说明:本示例只介绍设备的认证相关配置,请同时确保已在RADIUS服务器上做了相关配置,如设备地址、共享密钥、创建用户等配置。假设已在RADIUS服务器上创建了用户名yc123,密码test#123。
对于V200R019CC00及之前的版本,STelnet基本配置示例如下:1. 开启STelnet服务器功能 system-view[Huawei] stelnet server enable
2. 配置VTY用户界面所支持的协议、验证方式[Huawei] user-interface vty 0 4[Huawei-ui-vty0-4] protocol inbound ssh[Huawei-ui-vty0-4] authentication-mode aaa[Huawei-ui-vty0-4] quit
3. 配置缺省的SSH认证类型为password[Huawei] ssh authentication-type default password
4. 配置RADIUS认证(1)配置RADIUS服务器模板,指定服务器的IP地址与端口号、共享密钥[Huawei] radius-server template r1[Huawei-radius-r1] radius-server authentication 10.1.1.1 1812[Huawei-radius-r1] radius-server shared-key cipher abcd#123[Huawei-radius-r1] quit
(2)配置认证方案,指定认证方式为RADIUS[Huawei] aaa[Huawei-aaa] authentication-scheme r1[Huawei-aaa-authen-r1] authentication-mode radius[Huawei-aaa-authen-r1] quit
(3)配置业务方案,指定用户级别[Huawei-aaa] service-scheme r1[Huawei-aaa-service-r1] admin-user privilege level 15[Huawei-aaa-service-r1] quit
(4)新建一个域,并在域下引用RADIUS服务器模板、认证方案和业务方案[Huawei-aaa] domain huawei[Huawei-aaa-domain-huawei] radius-server r1[Huawei-aaa-domain-huawei] authentication-scheme r1[Huawei-aaa-domain-huawei] service-scheme r1[Huawei-aaa-domain-huawei] quit[Huawei-aaa] quit
5.(可选)配置管理员所属域为默认管理域说明:管理员用户的全局默认域为“default_admin”。● 如果在此步修改了全局默认管理域,那么登录设备时就不需要输入域名了,建议修改。[Huawei] domain huawei admin
● 若不修改的话,那么管理员登录设备时,输入用户名时需要携带域名才行,格式为“用户名@域名”,例如yc123@huawei,并且在缺省情况下,设备向RADIUS服务器发送的报文中的用户名为用户原始输入的用户名,设备不对其进行修改,如果RADIUS服务器不接受包含域名的用户名,还需要在RADIUS服务器模板下配置命令undo radius-server user-name domain-included使设备向RADIUS服务器发送的报文中的用户名不包含域名才行。或者也可以在RADIUS服务器上创建携带域名的用户名(例如yc123@huawei)。
从V200R019C10版本开始,安全策略有所变化:■ 对于V200R019C10版本在STelnet基本配置的基础上,还需要从官网申请下载WEAKEA插件并上传至设备安装(具体请参考官网的“插件使用指南”操作),否则会导致使用弱算法的SSH客户端登录失败(若使用SSH客户登录正常,则可以忽略此步骤)。
■ 对于V200R020版本(1)在STelnet基本配置的基础上,还需要指定SSH服务器端的源接口(这里以指定成所有配置了IPv4地址的接口为例)。[Huawei] ssh server-source all-interface(2)从官网申请下载WEAKEA插件并上传至设备安装(具体请参考官网的“插件使用指南”操作),否则会导致使用弱算法的SSH客户端登录失败(若使用SSH客户登录正常,则可以忽略此步骤)。
■ 对于V200R021及之后的版本(1)在STelnet基本配置的基础上,还需要指定SSH服务器端的源接口(这里以指定成所有配置了IPv4地址的接口为例)[Huawei] ssh server-source all-interface(2)加载并安装系统软件已集成的弱算法插件,然后将ssh server的算法参数全部undo一遍(使其支持所有算法),否则会导致使用弱算法的SSH客户端登录失败(若使用SSH客户登录正常,则可以忽略此步骤)。[Huawei] return load-module weakea install-module weakea.mod system-view[Huawei] undo ssh server hmac[Huawei] undo ssh server cipher[Huawei] undo ssh server key-exchange
论坛原帖:
以上内容来源于网络,由“WiFi之家网”整理收藏!
评论