysteminformationpingPingfunctionquitExitfromcurrentcommandviewrshEstablishoneRSHconnectionssh2EstablishasecureshellclientconnectionsuperSetthecurrentuserpriorityleveltelnetEstablishoneTELNETconnectiontracertTraceroutefunction(2)切换用户级别#在当前的用户界面下执行切换用户级别到3级的命令,按照提示输入HWTACACS级别切换密码pass3,即可将当前Telnet用户的级别切换到3级.
super3Password:super3Password:Error:Invalidconfigurationornoresponsefromtheauthenticationserver.
Info:Changeauthenticationmodetolocal.
Password:<——此处需输入本地级别切换密码:localpassUserprivilegelevelis3,andonlythosecommandscanbeusedwhoselevelisequalorlessthanthis.
Privilegenote:0-VISIT,1-MONITOR,2-SYSTEM,3-MANAGE6相关资料用户级别切换认证技术白皮书用户级别切换认证配置举例杭州华三通信技术有限公司www.
h3c.
com.
cn第29页,共29页Copyright2013杭州华三通信技术有限公司版权所有,保留一切权利.
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播.
本文档中的信息可能变动,恕不另行通知.
- 配置login是什么意思相关文档
- Administratorlogin是什么意思
- 如下图login是什么意思
- waterlogin是什么意思
- 账户login是什么意思
- www.cab.zju.edu.cn/cab/xueyuanxiashubumen/nx/bioinplant.htm
- linklogin是什么意思
CloudCone闪购优惠洛杉矶MC机房VPS月$1.99 便宜可随意删除重开
CloudCone商家我们很多喜欢低价便宜VPS主机的肯定是熟悉的,个人不是特别喜欢他。因为我之前测试过几次,开通的机器IP都是不通的,需要删除且开通好几次才能得到一个可用的IP地址。当然他们家的优势也是有的,就是价格确实便宜,而且还支持删除重新开通,而且机房只有一个洛杉矶MC。实话,如果他们家能多几个机房,保持现在的特点,还是有很多市场的。CloudCone是来自美国的主机销售商,成立于2017...
妮妮云(43元/月 ) 香港 8核8G 43元/月 美国 8核8G
妮妮云的来历妮妮云是 789 陈总 张总 三方共同投资建立的网站 本着“良心 便宜 稳定”的初衷 为小白用户避免被坑妮妮云的市场定位妮妮云主要代理市场稳定速度的云服务器产品,避免新手购买云服务器的时候众多商家不知道如何选择,妮妮云就帮你选择好了产品,无需承担购买风险,不用担心出现被跑路 被诈骗的情况。妮妮云的售后保证妮妮云退款 通过于合作商的友好协商,云服务器提供2天内全额退款,超过2天不退款 物...
无忧云:洛阳/大连BGP云服务器38.4元/月,雅安物理机服务器315元/月起,香港荃湾CN2限时5折优惠
无忧云怎么样?无忧云是一家成立于2017年的老牌商家旗下的服务器销售品牌,现由深圳市云上无忧网络科技有限公司运营,是正规持证IDC/ISP/IRCS商家,主要销售国内、中国香港、国外服务器产品,线路有腾讯云国外线路、自营香港CN2线路等,都是中国大陆直连线路,非常适合免备案建站业务需求和各种负载较高的项目,同时国内服务器也有多个BGP以及高防节点,目前商家开启了夏日清凉补贴活动,商家的机器还是非常...
login是什么意思为你推荐
-
firetrap牛仔裤的四大品牌是那几个啊?百度关键词价格查询如何查到推广关键词的价钱?陈嘉垣陈嘉桓是谁?rawtools佳能单反照相机的RAW、5.0M 是什么意思?丑福晋大福晋比正福晋大么百花百游百花净斑方效果怎么样?钟神发跪求钟神发名言出处,A站大神看过来同ip域名两个网站同一个IP怎么绑定两个域名125xx.comwww.free.com 是官方网站吗?www.15job.com南方人才市场有官方网站是什么?