HCIE
当前位置:网站首页>HCIE
华为交换机和路由器如何配置radius来实现RSA Securid的认证使用
发布日期:2019-03-12 09:18:58 发布者:
    公司买了一套RSA Securid,于是乎就想想华为的路由器和交换机也加入RSA来进行密码登陆管理。可是网上却没有相关的资料,在与华为和RSA厂家的配合下,一起完成了这个工作。
    好东西当然要拿出来与大家分享。那下面就把配置方法和说明介绍给大家,希望有所帮助。
    华为的路由器和交换机想通过RSA Securid来实现认证登陆,必须采用配置radius的方式来实现
    举例:
    radius nas-ip XXX.XXX.XXX.XXX
    radius scheme system
    primary authentication YYY.YYY.YYY.YYY 1645
    secondary authentication ZZZ.ZZZ.ZZZ.ZZZ 1645
    accounting optional
    key authentication huawei
    user-name-format without-domain
    domain system
    scheme radius-scheme system
    vlan-assignment-mode integer
    access-limit disable
    state active
    idle-cut disable
    self-service-url disable
    domain default enable system
    user-interface vty 0 4
    authentication-mode scheme
    说明:
    radius nas-ip XXX.XXX.XXX.XXX {配置本机RADIUS服务器的相关参数,nas-ip用来配置接入服务器的IP地址,key用来配置登录用户的密码}
    radius scheme system {指定当前ISP域引用的RADIUS服务器组。此处RADIUS服务器组名为“system”}
    server-type huawei {配置指定用户的服务类型}
    primary authentication 127.0.0.1 1645 {配置主RADIUS认证/授权的IP地址和端口号,目前环境没有AAA服务器}
    primary accounting 127.0.0.1 1646 {配置主RADIUS计费服务器的IP地址和端口号}
    user-name-format without-domain {配置发送给RADIUS服务器的用户名格式。指定发送给RADIUS服务器的用户名不带域名}
    domain system {创建一个ISP域,缺省情况下,系统中已创建了一个名为“system”的ISP域。ISP域即ISP用户群,一个ISP域即是由同属于一个 ISP的用户构成的用户群。引入ISP域的设置是为了支持多ISP的应用环境:在这种环境中,同一个接入设备接入的有可能是不同ISP的用户。由于各 ISP用户的用户属性(例如用户名及密码构成、服务类型/权限等)有可能各不相同,因此有必要通过设置ISP域的方法把它们区别开。在ISP域视图下,可以为每个ISP域配置包括AAA策略(使用的RADIUS服务器组等)在内的一整套单独的ISP域属性。对于交换机来说,每个接入用户都属于一个ISP 域。系统中最多可以配置16个ISP域。}
    radius-scheme system
    access-limit disable {表示不对当前ISP域可容纳的接入用户数作限制}
    state active {指定当前ISP域/当前用户处于活动状态,即系统允许该域下的用户/当前用户请求网络服务}
    idle-cut disable {配置当前ISP域下的用户模板,表示禁止用户启用闲置切断功能}
    self-service-url disable
    messenger time disable
    domain default enable system
    必须在user-interface vty 0 4中设置认证模式设备为"scheme",不同型号具体参数略有不同。
    authentication-mode scheme

微信