0
点赞
收藏
分享

微信扫一扫

交换机对接IMC EIA组件:设备管理认证用户(radius)

RJ_Hwang 2023-02-21 阅读 89

交换机对接IMC EIA组件:使用radius账户登录

组网拓扑:

交换机对接IMC EIA组件:设备管理认证用户(radius)_User

需求描述:用户使用telnet协议登录交换机时,不使用交换机本地账户登录,使用IMC服务器侧配置的用户名登录设备(IMC失效后可使用本地账号登录),实现设备管理用户的统一管理。

本案例使用IMC EIA组件实现,EIA组件基于Radius UDP协议,仅能校验用户合法性,无法完成深层次授权,如:命令限制,登录时间限制等,如需实现更深层次控制,请使用TAM组件,配置教程见:http://www.kurodown.com/index.php/2021/04/26/27cc160e32097e32d974ef77de5efd28/


IMC侧配置:

1、 保证交换机设备可以和IMC通讯,将要接入的交换机设备添加至IMC

交换机对接IMC EIA组件:设备管理认证用户(radius)_User_02

交换机对接IMC EIA组件:设备管理认证用户(radius)_用户名_03

点击:若点击选择,则可直接加入已被IMC纳管的设备,若选择手工添加,则需要手动填写交换机信息

交换机对接IMC EIA组件:设备管理认证用户(radius)_User_04

这里选择手工增加:输入交换机地址,其他为可选

交换机对接IMC EIA组件:设备管理认证用户(radius)_服务器_05

配置该设备的radius参数,主要包括共享密钥(两端必须相同),认证/计费端口默认即可

交换机对接IMC EIA组件:设备管理认证用户(radius)_服务器_06

2、 添加管理用户组

交换机对接IMC EIA组件:设备管理认证用户(radius)_用户名_07

创建分组guest,该分组下用户只有查看权限“

交换机对接IMC EIA组件:设备管理认证用户(radius)_EIA_08

创建用户guest,并加入guest组:

交换机对接IMC EIA组件:设备管理认证用户(radius)_User_09

创建guest用户:

交换机对接IMC EIA组件:设备管理认证用户(radius)_User_10

选择接入设备:

交换机对接IMC EIA组件:设备管理认证用户(radius)_EIA_11

交换机对接IMC EIA组件:设备管理认证用户(radius)_用户名_12

按照上述方式创建level-15权限管理员账号:

交换机对接IMC EIA组件:设备管理认证用户(radius)_服务器_13

交换机对接IMC EIA组件:设备管理认证用户(radius)_用户名_14

注意:账号权限规则:IMC内的设备管理用户,若没有绑定用户分组,则以该账号下配置为主,若以绑定用户分组,但该账号及用户分组下公共配置不一致,则以账号下配置为主,若要使用用户分组下配置,则删除账号下的公共配置

如,建立账号admin但是没有指定telnet服务也没有加入admin组则登录失败闪退,但是IMC侧可以认证成功。

服务是必须的,要么在单用户下指定,要么将用户加入组,在组内指定

IMC侧配置完毕

交换机侧配置:

1、 配置互通IMC的端口:

[H3C]int GigabitEthernet 1/0/1

[H3C-GigabitEthernet1/0/1]port link-mode route

[H3C-GigabitEthernet1/0/1]ip add 172.16.100.10 24

[H3C]ip route-static 0.0.0.0 0.0.0.0 172.16.100.1

2、 配置本地账号,开启telnet

[H3C]line vty 0 4

[H3C-line-vty0-4]authentication-mode scheme

[H3C]local-user admin

New local user added.

[H3C-luser-manage-admin]password simple 123456

[H3C-luser-manage-admin]service-type telnet

[H3C-luser-manage-admin]authorization-attribute user-role level-1

[H3C]telnet server enable

3、配置radius:

[H3C]radius scheme imc

New RADIUS scheme.

[H3C-radius-imc]primary authentication 192.168.100.100 key simple 123456 1812

[H3C-radius-imc]primary accounting 192.168.100.100 key simple 123456 1813

[H3C-radius-imc]user-name-format without-domain

keep-original User name unchanged

with-domain User name like XXX@XXX

without-domain User name like XXX

[H3C-radius-imc]nas-ip 172.16.100.10 IMC

配置login接入时,因为在IMC上不需要配置接入服务,所以不需要配置服务后缀,交换机上选择without-domain方式,其他的认证方式需要配置接入服务服务后缀,所以需要配置with-domain方式(向IMC发送用户名时不携带域名)

4、配置domain:

[H3C]domain name imc-radius

[H3C-isp-imc-radius]authentication login radius-scheme imc local 使radiusimcimc使

[H3C-isp-imc-radius]accounting login radius-scheme imc local

[H3C-isp-imc-radius]authorization login radius-scheme imc local

验证:

1、 使用本地用户登录

交换机对接IMC EIA组件:设备管理认证用户(radius)_服务器_15

用户权限为level-1无法修改配置

2、 使用radius账号admin登录

交换机对接IMC EIA组件:设备管理认证用户(radius)_User_16

登录后为管理员权限

3、使用admin@imc-radius登录

交换机对接IMC EIA组件:设备管理认证用户(radius)_用户名_17

举报

相关推荐

0 条评论