交换机对接IMC EIA组件:使用radius账户登录
组网拓扑:
需求描述:用户使用telnet协议登录交换机时,不使用交换机本地账户登录,使用IMC服务器侧配置的用户名登录设备(IMC失效后可使用本地账号登录),实现设备管理用户的统一管理。
本案例使用IMC EIA组件实现,EIA组件基于Radius UDP协议,仅能校验用户合法性,无法完成深层次授权,如:命令限制,登录时间限制等,如需实现更深层次控制,请使用TAM组件,配置教程见:http://www.kurodown.com/index.php/2021/04/26/27cc160e32097e32d974ef77de5efd28/
IMC侧配置:
1、 保证交换机设备可以和IMC通讯,将要接入的交换机设备添加至IMC
点击:若点击选择,则可直接加入已被IMC纳管的设备,若选择手工添加,则需要手动填写交换机信息
这里选择手工增加:输入交换机地址,其他为可选
配置该设备的radius参数,主要包括共享密钥(两端必须相同),认证/计费端口默认即可
2、 添加管理用户组
创建分组guest,该分组下用户只有查看权限“
创建用户guest,并加入guest组:
创建guest用户:
选择接入设备:
按照上述方式创建level-15权限管理员账号:
注意:账号权限规则:IMC内的设备管理用户,若没有绑定用户分组,则以该账号下配置为主,若以绑定用户分组,但该账号及用户分组下公共配置不一致,则以账号下配置为主,若要使用用户分组下配置,则删除账号下的公共配置
如,建立账号admin但是没有指定telnet服务也没有加入admin组则登录失败闪退,但是IMC侧可以认证成功。
服务是必须的,要么在单用户下指定,要么将用户加入组,在组内指定
IMC侧配置完毕
交换机侧配置:
1、 配置互通IMC的端口:
[H3C]int GigabitEthernet 1/0/1
[H3C-GigabitEthernet1/0/1]port link-mode route
[H3C-GigabitEthernet1/0/1]ip add 172.16.100.10 24
[H3C]ip route-static 0.0.0.0 0.0.0.0 172.16.100.1
2、 配置本地账号,开启telnet
[H3C]line vty 0 4
[H3C-line-vty0-4]authentication-mode scheme
[H3C]local-user admin
New local user added.
[H3C-luser-manage-admin]password simple 123456
[H3C-luser-manage-admin]service-type telnet
[H3C-luser-manage-admin]authorization-attribute user-role level-1
[H3C]telnet server enable
3、配置radius:
[H3C]radius scheme imc
New RADIUS scheme.
[H3C-radius-imc]primary authentication 192.168.100.100 key simple 123456 1812
[H3C-radius-imc]primary accounting 192.168.100.100 key simple 123456 1813
[H3C-radius-imc]user-name-format without-domain 配置为直接发送用户名不带域名格式
keep-original User name unchanged
with-domain User name like XXX@XXX
without-domain User name like XXX
[H3C-radius-imc]nas-ip 172.16.100.10 本交换机和IMC服务器通讯的地址
配置login接入时,因为在IMC上不需要配置接入服务,所以不需要配置服务后缀,交换机上选择without-domain方式,其他的认证方式需要配置接入服务服务后缀,所以需要配置with-domain方式(向IMC发送用户名时不携带域名)
4、配置domain:
[H3C]domain name imc-radius
[H3C-isp-imc-radius]authentication login radius-scheme imc local 指定认证使用radius(imc)认证,若imc失败使用本地认证
[H3C-isp-imc-radius]accounting login radius-scheme imc local
[H3C-isp-imc-radius]authorization login radius-scheme imc local
验证:
1、 使用本地用户登录
用户权限为level-1无法修改配置
2、 使用radius账号admin登录
登录后为管理员权限
3、使用admin@imc-radius登录