我司产品目前支持以下认证类型:
? Login(登录)认证 ? Enable认证 ? PPP认证
? DOT1X(IEEE802.1x)认证 ? Web认证
其中Login认证针对的是用户终端登录到NAS上的命令行界面(CLI),在登录时进行身份
认证;Enable认证针对的是用户终端登录到NAS上的CLI界面以后,提升CLI执行权限时进行认证;PPP认证针对PPP拨号用户进行身份认证;DOT1X认证针对IEEE802.1x接入用户进行身份认证。Web认证时针对内置ePortal的情况下进行身份认证。 44.3.4 配置AAA身份认证的通用步骤
要配置AAA身份认证,都必须执行以下任务:
? 使用aaa new-model 全局配置命令启用AAA。
? 如果要使用安全服务器,必须配置安全协议参数,如RADIUS和TACACS+。具体
的配置请参见“配置RADIUS和“配置TACACS+”。
? 使用aaa authentication 命令定义身份认证方法列表。 ? 如果可能,将方法列表应用于某个特定的接口或线路。
?注意 我司产品DOT1X认证目前不支持TACACS+。
44.3.5 配置AAA Login认证
本节将具体介绍如何配置锐捷产品所支持的AAA Login(登录)身份认证方法:
?注意
只有在全局配置模式下执行aaa new-model 命令启用AAA,AAA安全特性才能进
行配置使用(下同)。关于更详细的内容,请参见“AAA概述”。
在很多情况下,用户需要通过Telnet访问网络访问服务器(NAS),一旦建立了这种连接,就
可以远程配置NAS,为了防止网络未经授权的访问,要对用户进行身份认证。 AAA安全服务使网络设备对各种基于线路的Login(登录)身份认证变得容易。不论您要决
定使用哪种Login认证方法,只要使用aaa authentication login命令定义一个或多个身份认证方法列表,并应用于您需要进行Login认证的特定线路就可以了。 要配置AAA Login认证,在全局配置模式下执行以下命令: Step 1
configure 命令 terminal 作用 Step 2 Step 3 Step 4 Step 5
aaa new-model aaa authentication login {default | list-name} method1 [method2...] line vty line-num login authentication {default | list-name} 启用AAA。 定义一个认证方法列表,如果需要定义多个方法列表,重复执行该命令。 进入您需要应用AAA身份认证的线路。 将方法列表应用线路。 关键字list-name用来命名创建身份认证方法列表,可以是任何字符串;关键字method指
的是认证实际算法。仅当前面的方法返回ERROR(无应答),才使用后面的其他认证方法;如果前面的方法返回FAIL(失败),则不使用其他认证方法。为了使认证最后能成功返回,即使所有指定方法都没有应答,可以在命令行中将none指定为最后一个认证方法。 例如,在下例中,即使RADIUS服务器超时(TIMEOUT),仍然能够通过身份认证:aaa
authentication login default group radius none
由于关键字none使得拨号的任何用户在安全服务器没有应答情况下都能通过身份认证,所以仅将它作为备用的身份认证方法。我们建议:一般情况下,不要使用none身份认证,在特殊情况下,如所有可能的拨号用户都是可信任的,而且
用户的工作不允许有由于系统故障造成的耽搁,可以在安全服务器无应答的情况下,将none作为最后一种可选的身份认证方法,建议在none认证方法前加上本地身份认证方法。
关键字 local none group radius group tacacs+ 描述 使用本地用户名数据库进行身份认证 不进行身份认证 使用RADIUS服务器组进行身份认证 使用TACACS+服务器组进行身份认证
?注意 Step 1 Step 2 Step 3 Step 4
上表列出了锐捷产品支持的AAA Login认证方法。
44.3.5.1使用本地数据库进行Login认证
要配置使用本地数据库进行Login认证时,首先需要配置本地数据库,锐捷产品支持基于本
地数据库的身份认证,建立用户名身份认证,请在全局配置模式下,根据具体需求执行以下命令: Step 1 Step 2 Step 3 Step 4
configure terminal username name [password password] end show running-config 命令 进入全局配置模式 建立本地用户,设置口令 退出到特权模式 确认配置 作用 定义本地Login认证方法列表并应用认证方法列表,可使用以下命令: Step 1 Step 2 Step 3 Step 4 Step 5 Step 6 Step 7 Step 8 Step 9 Step10
configure terminal aaa new-model aaa authentication login {default | list-name} local end show aaa method-list configure terminal line vty line-num login authentication {default | list-name} end show running-config 命令 进入全局配置模式 打开AAA开关 定义使用本地认证方法 退出到特权模式 确认配置的方法列表 进入全局配置模式 进入线路配置模式 应用方法列表 退出到特权模式 确认配置 作用 44.3.5.2使用RADIUS进行Login认证
要配置用RADIUS服务器进行Login认证,首先要配置RADIUS服务器。配置RADIUS服
务器,请在全局配置模式下,根据具体需求执行以下命令: Step 1 Step 2 Step 3 Step 4 Step 5
configure terminal aaa new-model radius-server hostip-address [auth-portport] [acct-port port] end show radius server 命令 进入全局配置模式 打开AAA开关 配置RADIUS服务器 退出到特权模式 显示RADIUS服务器 作用 配置好RADIUS服务器后,在配置RADIUS进行身份认证以前,请确保与RADIUS安全服
务器之间已经成功进行了通信,有关RADIUS服务器配置的信息,请参见“配置RADIUS”。 现在就可以配置基于RADIUS服务器的方法列表了,在全局配置模式下执行以下命令: Step 1 Step 2 Step 3
configure terminal aaa new-model aaa authentication login {default | list-name} group radius 命令 进入全局配置模式 打开AAA开关 定义使用RADIUS认证方法 作用 Step 4 Step 5 Step 6 Step 7 Step 8 Step 9 Step10
end show aaa method-list configure terminal line vtyline-num login authentication {default | list-name} end show running-config 退出到特权模式 确认配置的方法列表 进入全局配置模式 进入线路配置模式 应用方法列表 退出到特权模式 确认配置 44.3.6 配置AAA Enable认证
本节将具体介绍如何配置锐捷产品所支持的AAA Enable认证方法:
在很多情况下,用户需要通过Telnet等方法访问网络访问服务器(NAS),在进行了身份认证
以后,就可以进入命令行界面(CLI),此时会被赋予一个初始的执行CLI命令的权限(0~15级)。不同的级别,可以执行的命令是不同的,可以使用showprivilege命令查看当前的级别。关于更详细的内容,请参见“使用命令行界面”。 如果登录到命令行界面后,由于初始权限过低,不能执行某些命令,则可以使用enable命
令来提升权限。为了防止网络未经授权的访问,在提升权限的时候,需要进行身份认证,即Enable认证。 要配置AAA Enable认证,在全局配置模式下执行以下命令: Step 1 Step 2 Step 3
configure terminal aaa new-model aaa authentication enable default method1 [method2...] 命令 进入全局配置模式 启用AAA。 定义一个Enable认证方法列表,可以指定采用的认证方法,例如RADIUS。 作用 Enable认证方法列表全局只能定义一个,因此不需要定义方法列表的名称;关键字method
指的是认证实际方法。仅当前面的方法返回ERROR(无应答),才使用后面的其他身份方法;如果前面的方法返回FAIL(失败),则不使用其他认证方法。为了使认证最后能成功返回,即使所有指定方法都没有应答,可以在命令行中将none指定为最后一个认证方法。 Enable认证方法配置以后立即自动生效。此后,在特权模式下执行enable命令的时候,如
果要切换的级别比当前级别要高,则会提示进行认证。如果要切换的级别小于或等于当前级别,则直接切换,不需要进行认证。
如果进入CLI界面的时候经过了Login身份认证(none方法除外),将记录当前使用的用户名。此时,进行Enable认证的时候,将不再提示输入用户名,直接使用与Login认证相同的用户名进行认证,注意输入的口令要与之匹配。 如果进入CLI界面的时候没有进行Login认证,或在Login认证的时候使用了none方法,将不会记录用户名信息。此时,如果进行Enable认证,将会要求重新输入用户名。这个用户名信息不会被记录,每次进行Enable认证都要重新输入。
?注意
一些认证方法,在认证时可以绑定安全级别。这样,在认证过程中,除了根据安全协议返回
的成功或失败的应答外,还需要检查绑定的安全级别。如果服务协议能绑定安全级别,则需要在认证时校验绑定的级别。如果绑定的级别大于或等于要切换的目的级别,则Enable认证成功,并切换到目的级别;而如果绑定的级别小于要切换的目的级别,则Enable认证失败,提示失败信息,维持当前的级别不变。如果服务协议不能绑定安全级别,则不校验绑定的级别,就可以切换到目的级别。
(可选)表示需读者留心关注的重要信息,用“注意栏”的形式提醒读者认真对待此部分内容,严格遵照其中的要求操作或使用。若读者忽略此内容,可能会因误 操作而导致不良后果或无法成功操作。如产品限制信息,包括芯片差异导致的功能缺陷、功能之间的互斥信息、实现上的缺陷等等都需用“注意栏”的形式来描述。
?注意 目前能够绑定安全级别的认证方法只有RADIUS和本地认证,因此只对这两种方法进行检
查,如果采用其他认证方法则不进行检查。
44.3.6.1使用本地数据库进行Enable认证
使用本地数据库进行Enable认证时,可以在设置本地用户时,为用户设置权限级别。如果
没有设置,则默认的用户级别为1级。要配置使用本地数据库进行Enable身份认证时,首先需要配置本地数据库,并为用户设置权限级别,请在全局配置模式下,根据具体需求执行以下命令: Step 1 Step 2 Step 3 Step 4
configure terminal usernamename [password password] username name [privilege level] end 命令 进入全局配置模式 建立本地用户,设置口令 为用户设置权限级别(可选) 退出到特权模式 作用