AAA验证和ciscorescue v4.2 验证服务器的搭建(telnet方式和级别的设置)
2012-03-12 23:31
525 查看
AAA验证服务器的工作原理:
AAA是Authentication,Authorization and Accounting(认证、授权和计费)的简
称,它提供了一个对认证、授权和计费这三种安全功能进行配置的一致性框架,实
际上是对网络安全的一种管理。工作模式:c/s的工作模式。
一:认证功能
方式
1:不进行认证,通常不这样使用。
2:本地认证,直接在本地设备上进行认证。优点:速度较快。缺点:受到设备硬件的影响,不能够进行集中的管理
3:远端认证.支持radius协议和hwtacacs协议的远端验证,客户端可以是quidway系列的交换机。
二:授权功能
1:直接授权
2:本地授权
3:radius授权
4:hwtacacs授权
三:计费功能
1:不计费
2:远端计费
RADIUS 客户端(交换机)和RADIUS 服务器之间通过共享密钥来认证交互的消息,
增强了安全性。RADIUS 协议合并了认证和授权过程,即响应报文中携带了授权信
息。用户、交换机、RADIUS 服务器之间的交互流程如图所示。
基本交互步骤如下:
(1) 用户输入用户名和口令。
(2) RADIUS 客户端根据获取的用户名和口令,向RADIUS 服务器发送认证请求
包(Access-Request)。
(3) RADIUS 服务器将该用户信息与Users 数据库信息进行对比分析,如果认证成
功,则将用户的权限信息以认证响应包(Access-Accept)发送给 RADIUS 客
户端;如果认证失败,则返回Access-Reject响应包。
(4) RADIUS 客户端根据接收到的认证结果接入/ 拒绝用户。如果可以接入用户,
则RADIUS 客户端向RADIUS 服务器发送计费开始请求包
(Accounting-Request ),Status-Type取值为start 。
(5) RADIUS 服务器返回计费开始响应包(Accounting-Response )。
(6) 用户开始访问资源。
(7) RADIUS 客户端向 RADIUS 服务器发送计费停止请求包
(Accounting-Request ),Status-Type取值为stop 。
(8) RADIUS 服务器返回计费结束响应包(Accounting-Response )。
(9) 用户访问资源结束。
案例一:
使用cisco -ACS-4.20.124 版本 和 jre-6u26-windows-i586的搭建acs的思科认证授权服务器,来实现对华为的交换机进行认证,主要介绍telnet方式登录华为的交换机,此时acs可以看做是一台radius服务器,但是需要制作一个定制的文件h3c.ini,并将其导入到acs服务器上,使其支持对华为交换机的验证,并且赋予telnet用户的权限为管理员。目前的版本只支持telnet的方式登录。
示意图:
一:安装jre-6u26-windows-i586,一路到底即可。
二:安装ciscosecure -ACS-4.20.124
三:导入h3c。ini文件导入ciscosecure -ACS-4.20.124 服务器
1. 编写h3c.ini文件(绿色部分即为文件内容)
[User Defined Vendor]
Name=Huawei
IETF Code=2011
VSA 29=hw_Exec_Privilege
[hw_Exec_Privilege]
Type=INTEGER
Profile=IN OUT
Enums=hw_Exec_Privilege-Values
[hw_Exec_Privilege-Values]
0=Access
1=Monitor
2=Manager
3=Administrator
2. 将上面定义的文件导入到ACS中
ACS提供了命令接口来导入私有属性,此步骤主要将h3c.ini通过命令导入到ACS中去。导入过程如下:
(1) 点击ACS Server的windows开始菜单,在运行中输入cmd,打开一个命令行窗口。
(2) 进入ACS的bin目录,在默认安装的情况下,该目录为
c:\Program Files\CiscoSecure ACS v4.2\bin
(3) 执行导入命令:
3. 查看是否导入成功
导入完毕,可以通过命令来查看:
可以看到UDV 0 已经添加了RADIUS (Huawei) 私有属性
4. 如果不慎在导入过程中出现错误时,可以在命令行界面删除添加属性,以便重新添加
如上图,删除了添加的UDV 0 属性。
另外可以进入ACS页面来查看:
1:首先在网络配置中进行设置,选择华为的属性
2: 进入Interface Configuration可以看到如下:
3: 点击进入看到如下内容:
4: 进入Group Setup ,选择要编辑的Group,然后在Jump To中选择“Radius (Huawei)”,可以看到添加的属性值
5:在group中增加相应的用户
四: 配置华为的交换机
<SW12>dis cu
#
sysname SW12
#
radius scheme system
server-type huawei
primary authentication 127.0.0.1 1645
primary accounting 127.0.0.1 1646
user-name-format without-domain
radius scheme abc 定义radius的方案为abc
server-type huawei 服务类型为华为
primary authentication 192.168.100.156 1812 radius服务器的ip地址
accounting optional 计费开关为可选
key authentication 123456 共享的密钥
user-name-format without-domain 客户端在向服务器提交用户名和密码的时候不提交域名
domain system
radius-scheme system
access-limit disable
state active
vlan-assignment-mode integer
idle-cut disable
self-service-url disable
messenger time disable
domain zzu
radius-scheme abc 在zzu的域下实施abc的方案
access-limit enable 10 限制该域的最大连接数为10个用户
state active 域的状态
vlan-assignment-mode integer
idle-cut disable
self-service-url disable
messenger time disable
domain default enable system
#
local-server nas-ip 127.0.0.1 key huawei
local-user user1
password simple 123
service-type telnet level 3
#
vlan 1
#
interface Vlan-interface1
ip address 192.168.100.32 255.255.255.0 该交换机的管理地址
#
interface Aux0/0
#
interface Ethernet0/1
#
interface Ethernet0/2
#
interface Ethernet0/3
#
interface Ethernet0/4
#
interface Ethernet0/5
#
interface Ethernet0/6
user-interface aux 0
user-interface vty 0 4
authentication-mode scheme
#
return
<SW12>
在客户机上进行验证
小结:通过导入华为的私有属性,可以实现用ciscorescue 来实现对华为设备的验证和账户的集中管理。
欢迎加入郑州阳仔的网络工程师自由交流群--132444800(请注明自己的身份,就说是51cto的博友)
AAA是Authentication,Authorization and Accounting(认证、授权和计费)的简
称,它提供了一个对认证、授权和计费这三种安全功能进行配置的一致性框架,实
际上是对网络安全的一种管理。工作模式:c/s的工作模式。
一:认证功能
方式
1:不进行认证,通常不这样使用。
2:本地认证,直接在本地设备上进行认证。优点:速度较快。缺点:受到设备硬件的影响,不能够进行集中的管理
3:远端认证.支持radius协议和hwtacacs协议的远端验证,客户端可以是quidway系列的交换机。
二:授权功能
1:直接授权
2:本地授权
3:radius授权
4:hwtacacs授权
三:计费功能
1:不计费
2:远端计费
RADIUS 客户端(交换机)和RADIUS 服务器之间通过共享密钥来认证交互的消息,
增强了安全性。RADIUS 协议合并了认证和授权过程,即响应报文中携带了授权信
息。用户、交换机、RADIUS 服务器之间的交互流程如图所示。
基本交互步骤如下:
(1) 用户输入用户名和口令。
(2) RADIUS 客户端根据获取的用户名和口令,向RADIUS 服务器发送认证请求
包(Access-Request)。
(3) RADIUS 服务器将该用户信息与Users 数据库信息进行对比分析,如果认证成
功,则将用户的权限信息以认证响应包(Access-Accept)发送给 RADIUS 客
户端;如果认证失败,则返回Access-Reject响应包。
(4) RADIUS 客户端根据接收到的认证结果接入/ 拒绝用户。如果可以接入用户,
则RADIUS 客户端向RADIUS 服务器发送计费开始请求包
(Accounting-Request ),Status-Type取值为start 。
(5) RADIUS 服务器返回计费开始响应包(Accounting-Response )。
(6) 用户开始访问资源。
(7) RADIUS 客户端向 RADIUS 服务器发送计费停止请求包
(Accounting-Request ),Status-Type取值为stop 。
(8) RADIUS 服务器返回计费结束响应包(Accounting-Response )。
(9) 用户访问资源结束。
案例一:
使用cisco -ACS-4.20.124 版本 和 jre-6u26-windows-i586的搭建acs的思科认证授权服务器,来实现对华为的交换机进行认证,主要介绍telnet方式登录华为的交换机,此时acs可以看做是一台radius服务器,但是需要制作一个定制的文件h3c.ini,并将其导入到acs服务器上,使其支持对华为交换机的验证,并且赋予telnet用户的权限为管理员。目前的版本只支持telnet的方式登录。
示意图:
一:安装jre-6u26-windows-i586,一路到底即可。
二:安装ciscosecure -ACS-4.20.124
三:导入h3c。ini文件导入ciscosecure -ACS-4.20.124 服务器
1. 编写h3c.ini文件(绿色部分即为文件内容)
[User Defined Vendor]
Name=Huawei
IETF Code=2011
VSA 29=hw_Exec_Privilege
[hw_Exec_Privilege]
Type=INTEGER
Profile=IN OUT
Enums=hw_Exec_Privilege-Values
[hw_Exec_Privilege-Values]
0=Access
1=Monitor
2=Manager
3=Administrator
2. 将上面定义的文件导入到ACS中
ACS提供了命令接口来导入私有属性,此步骤主要将h3c.ini通过命令导入到ACS中去。导入过程如下:
(1) 点击ACS Server的windows开始菜单,在运行中输入cmd,打开一个命令行窗口。
(2) 进入ACS的bin目录,在默认安装的情况下,该目录为
c:\Program Files\CiscoSecure ACS v4.2\bin
(3) 执行导入命令:
3. 查看是否导入成功
导入完毕,可以通过命令来查看:
可以看到UDV 0 已经添加了RADIUS (Huawei) 私有属性
4. 如果不慎在导入过程中出现错误时,可以在命令行界面删除添加属性,以便重新添加
如上图,删除了添加的UDV 0 属性。
另外可以进入ACS页面来查看:
1:首先在网络配置中进行设置,选择华为的属性
2: 进入Interface Configuration可以看到如下:
3: 点击进入看到如下内容:
4: 进入Group Setup ,选择要编辑的Group,然后在Jump To中选择“Radius (Huawei)”,可以看到添加的属性值
5:在group中增加相应的用户
四: 配置华为的交换机
<SW12>dis cu
#
sysname SW12
#
radius scheme system
server-type huawei
primary authentication 127.0.0.1 1645
primary accounting 127.0.0.1 1646
user-name-format without-domain
radius scheme abc 定义radius的方案为abc
server-type huawei 服务类型为华为
primary authentication 192.168.100.156 1812 radius服务器的ip地址
accounting optional 计费开关为可选
key authentication 123456 共享的密钥
user-name-format without-domain 客户端在向服务器提交用户名和密码的时候不提交域名
domain system
radius-scheme system
access-limit disable
state active
vlan-assignment-mode integer
idle-cut disable
self-service-url disable
messenger time disable
domain zzu
radius-scheme abc 在zzu的域下实施abc的方案
access-limit enable 10 限制该域的最大连接数为10个用户
state active 域的状态
vlan-assignment-mode integer
idle-cut disable
self-service-url disable
messenger time disable
domain default enable system
#
local-server nas-ip 127.0.0.1 key huawei
local-user user1
password simple 123
service-type telnet level 3
#
vlan 1
#
interface Vlan-interface1
ip address 192.168.100.32 255.255.255.0 该交换机的管理地址
#
interface Aux0/0
#
interface Ethernet0/1
#
interface Ethernet0/2
#
interface Ethernet0/3
#
interface Ethernet0/4
#
interface Ethernet0/5
#
interface Ethernet0/6
user-interface aux 0
user-interface vty 0 4
authentication-mode scheme
#
return
<SW12>
在客户机上进行验证
小结:通过导入华为的私有属性,可以实现用ciscorescue 来实现对华为设备的验证和账户的集中管理。
欢迎加入郑州阳仔的网络工程师自由交流群--132444800(请注明自己的身份,就说是51cto的博友)
相关文章推荐
- Ubuntu环境变量的设置 && 桌面添加应用的快捷方式 && OTA服务器的搭建和发布 && 允许mysql远程连接
- iis搭建ftp服务器及身份验证设置
- 话说YUM安装服务器的搭建(ftp方式搭建)--以及客户端设置
- 站点服务器的搭建的选择方式
- Win7搭建Telnet服务器 解决Access Denied: Specified user is not is not a member of TelnetClients group
- Git服务器搭建及SSH无密码登录设置
- CentOS -- YUM服务器搭建(一)_光盘挂载方式
- 【Samba】共享服务器的搭建和相关权限设置
- ubuntu下搭建svn服务器以及设置SVN
- Ubutun下搭建MySQL用户验证的WebDav服务器
- 表单提交数据的方式 怎么在服务器获取 服务器控件 html服务器控件 提交服务器之前的验证 前台网页编写c#代码
- radius协议配置和在CISCO的acs实现对telnet的验证以及级别验证
- 设置验证级别防止非法登陆
- CentOS设置默认运行级别 启动方式
- SVN服务器搭建和使用(一)(二)(三) + 客户端重新设置密码
- 服务器架设笔记——搭建用户注册和验证功能
- 【ubuntu】[TFTP]: 搭建tftp服务器的安装、设置、调试
- node.js搭建mqtt服务器(broker)身份验证(auth)
- Linux 搭建telnet服务器-实战操作
- ubuntu 12.04搭建tftp服务器的安装、设置、调试