【华为实验】AAA本地认证和hwtacacs配置并存的情况总结

实验说明：

在工作中遇到这么个情况，客户想要配置华为路由器ssh本地认证，怎么配置都登录不上，最后通过dis aaa online-fail-record命令看到报错说tacacs认证拒绝（在模拟器上不会提示是tacacs，只提示认证失败），查询才知之前设备上配有hwtacacs远i认证，客户也不知道，又说这个配置是“上面”配置的不能删，然后又想实现本地ssh认证，问我如何能实现？

实践验证：
通过模拟器反复试验，得出以下结论：

1.（只配置有hwtacacs的情况）只要配置有hwtacacs，即使tacacs serverIP随意配的，ssh登录的时候，也会进入到输账户密码的界面，然后登录失败；

2.（配置有hwtacacs+本地认证的情况）此时可以通过“本地认证配置”中添加的本地用户登录成功；

以下贴出结论2的相关配置：
hwtacacs-server template 1
 hwtacacs-server authentication 1.1.1.1
 hwtacacs-server shared-key cipher %$%$fHpGXni'UE~u+0)Uwio0k}]1%$%$
#
aaa 
 authentication-scheme default
 authentication-scheme ssh
  authentication-mode hwtacacs
 authentication-scheme ssh1
 authorization-scheme default
 accounting-scheme default
 domain default 
 domain default_admin 
 domain ssh  
  authentication-scheme ssh
 domain ssh1  
  authentication-scheme ssh1
 local-user ssh password cipher %$%$fG/PH~iA{BRFcAYq[;.Jk:HM%$%$
 local-user ssh privilege level 2
 local-user ssh service-type telnet ssh
 local-user admin password cipher %$%$K8m.Nt84DZ}e#<0`8bmE3Uw}%$%$
 local-user admin service-type http

 ssh client first-time enable （从本地登录需要配置）
 stelnet server enable 
#
user-interface vty 0 4
 authentication-mode aaa
 protocol inbound all

请注意，如配置了hwtacacs,那么添加的本地认证也必须使用domain的方式来配置才会有效！

拓展：super命令提权的使用方式

   说明：它的使用方法是，当通过ssh/telnet等方式登录设备时，若使用的用户level较低，需要提升权限时使用

配置：super 密码的配置命令有两条，如下

[Huawei]super password ?
  cipher  Display password with cipher text
  level   Specify the entering password ohe specified priority

[Huawei]super password cipher 654321  //这条命令优先级较低（即会被另一条覆盖）

[Huawei]super password level 3 ci 777777 //这条命令优先级较高

上面这两条只有有一条生效，第一条的意思是直接提权到level3时设置密码，第二条可以针对需要提升到某个Level设置密码（可配置多条），下面是提权命令（在系统视图下运行）：

<Huawei>super 
  Password: 
  Now user privilege is level 3, and only those commands whose level is
  equal to or less than this level can be used.
  Privilege note: 0-VISIT, 1-MONITOR, 2-SYSTEM, 3-MANAGE

-----------------------------------------------------------------------------------------------------------

<Huawei>super 2
  Password: 
  Now user privilege is level 2, and only those commands whose level is
  equal to or less than this level can be used.
  Privilege note: 0-VISIT, 1-MONITOR, 2-SYSTEM, 3-MANAGE
<Huawei>

以上内容均为个人原创发表，如有错误请指正，thanks.

网络技术交流群645026970

End.