【华为实验】AAA本地认证和hwtacacs配置并存的情况总结
来源:互联网 发布:netstat windows 编辑:程序博客网 时间:2024/06/06 20:27
实验说明:
在工作中遇到这么个情况,客户想要配置华为路由器ssh本地认证,怎么配置都登录不上,最后通过dis aaa online-fail-record命令看到报错说tacacs认证拒绝(在模拟器上不会提示是tacacs,只提示认证失败),查询才知之前设备上配有hwtacacs远i认证,客户也不知道,又说这个配置是“上面”配置的不能删,然后又想实现本地ssh认证,问我如何能实现?
实践验证:
通过模拟器反复试验,得出以下结论:
1.(只配置有hwtacacs的情况)只要配置有hwtacacs,即使tacacs serverIP随意配的,ssh登录的时候,也会进入到输账户密码的界面,然后登录失败;
2.(配置有hwtacacs+本地认证的情况)此时可以通过“本地认证配置”中添加的本地用户登录成功;
以下贴出结论2的相关配置:
hwtacacs-server template 1
hwtacacs-server authentication 1.1.1.1
hwtacacs-server shared-key cipher %$%$fHpGXni'UE~u+0)Uwio0k}]1%$%$
#
aaa
authentication-scheme default
authentication-scheme ssh
authentication-mode hwtacacs
authentication-scheme ssh1
authorization-scheme default
accounting-scheme default
domain default
domain default_admin
domain ssh
authentication-scheme ssh
domain ssh1
authentication-scheme ssh1
local-user ssh password cipher %$%$fG/PH~iA{BRFcAYq[;.Jk:HM%$%$
local-user ssh privilege level 2
local-user ssh service-type telnet ssh
local-user admin password cipher %$%$K8m.Nt84DZ}e#<0`8bmE3Uw}%$%$
local-user admin service-type http
ssh client first-time enable (从本地登录需要配置)
stelnet server enable
#
user-interface vty 0 4
authentication-mode aaa
protocol inbound all
请注意,如配置了hwtacacs,那么添加的本地认证也必须使用domain的方式来配置才会有效!
拓展:super命令提权的使用方式
说明:它的使用方法是,当通过ssh/telnet等方式登录设备时,若使用的用户level较低,需要提升权限时使用
配置:super 密码的配置命令有两条,如下
[Huawei]super password ?
cipher Display password with cipher text
level Specify the entering password ohe specified priority
[Huawei]super password cipher 654321 //这条命令优先级较低(即会被另一条覆盖)
[Huawei]super password level 3 ci 777777 //这条命令优先级较高
上面这两条只有有一条生效,第一条的意思是直接提权到level3时设置密码,第二条可以针对需要提升到某个Level设置密码(可配置多条),下面是提权命令(在系统视图下运行):
<Huawei>super
Password:
Now user privilege is level 3, and only those commands whose level is
equal to or less than this level can be used.
Privilege note: 0-VISIT, 1-MONITOR, 2-SYSTEM, 3-MANAGE
-----------------------------------------------------------------------------------------------------------
<Huawei>super 2
Password:
Now user privilege is level 2, and only those commands whose level is
equal to or less than this level can be used.
Privilege note: 0-VISIT, 1-MONITOR, 2-SYSTEM, 3-MANAGE
<Huawei>
以上内容均为个人原创发表,如有错误请指正,thanks.
网络技术交流群645026970
End.
- 【华为实验】AAA本地认证和hwtacacs配置并存的情况总结
- aaa认证配置
- 华为交换机AAA配置
- AAA认证TACAS+和RADIUS的比较
- AAA是Authentication(认证)配置
- AAA是Authentication(认证)配置
- 利用ACS实现AAA认证(华为+acs)
- AAA认证
- AAA服务器的配置
- 让AAA和local认证同时生效
- 基于AAA的Easy VPN实验
- AAA认证 - 3A认证
- AAA认证、授权、计费
- AAA认证、授权、计费
- ODL AAA认证加密
- H3C设备AAA和RADIUS协议配置
- yum本地源配置(断网的情况下)--linux
- 华为用户级别切换认证配置举例
- 密码生成
- 串的简单处理
- JAVA中StringBuffer类常用方法详解
- 猜算式
- system.out.printf()的使用方法
- 【华为实验】AAA本地认证和hwtacacs配置并存的情况总结
- C语言中qsort的基本用法
- ACM与Java
- 转 基于贪心算法求解TSP问题(JAVA)
- Excel地址转换
- RTL设计基础(一)
- 蓝桥杯试题 网络寻路 (构图+深搜)
- hdu1004 Let the Balloon Rise
- 6.括号问题