H3C设备通过ISE进行TACACS认证

组网拓扑,和上一节一样。

 

 配置步骤:

1、配置AC的TACACS方案

<H3C>dis cu | begin tacacs
hwtacacs scheme lcj
 primary authentication 10.22.2.96 key cipher $c$3$mLU1hCFVJnu8HXw9aR3sVU5mJcXT6nvL
 primary authorization 10.22.2.96 key cipher $c$3$ETPD6qiDayLpLJgb0f2uDwEykw0iyYe+
 primary accounting 10.22.2.96 key cipher $c$3$d/tFuOMkOGErl3oAHa6j5keOrDb8gFFl
 user-name-format without-domain
 nas-ip 10.22.2.94
#

注意without-domain很重要,否则发送的username携带domain,例如user1将会以user1@system发送,导致认证不通过(这里假设domain为system)

2、创建domain system

创建ISP域为system,为login用户配置认证方案为HWTACACS方案,方案名称为lcj;配置授权方案为HWTACACS方案,方案名称为lcj;配置计费方案为不计费;配置命令行授权方案为HWTACACS,方案名称为lcj;配置命令行计费方案为HWTACACS方案,方案名称为lcj

#
domain system
 authentication login hwtacacs-scheme lcj
 authorization login hwtacacs-scheme lcj
 accounting login none
 authorization command hwtacacs-scheme lcj
 accounting command hwtacacs-scheme lcj
#

3、开启ssh,创建RSA等密钥对

#
public-key local create rs
public-key local create dsa
ssh server enable
#

4、通过执行role default-role enable命令允许用户使用系统预定义的缺省用户角色登录设备,或根据需要在服务器上为该用户添加要授权的用户角色。

#
 role default-role enable
#

5、使能命令行授权功能、命令行审计功能。

#
line vty 0 31
 authentication-mode scheme
 user-role network-admin
 user-role network-operator
 command authorization
 command accounting
#

6、接下来就是在ISE上的配置,和前面思科的配置一样,这里就不过多的累述。

新加华三设备为NAD的时候,注意别选择传统的思科设备(Legacy Cisco device)

 

 

 

 然后就是给华三设备的TACACS command set和TACACS profile。

命令集中不允许它输入dis mem和dis ver命令。

 

 

接下来在Policy Set为华三设备配置授权策略,为了简单,直接选择条件为所有设备类型,不再配置其他的条件。

 

 

其他配置和前文中思科认证的一样。

接下来进行验证:

 

posted @ 2022-06-11 22:48  剪刀石头布Cheers  阅读(993)  评论(0编辑  收藏  举报