配置管理员使用Local方式认证并授权用户级别示例

陈建华012023-12-29 0:31

AAA简介

访问控制是用来控制哪些用户可以访问网络以及可以访问的网络资源。AAA是Authentication(认证)、Authorization(授权)和Accounting(计费)的简称,提供了在NAS(Network Access Server,网络接入服务器)设备上配置访问控制的管理框架。

定义

AAA作为网络安全的一种管理机制,以模块化的方式提供以下服务:

  • 认证:确认访问网络的用户的身份,判断访问者是否为合法的网络用户。

  • 授权:对不同用户赋予不同的权限,限制用户可以使用的服务。

  • 计费:记录用户使用网络服务过程中的所有操作,包括使用的服务类型、起始时间、数据流量等,用于收集和记录用户对网络资源的使用情况,并可以实现针对时间、流量的计费需求,也对网络起到监视作用。

基本架构

AAA采用客户端/服务器结构,AAA客户端运行在接入设备上,通常被称为NAS设备,负责验证用户身份与管理用户接入;AAA服务器是认证服务器、授权服务器和计费服务器的统称,负责集中管理用户信息。AAA的基本架构如图1。

图1 AAA基本架构

AAA可以通过多种协议来实现,目前设备支持基于RADIUS或HWTACACS协议来实现AAA,在实际应用中,最常使用RADIUS协议。

图1中所示的AAA服务器,用户可以根据实际组网需求来决定认证、授权、计费功能分别由使用哪种协议类型的服务器来承担。用户也可以只使用AAA提供的一种或两种安全服务。例如,公司仅仅想让员工在访问某些特定资源时进行身份认证,那么网络管理员只要配置认证服务器即可。但是若希望对员工使用网络的情况进行记录,那么还需要配置计费服务器。

目的

提供对用户进行认证、授权和计费等安全功能,防止非法用户登录设备,增强设备系统安全性。

实验需求

如图中所示,企业希望管理员能简单方便并且安全地远程管理设备,可以配置通过Telnet登录设备时使用AAA本地认证:

  1. 管理员输入正确的用户名和密码才能通过Telnet登录设备。
  2. 管理员通过Telnet登录设备后,可以执行命令级别为0~15的所有命令行。

图中配置用户通过Telnet登录设备的身份认证组网图(AAA本地认证)

配置思路

采用如下思路配置用户通过Telnet登录设备的身份认证:

  1. 配置Switch的接口IP地址。
  2. 使能Telnet服务器功能。
  3. 配置VTY用户界面的验证方式为aaa。
  4. 配置AAA本地认证:创建用户名和密码、配置用户的接入类型、配置用户级别。
实验步骤

  1. 配置S1的接口IP地址

    <Huawei>system-view
    Enter system view, return user view with Ctrl+Z.
    [Huawei]sysname S1

    [S1]undo info-center enable
    Info: Information center is disabled.

    [S1]vlan batch 100
    Info: This operation may take a few seconds. Please wait for a moment...done.

    [S1]interface Vlanif 100
    [S1-Vlanif100]ip address 10.1.2.10 24
    [S1-Vlanif100]quit

    [S1]interface GigabitEthernet 0/0/1
    [S1-GigabitEthernet0/0/1]port link-type hybrid
    [S1-GigabitEthernet0/0/1]port hybrid pvid vlan 100
    [S1-GigabitEthernet0/0/1]port hybrid untagged vlan 100
    [S1-GigabitEthernet0/0/1]quit

  2. 使能Telnet服务器功能

    [S1]telnet server enable

  3. 配置VTY用户界面的验证方式为aaa

    [S1]user-interface maximum-vty 15

    [S1]user-interface vty 0 14
    [S1-ui-vty0-14]authentication-mode aaa
    [S1-ui-vty0-14]protocol inbound telnet
    [S1-ui-vty0-14]quit

  4. 配置AAA本地认证

    [S1]aaa
    [S1-aaa]local-user user1 password cipher huawei@123
    Info: Add a new user.
    [S1-aaa]local-user user1 service-type telnet
    [S1-aaa]local-user user1 privilege level 15
    [S1-aaa]quit

  5. 验证配置结果

    <PC>telnet 10.1.2.10

PC 配置

<Huawei>system-view 
Enter system view, return user view with Ctrl+Z.	
[Huawei]sysname PC
	
[PC]undo info-center enable 
Info: Information center is disabled.
	
[PC]interface GigabitEthernet 0/0/0	
[PC-GigabitEthernet0/0/0]ip address 10.1.2.5 24	
[PC-GigabitEthernet0/0/0]quit 	
[PC]quit 

<PC>telnet 10.1.2.10
相关推荐
摸鱼也很难25 分钟前
Docker 镜像加速和配置的分享 && 云服务器搭建beef-xss
运维·docker·容器
woshilys1 小时前
sql server 查询对象的修改时间
运维·数据库·sqlserver
疯狂飙车的蜗牛1 小时前
从零玩转CanMV-K230(4)-小核Linux驱动开发参考
linux·运维·驱动开发
恩爸编程2 小时前
探索 Nginx:Web 世界的幕后英雄
运维·nginx·nginx反向代理·nginx是什么·nginx静态资源服务器·nginx服务器·nginx解决哪些问题
Michaelwubo4 小时前
Docker dockerfile镜像编码 centos7
运维·docker·容器
远游客07134 小时前
centos stream 8下载安装遇到的坑
linux·服务器·centos
好像是个likun4 小时前
使用docker拉取镜像很慢或者总是超时的问题
运维·docker·容器
LIKEYYLL6 小时前
GNU Octave:特性、使用案例、工具箱、环境与界面
服务器·gnu
云云3216 小时前
搭建云手机平台的技术要求?
服务器·线性代数·安全·智能手机·矩阵
云云3216 小时前
云手机有哪些用途?云手机选择推荐
服务器·线性代数·安全·智能手机·矩阵
热门推荐
01〔AI 绘画〕Stable Diffusion 之 解决绘制多人或面部很小的人物时面部崩坏问题 篇02ARM学习(31)编译器对overlay方式的支持03玄机平台应急响应—webshell查杀04DisplayPort AltMode On Type-c协议_Ver2.0(学习笔记)05校验 GPT-4 真实性的三个经典问题:快速区分 GPT-3.5 与 GPT-4,并提供免费测试网站06Docker 夺命连环 15 问076个主流的工业3D管道设计软件08基于大语言模型(LLM)的合成数据生成、策展和评估的综述09(欧拉)openEuler系统添加网卡文件配置流程、(欧拉)openEuler系统手动配置ipv6地址流程、(欧拉)openEuler系统网络管理说明10树莓派 5 AI 套件(Hailo-8L)使用教程