ssh結合raduis認證

1.18.3  SSH用戶的RADIUS認證和授權配置

1. 組網需求

配置Switch實現使用RADIUS服務器對登錄Switch的SSH用戶進行認證和授權。

·     由一台iMC服務器擔當認證/授權RADIUS服務器的職責，服務器IP地址為10.1.1.1/24。

·     Switch與RADIUS服務器交互報文時使用的共享密鑰為expert，向RADIUS服務器發送的用戶名帶域名。服務器根據用戶名攜帶的域名來區分提供給用戶的服務。

·     SSH用戶登錄Switch時使用RADIUS服務器上配置的用戶名hello@bbb以及密碼進行認證，認證通過後具有缺省的用戶角色network-operator。

2. 組網圖

圖1-14 SSH用戶RADIUS認證/授權配置組網圖

3. 配置RADIUS服務器

(1)     增加接入設備

登錄進入iMC管理平台，選擇“業務”頁簽，單擊導航樹中的[接入業務/接入設備管理/接入設備配置]菜單項，進入接入設備配置頁麵，在該頁麵中單擊“增加”按鈕，進入增加接入設備頁麵。

a.     設置與Switch交互報文時使用的認證、計費共享密鑰為“expert”；

b.     設置認證及計費的端口號分別為“1812”和“1813”；

c.     選擇業務類型為“設備管理業務”；

d.     選擇接入設備類型為“H3C”；

e.     選擇或手工增加接入設備，添加IP地址為10.1.1.2的接入設備；

f.     其它參數采用缺省值，並單擊<確定>按鈕完成操作。

圖1-15 增加接入設備

(2)     增加設備管理用戶

選擇“用戶”頁簽，單擊導航樹中的[接入用戶視圖/設備管理用戶]菜單項，進入設備管理用戶列表頁麵，在該頁麵中單擊<增加>按鈕，進入增加設備管理用戶頁麵。

a.     輸入用戶名“hello@bbb”和密碼；

b.     選擇服務類型為“SSH”；

c.     添加所管理設備的IP地址，IP地址範圍為“10.1.1.0～10.1.1.255”；

d.     單擊<確定>按鈕完成操作。

圖1-16 增加設備管理用戶

4. 配置Switch

# 配置各接口的IP地址，具體配置步驟略。

# 生成RSA及DSA密鑰對。

<Switch> system-view

[Switch] public-key local create rsa

[Switch] public-key local create dsa

# 使能SSH服務器功能。

[Switch] ssh server enable

# 設置SSH用戶登錄用戶線的認證方式為AAA認證。

[Switch] line vty 0 63

[Switch-line-vty0-63] authentication-mode scheme

[Switch-line-vty0-63] quit

# 使能缺省用戶角色授權功能，使得認證通過後的SSH用戶具有缺省的用戶角色network-operator。

[Switch] role default-role enable

# 創建RADIUS方案rad。

[Switch] radius scheme rad

# 配置主認證服務器的IP地址為10.1.1.1，認證端口號為1812。

[Switch-radius-rad] primary authentication 10.1.1.1 1812

# 配置與認證服務器交互報文時的共享密鑰為明文expert。

[Switch-radius-rad] key authentication simple expert

# 配置向RADIUS服務器發送的用戶名要攜帶域名。

[Switch-radius-rad] user-name-format with-domain

[Switch-radius-rad] quit

# 創建ISP域bbb，為login用戶配置AAA認證方法為RADIUS認證/授權、不計費。

[Switch] domain bbb

[Switch-isp-bbb] authentication login radius-scheme rad

[Switch-isp-bbb] authorization login radius-scheme rad

[Switch-isp-bbb] accounting login none

[Switch-isp-bbb] quit

5. 驗證配置

用戶向Switch發起SSH連接，按照提示輸入用戶名hello@bbb及正確的密碼後，可成功登錄Switch，並具有用戶角色network-operator所擁有的命令行執行權限。