Huawei_VRP_用户管理与AAA
引子
和同学一块做项目,让同事配置一个AAA认证,结果好长时间没搞好,后来一看配置的命令如上图所示,同学在那里用console线在慢慢敲,上面有很多没必要的配置,我想到同学是刚毕业的,也就没说啥,心里暗想:“这小子在学校肯定没好好学”。后来,我跟一些公司里面的老员工一块做项目,发现他们也这么配置,到后来发现公司的培训文档里面也这么写……,离谱!行家一出手,就知有没有,写培训文档那哥们水平真是不咋的!
AAA
| 名字 | 通俗解释 |
|---|---|
| Authentication认证 | 其实就是用户名和密码 |
| Authorization授权 | 赋予什么权限,可区分开普通用户和特权用户 |
| Accounting审计 | 记录,类似生活中的摄像头,记录日志 |
AAA并不是刚需,用本地账号也可以实现认证和授权,那什么要有AAA?
AAA可以是一个虚拟模块,也可以是一台提供AAA服务的服务器,将用户名和密码进行集中存储、授权、审计,这有点类似于windows AD域的概念,所有的用户都存储在LDAP数据库当中,当你企业里面购买了禅道、SSLVPN、云桌面等应用的时候,你本地不用再创建账号了,大家都来读取windowsAD域的账号,实现了,用户创建了一份,但到处可以调用。
应用场景:
-
如果说公司内的业务少、应用少、人员少,要啥自行车;
-
如果说你的公司跨分支、人员少、应用多,人员和权限经常变化,那必须得搞一个这玩意。
NAAS与AAA服务之间两个通讯协议:
- RADIUS(公有)TCP
- TACACS+(思科私有)UDP
华为设备登录管理
| 认证模式 | 描述 |
|---|---|
| AAA | 登录时需要用户名和密码 |
| Password | 登录时只需要密码 |
解释:
在网络设备当中,终端分为两种:console和vty两种,本地登录是console的方式,vty则是通过telnet和ssh连接时分配的虚拟终端。
其实很简单,当我们通过ssh、或是ssh登录系统的时候,系统会给我们分配VTY虚拟终端,虚拟终端有两种选择,选择本地用户认证或是AAA认证。
如果我们使用password模式认证方式,意味着你将要使用本地验证,你需要在虚拟终端内部设置密码和权限连接的时候要求输入设置好的终端密码才能正常使用,注意,你在终端内部设置的终端密码,所以不需要用户名,如果需要aaa这种用户名+密码的认证验证,只能加跳转,跳转到aaa模块。
虚拟终端不支持aaa验证,aaa验证是一个大的模块,它不存在于终端上,而是自己单独一个模块,但好在可以被虚拟终端进行调用,你可以告诉虚拟终端,当用户来连接你的时候,你的用户验证和权限授权交给aaa模块去验证,虚拟终端本身不再负责验证用户名和密码。
| 命令 | 备注 |
|---|---|
| telnet server enable | 启动telnet |
| display telnet server status | dis tcp status | 验证telnet |
| user-interface vty 0 4 authtication-mode password/aaa set authtication password cipher huawei user privilege level 15 user-interface maximum-vty 15 |
进入虚拟终端vty配置模式 配置认证模式 配置认证密码 配置用户级别 配置最大VTY的会话数量 |
| aaa local-user zhangsan password cipher huawei local-user zhangsan privilege level 15 local-user zhangsan service-type telnet |
进入AAA配置模式 设置用户和密码 配置用户级别 配置用户可用服务 |
在全局是启动ssh或telnet这种进程,而在password认证方式和aaa认证方式当中是用户可以使用哪种方式进行登录,后者要依赖于前者。
# Password 认证方式快速配置 通过AR220演示
dis version
sys
telnet server enable
user-interface vty 0 4
authentication-mode password
set authentication password cipher Passworda1!
user privilege level 15
protocol inbound telnet
# aaa 认证方式快速配置 通过AR220演示
dis version
sys
telnet server enable
user-interface vty 0 4
authentication-mode password
aaa
local-user zhangsan password cipher Passworda1!
local-user zhangsan privilege level 15
local-user zhangsan service-type telnet
# 进入系统视图,并开启Telnet服务。
<H3C> system
[H3C] telnet server enable
# 配置VTY接口认证模式为scheme模式(用户名+密码认证)。
[H3C] line vty 0 4
[H3C-line-vty0-4] authentication-mode scheme
[H3C-line-vty0-4] quit
# 创建本地账号abc,密码为123456,授权用户角色为network-admin。
[H3C] local-user abc
[H3C-luser-manage-abc] password simple 123456
[H3C-luser-manage-abc] service-type telnet
[H3C-luser-manage-abc] authorization-attribute user-role network-admin
[H3C-luser-manage-abc] quit
# 保存配置。
[H3C] save
Configuration is saved to device successfully.
小案例
新同事
公司新来一个同事,想要一个账号去项目上的设备熟悉熟悉配置,我们可以给他创建一个权限很小的用户,只能看的那种,然后给他让他登录就行了呀!
[Huawei-aaa]local-user new_user password cipher Passworda1!
[Huawei-aaa]local-user new_user privilege level 1
[Huawei-aaa]local-user new_user service-type telnet
CE12800
<HUAWEI>system-view im
<HUAWEI>system-view immediately
Enter system view, return user view with return command.
[HUAWEI]sysn CE12800
[CE12800]dis tcp status
0x80C82721 1 0.0.0.0:23 0.0.0.0:0 LISTEN -
# Telnet
system-view immediately
undo telnet server disable
user-interface vty 0 4
authentication-mode password
set authentication password cipher Passworda1!
protocol inbound telnet
user privilege level 3
int GE 1/0/1
undo portswitch
undo shutdown
ip add 192.168.80.101 24
# AAA-telnet
system-view immediately
undo telnet server disable
user-interface vty 0 4
authentication-mode aaa
quit
aaa
local-user zhangsan password cipher Passworda1!
local-user zhangsan level 3
local-user zhangsan service-type telnet
# AAA-SSH
system-view immediately
telnet server disable
stelnet server enable
user-interface vty 0 4
authentication-mode aaa
quit
aaa
local-user zhangsan password cipher Passworda1!
local-user zhangsan level 3
local-user zhangsan service-type ssh
int GE 1/0/1
undo portswitch
undo shutdown
ip add 192.168.80.101 24
