交换机对接IMC EIA组件:设备管理认证用户(radius)

交换机对接IMC EIA组件:使用radius账户登录

组网拓扑:

需求描述:用户使用telnet协议登录交换机时,不使用交换机本地账户登录,使用IMC服务器侧配置的用户名登录设备(IMC失效后可使用本地账号登录),实现设备管理用户的统一管理。

本案例使用IMC EIA组件实现,EIA组件基于Radius UDP协议,仅能校验用户合法性,无法完成深层次授权,如:命令限制,登录时间限制等,如需实现更深层次控制,请使用TAM组件,配置教程见:http://www.kurodown.com/index.php/2021/04/26/27cc160e32097e32d974ef77de5efd28/

 

IMC侧配置:

1、 保证交换机设备可以和IMC通讯,将要接入的交换机设备添加至IMC

点击:若点击选择,则可直接加入已被IMC纳管的设备,若选择手工添加,则需要手动填写交换机信息

这里选择手工增加:输入交换机地址,其他为可选

配置该设备的radius参数,主要包括共享密钥(两端必须相同),认证/计费端口默认即可

2、 添加管理用户组

创建分组guest,该分组下用户只有查看权限“

创建用户guest,并加入guest组:

创建guest用户:

选择接入设备:

按照上述方式创建level-15权限管理员账号:

注意:账号权限规则:IMC内的设备管理用户,若没有绑定用户分组,则以该账号下配置为主,若以绑定用户分组,但该账号及用户分组下公共配置不一致,则以账号下配置为主,若要使用用户分组下配置,则删除账号下的公共配置

如,建立账号admin但是没有指定telnet服务也没有加入admin组则登录失败闪退,但是IMC侧可以认证成功。

服务是必须的,要么在单用户下指定,要么将用户加入组,在组内指定

IMC侧配置完毕

交换机侧配置:

1、 配置互通IMC的端口:

[H3C]int GigabitEthernet 1/0/1
[H3C-GigabitEthernet1/0/1]port link-mode route
[H3C-GigabitEthernet1/0/1]ip add 172.16.100.10 24
[H3C]ip route-static 0.0.0.0 0.0.0.0 172.16.100.1

2、 配置本地账号,开启telnet

[H3C]line vty 0 4
[H3C-line-vty0-4]authentication-mode scheme
[H3C]local-user admin
New local user added.
[H3C-luser-manage-admin]password simple 123456
[H3C-luser-manage-admin]service-type telnet
[H3C-luser-manage-admin]authorization-attribute user-role level-1
[H3C]telnet server enable

3、配置radius:

[H3C]radius scheme imc
New RADIUS scheme.
[H3C-radius-imc]primary authentication 192.168.100.100 key simple 123456 1812
[H3C-radius-imc]primary accounting 192.168.100.100 key simple 123456 1813
[H3C-radius-imc]user-name-format without-domain  配置为直接发送用户名不带域名格式
keep-original   User name unchanged
  with-domain     User name like XXX@XXX
  without-domain  User name like XXX
[H3C-radius-imc]nas-ip 172.16.100.10  本交换机和IMC服务器通讯的地址

配置login接入时,因为在IMC上不需要配置接入服务,所以不需要配置服务后缀,交换机上选择without-domain方式,其他的认证方式需要配置接入服务服务后缀,所以需要配置with-domain方式(向IMC发送用户名时不携带域名)

4、配置domain:

[H3C]domain name imc-radius
[H3C-isp-imc-radius]authentication login radius-scheme imc local  指定认证使用radius(imc)认证,若imc失败使用本地认证
[H3C-isp-imc-radius]accounting login radius-scheme imc local
[H3C-isp-imc-radius]authorization login radius-scheme imc local       

验证:

1、 使用本地用户登录

用户权限为level-1无法修改配置

2、 使用radius账号admin登录

登录后为管理员权限

3、使用admin@imc-radius登录

版权声明:
作者:凉生
链接:http://www.kurodown.com/index.php/2021/04/23/imc%e8%ae%a4%e8%af%81-radius%e8%ae%a4%e8%af%81-imceia-eia%e7%bb%84%e4%bb%b6-eia/
来源:酷绒站
文章版权归作者所有,未经允许请勿转载。

THE END
分享
二维码
< <上一篇
下一篇>>