背景信息
用戶通過Telnet登錄設備時,設備上必須配置驗證方式,否則用戶無法成功登錄設備。設備支持不認證、密碼認證和AAA認證三種用戶界面的驗證方式,其中AAA認證方式安全性最高。
采用AAA本地認證方式實現用戶通過Telnet登錄設備的身份認證,設備上需要開啟Telnet服務,將用戶界面(以VTY用戶界面為例)的驗證方式設為aaa,同時在AAA視圖下創建本地用戶,配置該用戶的接入方式和用戶級別。
<HUAWEI> system-view
[HUAWEI] telnet server enable //開啟Telnet服務 [HUAWEI] user-interface maximum-vty 15 //配置VTY用戶界面的登錄用戶最大數目為15 [HUAWEI] user-interface vty 0 14 //進入0~14的VTY用戶界面視圖 [HUAWEI-ui-vty0-14] authentication-mode aaa //配置VTY用戶界面的驗證方式為aaa [HUAWEI-ui-vty0-14] protocol inbound telnet //配置VTY用戶界面支持的協議為Telnet,V200R006及之前版本缺省使用的協議為Telnet協議,可以不配置該項;V200R007及之后版本缺省使用的協議為SSH協議,必須配置。 [HUAWEI-ui-vty0-14] quit [HUAWEI] aaa [HUAWEI-aaa] local-user user1 password cipher Huawei@1234 //創建本地用戶user1並配置密碼 [HUAWEI-aaa] local-user user1 service-type telnet //配置本地用戶user1的接入類型為Telnet,該用戶只能使用Telnet方式登錄 [HUAWEI-aaa] local-user user1 privilege level 15 //配置本地用戶user1的用戶級別為15,該用戶登錄后可以執行0~15級的命令 [HUAWEI-aaa] quit
17.2 配置用戶級別
背景信息
用戶級別與命令級別相對應,用戶登錄設備后只能執行命令級別等於或低於自己用戶級別的命令,如用戶級別為2的用戶只能執行命令級別為0,1和2的命令。
用戶采用AAA本地認證方式登錄設備時,設備上必須配置該用戶的用戶級別,否則該用戶的用戶級別為0級(參觀級),即用戶登錄設備后只能執行命令級別為0的命令:ping、tracert等網絡診斷工具命令。
如果希望該用戶登錄設備后可以執行命令級別更高的命令,如監控級、配置級或管理級的命令,用戶必須具有更高的用戶級別。
當用戶的認證方式為AAA本地認證時,可以采用以下方式配置用戶級別,優先級由上到下依次降低:
- 配置某個用戶的用戶級別。
<HUAWEI> system-view [HUAWEI] aaa [HUAWEI-aaa] local-user user1 privilege level 15 //配置用戶user1的用戶級別為15 - 配置某個域下所有用戶的用戶級別。
<HUAWEI> system-view [HUAWEI] aaa [HUAWEI-aaa] service-scheme sch1 [HUAWEI-aaa-service-sch1] admin-user privilege level 15 //配置某個域下所有用戶的用戶級別為15 - 配置從某個用戶界面登錄的所有用戶的用戶級別(以VTY用戶界面為例)。
<HUAWEI> system-view [HUAWEI] user-interface maximum-vty 15 [HUAWEI] user-interface vty 0 14 [HUAWEI-ui-vty0-14] user privilege level 15 //配置VTY 0~VTY 14用戶界面下用戶級別為15
17.3 配置全局默認域
對於某部門用戶,管理員規划其在域“huawei”中進行認證。由於用戶認證時提供的用戶名經常為不帶域名格式,譬如“zhangsan”,這樣就導致接入設備無法將用戶名上送到在“huawei”域中配置的AAA服務器上進行認證,用戶無法通過認證。針對這種情況,可將全局默認域配置為“huawei”。
<HUAWEI> system-view
[HUAWEI] aaa [HUAWEI-aaa] domain huawei [HUAWEI-aaa-domain-huawei] quit [HUAWEI-aaa] quit [HUAWEI] domain huawei