借助acs来实现telnet、ssh的远程认证
引言:交换机、防火墙、路由器的远程管理telnet、ssh是不错的管理方式,但其账号的安全就成为了一种必须考虑的问题,下面我们就来通过aaa服务器来统一管理账号,并可以实现对网络设备的管理
实验拓扑:
实验要求:
借助aaa服务器实现对交换机、防火墙、路由器telnet、ssh用户的远端认证
实验配置:
1、cisco-acs4.0安装
cisco-4.0依赖java环境,要先安装jdk,
选择ACCEPT,
选择四个复选框,查看是否满足要求:
a.终端用户能够连接上AAAclient(设备)
b.AAA客户端能够ping 通该ACS软件所在服务器
c.所有的AAA客户端运行的系统版本要在11.1 (包括11.1)以上
d.ACS所在服务器上的浏览器版本要求IE v6.0 sp1或者网警浏览器v7.02以上
设置安装路径
高级选项的选择,可根据需要选择;
安装完成后,发现打开桌面上的ACS admin页面是空白的,应修改Internet选项下的安全级别,
调为中低就可以,
安全级别调低后,就可以正常访问了
默认情况下,acs并没有华为设备的服务器类型,只能选用Radius(IETF),自适应类型,故下面可以自己添加huawei设备的服务器类型,
[User Defined Vendor]
Name=Huawei
IETF Code=2011
VSA 29=hw_Exec_Privilege
[hw_Exec_Privilege]
Type=INTEGER
Profile=IN OUT
Enums=hw_Exec_Privilege-Values
[hw_Exec_Privilege-Values]
0=Access
1=Monitor
2=Manager
3=Administrator
[Encryption-Type]
1=1
2=2
3=3
[Ftp_Directory]
Type=STRING
Profile=OUT
将上面文字另存为h3c.ini 可以放在根目录下,方面添加
打开命令行,切换到ACS的安装目录下
增加华为私有属性:>CSUtil -addUDV 0 c:\h3c.ini (其中0 表示在0 位置,上图中共有0-9个位置)
列举现在的私有属性,出现Huawei私有属性
添加过服务器类型后,就来分别添加aaa客户端,与修改aaa服务器
整体效果图:
勾选华为的私有属性
组用户属性设置
设置radius服务器类型为huawei时,修改权限为管理权限,默认为access,访问权限
添加用户,
案例一、路由器
[Router]radius server 192.168.101.160 #radius服务器的ip地址
[Router]radius shared-key 123456 #验证的密钥对,应与ACS中设置的相同
[Router]aaa authentication-scheme login default radius #登录的用户默认到radius服务器上进行验证
[Router]aaa accounting-scheme optional #设置审计可选
案例二、交换机
[Quidway]radius scheme abc #方案名称abc
[Quidway-radius-abc]primary authentication 192.168.101.160 #服务器ip
[Quidway-radius-abc]server huawei #服务器类型
[Quidway-radius-abc]key authentication 123456 #密钥对
[Quidway-radius-abc]user-name without-domain #用户发送账号信息时不带域名
[Quidway-radius-abc]accounting optional #审计可选
[Quidway]domain system #使用默认域
[Quidway-isp-system]radius-scheme abc #指明方案
[Quidway-isp-system]access-limit enable 10 #允许最大的连接数量10
[Quidway]user-interface vty 0 4 #进入虚拟终端配置
[Quidway-ui-vty0-4]authentication-mode scheme #验证方式为账号
[Quidway-ui-vty0-4]protocol inbound all #允许进入的协议为all(ssh + telnet)
[Quidway]rsa local-key-pair create #创建密钥对
[Quidway]ssh user user1 authentication-type all [S2403H-EI]
[Quidway]ssh authentication-type default all [S2403H-HI]
[Quidway]super password simple 123 设置切换到管理员的密码,否则ssh用户登录后将无权限来管理交换机
当ssh登录,要将server-type 改为standard默认,也就是标准的,并且登录后其权限值也较低,
案例三、防火墙
[H3C]firewall zone trust
[H3C-zone-trust]add inter eth0/0 #加到信任域
[H3C]radius scheme abc #方案名称abc
[H3C-radius-abc]primary authentication 192.168.101.160
[H3C-radius-abc]server-type standard
[H3C-radius-abc]key authentication 123456
[H3C-radius-abc]accounting optional
[H3C-radius-abc]user without-domain
[H3C]domain system
[H3C-isp-system]radius-scheme abc
[H3C-isp-system]access-limit enab 10
[H3C-isp-system]accounting optional
[H3C]rsa local-key-pair create #创建密钥对
[H3C]ssh authentication-type default all #ssh的验证方式默认为所有方式
将进入0级别
可以先配置super 密码,切换到管理员级别
[H3C]super password level 3 simple 123 设置切换到管理员级别的密码
也可以自己创建域,然后将其设为默认域,
例:[H3C]domain default enable example
结束了,以后就不用再担心设备的账号难管理了
转载于:https://blog.51cto.com/colynn/1079932
借助acs来实现telnet、ssh的远程认证相关推荐
- 主机远程虚拟机linux,如何使用SSH来远程连接Linux虚拟主机?
这个不难,首先,Linux虚拟机需要开启ssh服务,接着你就可以借助xshell等软件利用ssh来远程连接Linux虚拟机了,下面我简单介绍一下实验过程,主要内容如下: 1.开启Linux虚拟机的ss ...
- 使用Telnet与ssh协议远程登录linux系统
一.计算机的登录 计算机终端设备通过输入用户账户标识和与之对应的口令的方式被计算机验证的过程. 终端的分类: 1)物理终端:计算机本身的控制台设备:通常将其标识为"pty",在现代 ...
- linux telnet远程登录工具,Linux 远程登录(telnet ssh)
Linux 远程登录(telnet ssh) telnet [root@rhel6 ~]# rpm -qa | grep telnet telnet-server-0.17-47.el6.x86_64 ...
- JTA(java telnet/ssh client)不能telnet/ssh远程机器问题与解决
最近公司在使用一个java ssh client(JTA http://javassh.org/space/start)来做为web页面中远程telnet/ssh机器的客户端,但是在使用jta提供的a ...
- 锐捷交换机Telnet/SSH 远程管理配置
锐捷交换机Telnet/SSH 远程管理配置 很久没有更新CSDN了 因为之前一段时间在找工作,好了废话不多说直接上图. 实验环境 有锐捷设备的真机最好使用真机进行配置,如果没有真机的朋友,可以使用锐 ...
- H3C 远程登陆 telnet ssh 访问web
H3C 远程登陆 telnet ssh 访问web Telnet SSH H3C交换机web界面配置 Telnet 客户要求:路由器R1可以通过telnet访问路由器R2 用户名:xuyue 密码:a ...
- 捷讯技术分享SSH 无法远程登录问题的处理办法汇总
前面小编给大家分享过云服务器和虚拟主机的区别,那么我们就会发现虚拟主机是不支持远程登录的.所以购买云服务器 ECS(后续简称 ECS)Linux 服务器后,就会面临如何登录和使用的问题.而由于服务器在 ...
- ssh 安全远程管理
文章目录 一.什么是ssh 二.ssh的登录验证模式 2.1 账户密码验证: 2.2 密钥对验证: 三.配置ssh服务 3.1 环境准备 3.2 用户密码验证 3.3 密钥对验证 3.4 禁止使用密码 ...
- java ssh文件下载_Java使用SSH从远程服务器下载文件
前言 Telnet.FTP.POP3在网络传输的过程中都是采用明文,容易被监听或者遭到到man-in-the-middle的攻击方式攻击.而SSH为远程登陆会话和其他的网络服务提供安全协议,通过加密数 ...
最新文章
- 关于mysql的调优
- nginx的请求接收流程(二)
- ORA-00972: identifier is too long问题解决
- H G W S哪一个不是状态函数_HAWE哈威BVH11H/M/S/2-X24换向阀
- servlet 同版本对应的Tomcat版本 ,不同版本的web.xml写法
- 用MFC消息映射机制自定义消息
- 博文视点大讲堂第33期——如何让你既能干得漂亮又说得清楚?
- ORACLE EXP/IMP的使用详解 (解决9i(window)导入到10G的乱码问题)
- 利用二层端口安全防止两个三层交换机长距离光纤线路被乱接测试
- 【TiChoo资讯站】
- 函数数列极限求法总结
- 如何成为优秀的管理者?(摘自《代码之道》第9章)
- 有关大学计算机基础考试的试题,大学计算机基础考试试题
- Unity3D C#数学系列之创建圆柱体
- 使用Elasticsearch和Kibana挖掘邮箱
- SDK manger中只有几个配置????
- centos 8.0 安装nginx
- 在线制作简易业务流程图
- 禁用Ctrl+Alt+Del最有效的方法
- 沐圣moolsun:做真正的民族品牌