如何在ACS中导入H3C私有Radius属性.docx
- 文档编号:6502220
- 上传时间:2023-01-07
- 格式:DOCX
- 页数:22
- 大小:459.11KB
如何在ACS中导入H3C私有Radius属性.docx
《如何在ACS中导入H3C私有Radius属性.docx》由会员分享,可在线阅读,更多相关《如何在ACS中导入H3C私有Radius属性.docx(22页珍藏版)》请在冰豆网上搜索。
如何在ACS中导入H3C私有Radius属性
如何在ACS中导入H3C私有Radius属性
实际项目中经常遇到我司设备telnet管理用户到ACSRadiusServer认证的情况,并由ACS给telnet用户下发权限,为了使对应用户获得相应权限,需要导入H3C的用户级别的私有Radius属性到ACS中,以保证用户权限正常下发。
本文档以ACS4.0为例。
1. 编写h3c.ini文件(绿色部分即为文件内容)
[UserDefinedVendor]
Name=Huawei
IETFCode=2011
VSA29=hw_Exec_Privilege
[hw_Exec_Privilege]
Type=INTEGER
ProOUT
Enums=hw_Exec_Privilege-Values
[hw_Exec_Privilege-Values]
0=Access
1=Monitor
2=Manager
3=Administrator
[Encryption-Type]
1=1
2=2
3=3
[ectory]
Type=STRING
Pro
此文件主要用于定义私有属性的值
2. 将上面定义的文件导入到ACS中
ACS提供了命令接口来导入私有属性,此步骤主要将h3c.ini通过命令导入到ACS中去。
导入过程如下:
(1)点击ACSServer的windows开始菜单,在运行中输入cmd,打开一个命令行窗口。
(2)进入ACS的bin目录,在默认安装的情况下,该目录为
c:
\ProgramFiles\CiscoSecureACSv4.0\bin
(3)执行导入命令:
选择y,继续
3. 查看是否导入成功
导入完毕,可以通过命令来查看:
可以看到UDV0已经添加了RADIUS(Huawei)私有属性
另外可以进入ACS页面来查看:
(1) 进入InterfaceConfiguration可以看到如下:
(2) 点击进入看到如下内容:
(3) 进入GroupSetup,选择要编辑的Group,然后在JumpTo中选择“Radius(Huawei)”,可以看到添加的属性值
4. 如果不慎在导入过程中出现错误时,可以在命令行界面删除添加属性,以便重新添加
如上图,删除了添加的UDV0属性。
H3CS3600与ACS配合做tacacs认证的典型配置
来源:
作者:
发布时间:
2008-05-30 阅读次数
亚威岁末大优惠——所有Cisco培训课程7折
一、 组网需求:
需要对登录交换机的telnet管理用户经过ACS的tacacs认证以确认其合法性。
ACSServer和交换机之间只要路由通即可,无特殊要求。
二、 组网图:
三、 配置步骤:
1.ACS侧配置
(1) 进入主界面
(2) 创建AAAClients
点击NetworkConfiguration
点击“AddEntry”
输入“AAAClientHostname”,添加“AAAClientIPAddress”,设置“Key”,在“AuthenticateUsing”列表中选择认证使用的协议为“TACACS+(CiscoIOS)”,点击“Submit+Restart”创建完毕,以后可以根据需要在“AAAClientIPAddress”中添加IP,无需再次创建。
此处的AAAClientIPAddress即为我们平常所说的NASIP。
列表中可以看到新建的客户端的相关信息
(3) 配置Group
点击“GroupSetup”
从Group列表中选择要编辑的group1,点击“EditSettings”
在“JumpTo”列表中选择“TACACS+”即可直接跳到TACACS+属性的设置界面
勾选Shell(exec)和Privilegelevel并在Privilegelevel中填入允许用户拥有的权限,可填范围为0-15(其中3-15对应我司设备的level3权限)。
然后点击Submit+Restart来提交生效。
(4) 创建用户
点击“UserSetup”
输入要创建的用户名“h3c”,点击“Add/Edit”,进入编辑画面,
填写RealName和Description以及密码信息
选择用户所属的组Group1,点击Submit
2.设备侧配置
(1) 配置hwtacacs
[H3C]hwtacacsschemeacs
[H3C-hwtacacs-acs]primaryauthentication1.1.1.4
[H3C-hwtacacs-acs]primaryauthorization1.1.1.4
[H3C-hwtacacs-acs]primaryaccounting1.1.1.4
[H3C-hwtacacs-acs]keyauthenticationh3c
[H3C-hwtacacs-acs]keyauthorizationh3c
[H3C-hwtacacs-acs]keyaccountingh3c
[H3C-hwtacacs-acs]user-name-formatwithout-domain
(2) 配置domain
[H3C]domainacs
[H3C-isp-acs]schemehwtacacs-schemeacs
(3) 配置默认domain
[H3C]domaindefaultenableacs
(4) 配置user-interface
[H3C] user-interfacevty04
[H3C-ui-vty0-4] authentication-modescheme
[H3C-ui-vty0-4] accountingcommandsscheme
四、 配置关键点:
(1) ACS上AAAClientIP配置的是设备的NASIP
(2) AAAClient配置的key值需要与设备上hwtacacs配置的key保持一致
(3) 用户名是否携带域名可以按照需要配置,但要注意的就是携带域名的时候,ACS上配置的用户名也得携带域名.
CiscoACS+AAA配置
2010-04-1323:
07出处:
中国IT实验室作者:
阿飞【我要评论】
[导读] 最近在搭建公司的ACS,总结了一些经验写在这里。
附件1是网上流传比较多的一份ACS、aaa以及包括PIX的配置说明,很详细,熟悉aaa的朋友可以直接看看附件1。
附件2是cisco对aaa的官方说明,供参考。
以下介绍ACS+aaa架构下aaa的配置模板。
最近在搭建公司的ACS,总结了一些经验写在这里。
附件1是网上流传比较多的一份ACS、aaa以及包括PIX的配置说明,很详细,熟悉aaa的朋友可以直接看看附件1。
附件2是cisco对aaa的官方说明,供参考。
以下介绍ACS+aaa架构下aaa的配置模板。
aaa的配置可以大致分以下几个部分:
1.配置ACS(tacacs或radius)服务器
tacacs-serverhostx.x.x.x
tacacs-serverhostx.x.x.x
tacacs-serverkey*****
2.配置设备local后门用户
usernametestuserpassword*****
之所以配置后门用户,是考虑到在ACS异常的时候仍能telnet到设备。
3.启用aaa
aaanew-model
4.认证并应用到线路
aaaauthenticationloginlogin-listgrouptacacs+local
linevty015
loginauthenticationlogin-list
这里的login-list定义了访问控制的列表,即首先使用tacacs+认证,如果认证失败则使用local后门用户认证。
后面的将认证应用到vty、配置accounting均调用这个login-list。
5.授权
aaaauthorizationexecdefaultlocalif-authenticated
授权的配置不同的需求差异会很大,我个人不建议太复杂的授权,详细解释看看附件吧。
6.记账
aaaaccountingexeclogin-liststart-stopgrouptacacs+
aaaaccountingcommands1login-liststart-stopgrouptacacs+
aaaaccountingcommands15login-liststart-stopgrouptacacs+
aaaaccountingnetworklogin-liststart-stopgrouptacacs+
ACS+aaa的模式可以很好的管理网络设备的访问控制,只可惜ACS不是免费的软件,不过也自己搭建Tacacs服务器。
用ACSSERVER认证的PPPOE的实例
日期:
2004-10-13 浏览次数:
4134
出处:
摘自互联网
网络设计的目的:
是路由器下的用户用PPPOE客户端从AAASERVER10.72.254.125/10.72.253.7进行认证上网.
以下是路由器的配置
!
version12.2
servicetimestampsdebuguptime
servicetimestampsloguptime
ersion12.2
servicetimestampsdebuguptime
servicetimestampsloguptime>noservicepassword-encryption
!
hostnamexxxxxxx
!
aaanew-model
!
!
aaagroupserverradiuspppoe
server10.72.254.125auth-port1645acct-port1646
server10.72.253.7auth-port1645acct-port1646
!
aaaauthenticationpppdefaultgrouppppoe
aaaauthorizationnetworkdefaultgrouppppoe
aaaaccountingnetworkdefaultstart-stopgrouppppoe
aaasession-idcommon
enablesecret5$1$nXz9$VFWaAXNkq/JfBUj4hn.Kx/
!
usernamexxxpassword0xxxxxx
ipsubnet-zero
!
!
ipdomain-namexxxxxx
ipname-serverxxx.xxx.xxx
!
ipauditnotifylog
ipauditpomax-events100
ipsshtime-out120
ipsshauthentication-retries3
vpdnenable
!
vpdn-groupPPPOE
accept-dialin
protocolpppoe
virtual-template10
pppoelimitmax-sessions500
!
vpdn-grouppppoe
!
pppoe-forwarding
async-bootpdns-serverxxx.xxx.xxx.xxx
!
cryptomibipsecflowmibhistorytunnelsize200
cryptomibipsecflowmibhistoryfailuresize200
!
!
!
!
!
!
!
!
!
!
!
interfaceLoopback0
ipaddress10.75.255.240255.255.255.255
!
interfaceGigabitEthernet0/0
noipaddress
duplexfull
speed100
media-typerj45
pppoeenable
!
interfaceGigabitEthernet0/0.2
encapsulationdot1Q2
pppoeenable
!
interfaceGigabitEthernet0/0.3
encapsulationdot1Q3
pppoeenable
!
interfaceGigabitEthernet0/0.507
descriptionjxtvnet-fengyuan-office
encapsulationdot1Q507
pppoeenable
!
interfaceGigabitEthernet0/0.699
descriptionpppoe-access-vlans
encapsulationdot1Q699
pppoeenable
!
interfaceGigabitEthernet0/0.701
descriptionDepartmentDATAoffice-yangxiaodong
encapsulationdot1Q701
pppoeenable
!
interfaceGigabitEthernet0/0.802
descriptionJing-mao-wei
encapsulationdot1Q802
ipaddress10.72.243.1255.255.255.248
pppoeenable
!
interfaceGigabitEthernet0/0.805
descriptionGuo-tu-ting
encapsulationdot1Q805
ipaddress10.72.242.1255.255.255.248
pppoeenable
!
interfaceGigabitEthernet0/0.806
descriptionShang-jian-ju
encapsulationdot1Q806
ipaddress172.19.1.1255.255.255.248
pppoeenable
!
interfaceGigabitEthernet0/0.807
descriptionFang-zhi-ji-tuan
encapsulationdot1Q807
ipaddress172.19.5.1255.255.255.248
pppoeenable
!
interfaceGigabitEthernet0/0.808
descriptionWen-jiao-lu-xiao-qu
encapsulationdot1Q808
pppoeenable
!
interfaceGigabitEthernet0/0.810
descriptionYi-zhi
encapsulationdot1Q810
ipaddress172.19.7.1255.255.255.248
pppoeenable
!
interfaceGigabitEthernet0/0.811
descriptionzhong-zi-guan-li-zhan
encapsulationdot1Q811
pppoeenable
!
interfaceGigabitEthernet0/0.814
descriptionYen-yei-gong-shi
encapsulationdot1Q814
pppoeenable
!
interfaceGigabitEthernet0/0.815
descriptionXin-hua-shu-dian
encapsulationdot1Q815
pppoeenable
!
interfaceGigabitEthernet0/1
ipaddress10.72.207.245255.255.255.252
duplexfull
speed100
media-typerj45
!
interfaceVirtual-Template10
mtu1492
ipunnumberedGigabitEthernet0/1
nopeerdefaultipaddress
pppauthenticationchap
!
ipclassless
iproute0.0.0.00.0.0.010.72.207.246
noiphttpserver
ippimbidir-enable
!
!
snmp-servercommunityxxxxxRO
snmp-servercommunityxxxxxRW
!
!
radius-serverhost10.72.254.125auth-port1645acct-port1646keycisco
radius-serverhost10.72.253.7auth-port1645acct-port1646keycisco
radius-serverretransmit3
callrsvp-sync
!
!
mgcppro
!
dial-peercorcustom
!
!
!
!
gatekeeper
shutdown
!
!
linecon0
loginauthenticationno_tacacs
lineaux0
linevty04
passwordxxxxx
!
!
end
[page]
注:
在配置中有以下特点:
1、做了两台AAA SERVER服务器,用户如果从主的服务器上不法认证,就会到时从的服务器上进行认证。
相关内容:
aaagroupserverradiuspppoe
server10.72.254.125auth-port1645acct-port1646
server10.72.253.7auth-port1645acct-port1646
!
aaaauthenticationpppdefaultgrouppppoe
aaaauthorizationnetworkdefaultgrouppppoe
aaaaccountingnetworkdefaultstart-stopgrouppppoe
radius-serverhost10.72.254.125auth-port1645acct-port1646keycisco
radius-serverhost10.72.253.7auth-port1645acct-port1646keycisco
做法是:
建了RADIUS组PPPOE,然后配置了两台AAA SERVER服务器。
AAA用户的认证在ACSSERVER进行了限速;
AAA用户的地址池也是在AAASERVER上进行设置的.
其它参考CISCO网站.
Cisco拨号配置
hostnamerouter
!
aaanew-model
aaaauthenticationlogindefaulttacacs+
aaaauthenticationloginno_tacacsenable
aaaauthenticationpppdefaulttacacs+
aaaauthorizationexectacacs+
aaaauthorizationnetworktacacs+
aaaaccountingexecstart-stoptacacs+
aaaaccountingnetworkstart-stoptacacs+
enablesecret5$1$kN4g$CvS4d2.rJzWntCnn/0hvE0
!
interfaceEthernet0
ipaddress10.111.4.20255.255.255.0
!
interfaceSerial0
noipaddress
shutdown
interfaceSerial1
noipaddress
shutdown
!
interfaceGroup-Async1
ipunnumberedEthernet0
encapsulationppp
asyncmodeinteractive
peerdefaultipaddresspoolCisco2511-Group-142
nocdpenable
group-range116
!
iplocalpoolCisco2511-Group-14210.111.4.2110.111.4.3
tacacs-serverhost10.111.4.2
tacacs-serverkeytac
!
linecon0
exec-timeout00
passwordcisco
loginauthenticationno_tacacs
line116
loginauthenticationtacacs
modemInOut
modemautoconfiguretypeusr_courier
autocommandppp
transportinputall
stopbits1
rxspeed115200
txspeed115200
flowcontrolhardware
lineaux0
transportinputall
linevty04
passwordcisco
!
end
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 如何 ACS 导入 H3C 私有 Radius 属性