首页 > 编程知识 文章详情

配置用户通过Telnet登录设备的身份认证(AAA本地认证)

编程知识 更新时间:2023-05-02 02:36:32

背景信息

用户通过Telnet登录设备时,设备上必须配置验证方式,否则用户无法成功登录设备。设备支持不认证、密码认证和AAA认证三种用户界面的验证方式,其中AAA认证方式安全性最高。

采用AAA本地认证方式实现用户通过Telnet登录设备的身份认证,设备上需要开启Telnet服务,将用户界面(以VTY用户界面为例)的验证方式设为aaa,同时在AAA视图下创建本地用户,配置该用户的接入方式和用户级别。

<HUAWEI> system-view
[HUAWEI] telnet server enable  //开启Telnet服务
[HUAWEI] user-interface maximum-vty 15  //配置VTY用户界面的登录用户最大数目为15
[HUAWEI] user-interface vty 0 14  //进入0~14的VTY用户界面视图
[HUAWEI-ui-vty0-14] authentication-mode aaa  //配置VTY用户界面的验证方式为aaa
[HUAWEI-ui-vty0-14] protocol inbound telnet //配置VTY用户界面支持的协议为Telnet,V200R006及之前版本缺省使用的协议为Telnet协议,可以不配置该项;V200R007及之后版本缺省使用的协议为SSH协议,必须配置。 [HUAWEI-ui-vty0-14] quit [HUAWEI] aaa [HUAWEI-aaa] local-user user1 password cipher Huawei@1234 //创建本地用户user1并配置密码 [HUAWEI-aaa] local-user user1 service-type telnet //配置本地用户user1的接入类型为Telnet,该用户只能使用Telnet方式登录 [HUAWEI-aaa] local-user user1 privilege level 15 //配置本地用户user1的用户级别为15,该用户登录后可以执行0~15级的命令 [HUAWEI-aaa] quit

17.2  配置用户级别

背景信息

用户级别与命令级别相对应,用户登录设备后只能执行命令级别等于或低于自己用户级别的命令,如用户级别为2的用户只能执行命令级别为0,1和2的命令。

用户采用AAA本地认证方式登录设备时,设备上必须配置该用户的用户级别,否则该用户的用户级别为0级(参观级),即用户登录设备后只能执行命令级别为0的命令:pingtracert等网络诊断工具命令。

如果希望该用户登录设备后可以执行命令级别更高的命令,如监控级、配置级或管理级的命令,用户必须具有更高的用户级别。

当用户的认证方式为AAA本地认证时,可以采用以下方式配置用户级别,优先级由上到下依次降低:

  • 配置某个用户的用户级别。 
    <HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] local-user user1 privilege level 15  //配置用户user1的用户级别为15
  • 配置某个域下所有用户的用户级别。 
    <HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] service-scheme sch1
[HUAWEI-aaa-service-sch1] admin-user privilege level 15  //配置某个域下所有用户的用户级别为15
  • 配置从某个用户界面登录的所有用户的用户级别(以VTY用户界面为例)。 
    <HUAWEI> system-view
[HUAWEI] user-interface maximum-vty 15
[HUAWEI] user-interface vty 0 14
[HUAWEI-ui-vty0-14] user privilege level 15  //配置VTY 0~VTY 14用户界面下用户级别为15

17.3  配置全局默认域

对于某部门用户,管理员规划其在域“huawei”中进行认证。由于用户认证时提供的用户名经常为不带域名格式,譬如“zhangsan”,这样就导致接入设备无法将用户名上送到在“huawei”域中配置的AAA服务器上进行认证,用户无法通过认证。针对这种情况,可将全局默认域配置为“huawei”。

<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] domain huawei
[HUAWEI-aaa-domain-huawei] quit
[HUAWEI-aaa] quit
[HUAWEI] domain huawei

转载于:https://wwwblogs/ricksteves/p/9702557.html

更多推荐

配置用户通过Telnet登录设备的身份认证(AAA本地认证)

本文发布于:2023-04-25 07:41:00,感谢您对本站的认可!
本文链接:https://www.elefans.com/category/jswz/7f15f9ff664e6487d2ebc4063e85ddbf.html
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,我们将在24小时内删除。
本文标签:身份认证   用户   设备   AAA   Telnet

相关文章

发布评论

评论列表 (有 0 条评论)

最近发表

草根站长

>www.elefans.com

编程频道|电子爱好者 - 技术资讯及电子产品介绍!

  • 102475文章数
  • 26161阅读数
  • 0评论数

热门文章

标签列表