交换机对接IMC TAM组件:设备管理认证用户(hwtacacs)

iMC TAM基于TCP TACACS协议,功能丰富,只要设备支持TACACS协议即可,能实现命令行层次的授权控制。

一. 组网需求

本配置涉及“管理设备”和“被管理设备”两部分。管理设备为IMC服务器,需要安装iMC平台和TAM组件,被管理设备为网络设备H3C接入交换机。

二、组网拓扑

管理设备:IMC服务器192.168.100.100
被管理设备:交换机172.16.100.20
测试主机:PC 地址任意,与交换机互通即可
三、IMC 侧配置
1、划分设备区域:授权策略绑定不同区域,方便对不同区域的设备做授权,点击用户--设备用户管理--设备区域管理
创建设备区域,这里为测试区域
2、创建设备类型
3、创建授权时段(控制策略执行时间)
这里创建的为永久执行,没有进行详细的时间限制
可增加授权时段,创建详细的授权时段
4、创建shell profile
此处的shell prifile限制账号登录后默认处于的level级别,也就是默认权限级别(通过后面的命令集来限制用户不能使用哪些命令)
此处创建的为15级,即最高权限
5、创建命令集(即配置拒绝或允许使用的命令)
注意此处缺省授权方式,建议为允许,只需要在添加拒接的命令即可。
6、设备管理(添加被管理交换机)
点击增加手动或从IMC所管理的设备内添加,选择好设备所处区域及类型,不同区域及类型的设备对应不同的授权策略

配置共享密钥要。本处配置为admin,添加被管理设备
添加完界面
7、增加授权管理策略:关联区域、类型、时段、shell profile、命令集
点击增加
将上面步骤所配置的设备区域、设备类型、授权时段、shell profile、授权命令集关联起来,形成一条策略
8、创建设备登录账号
配置账号名(登录名)、登录密码以及关联用户授权策略
四、交换机侧配置
设备上需要配置TACACS方案、域、认证方式,使登录到设备上的用户到IMC TAM中进行身份认证。
1、配置端口及IP地址,保证交换机和IMC服务器,交换机和测试PC互通:略
2、创建本地用户:略
3、创建hwtacacs方案
TACACS方案中需要配置认证/授权/计费服务器为TAM,key和TAM中设备的配置保持一致(admin),用户名为不带域名格式(直接将用户名发给TAM):
[H3C]hwtacacs scheme hwtacacs /*创建名为hwtacacs的tacacs方案*/
[H3C-hwtacacs-hwtacacs]primary authentication 192.168.100.100 key simple admin  /*指定主认证服务器地址为IMC地址并配置共享密钥*/
[H3C-hwtacacs-hwtacacs]primary accounting 192.168.100.100 key simple admin  /*指定主授权服务器地址为IMC地址并配置共享密钥*/
[H3C-hwtacacs-hwtacacs]primary authorization 192.168.100.100 key simple admin  /*指定主计费服务器地址为IMC地址并配置共享密钥*/
[H3C-hwtacacs-hwtacacs]user-name-format without-domain   /*配置用户名为不带域名格式*/
4、创建domain
配置域引用的TACACS方案。配置登录认证和权限提升认证,配置登录授权和命令行授权,配置登录审计和命令行审计
[H3C]domain name hwtacacs  /*创建名为hwtacacs的域*/
[H3C-isp-hwtacacs]authentication login hwtacacs-scheme hwtacacs   /*指定登录时使用hwtacacs*/
[H3C-isp-hwtacacs]accounting login hwtacacs-scheme hwtacacs   
[H3C-isp-hwtacacs]authorization login hwtacacs-scheme hwtacacs  
[H3C-isp-hwtacacs]authorization command hwtacacs-scheme hwtacacs   /*配置命令行授权使用hwtacacs*/
[H3C]domain default enable hwtacacs   /*配置为默认域*/
5、开启telnet认证
开启Telnet开关,认证方式配置为AAA,登录后权限提升认证方式配置为AAA
[H3C] telnet server enable 
[H3C]line vty 0 63  
[H3C-line-vty0-63]authentication-mode scheme   /*配置为使用密码认证方式*/
[H3C-line-vty0-63]command authorization   /*开启命令授权功能*/
[H3C-line-vty0-63]command accounting   
五、登录测试
使用软件telnet登录交换机,登录用户名:admin@hwtacacs

在IMC内可看到在线用户:
执行interface相关的命令:
提示Permission denied.没有权限
点击在线用户admin查看该用户的授权日志:
六、附权限提升,低级别提升
设备用户处启用权限提升密码
创建域时添加:

[H3C-isp-hwtacacs]authentication super hwtacacs-scheme hwtacacs    /*配置权限提升授权使用hwtacacs*/

版权声明:
作者:凉生
链接:http://www.kurodown.com/index.php/2021/04/26/27cc160e32097e32d974ef77de5efd28/
来源:酷绒站
文章版权归作者所有,未经允许请勿转载。

THE END
分享
二维码
< <上一篇
下一篇>>