LOGIN结合iMC TAM进行HWTACACS认证配置 --by hl.docx

LOGIN结合iMC_TAM进行HWTACACS认证配置_--by_hlLOGIN结合iMC TAM进行HWTACACS认证配置
一、组网需求:
对需要登录到设备上进行操作的终端用户进行认证、授权以及对终端用户执行的操作进行记录。设备作为HWTACACS的客户端,将用户名和密码发给HWTACACS服务器进行验证,用户验证通过并得到授权之后可以登录到设备上进行操作,,也不能进入设备进口下进行配置操作,即对”display current-configuration”和”interface”账户使用。对设备super密码也需要认证。
二、组网图:
说明:图中设备Switch采用H3C S5800-32C,Release 1211P03
iMC 服务器PLAT (E0202),TAM (E0303)
三、配置步骤:
设备之间基本网络互连配置略
接入交换机侧配置
# 创建HWTACACS方案hl
hwtacacs scheme hl
# ,认证端口号为49
primary authentication
# ,认证端口号为49
primary authorization
# ,认证端口号为49
primary accounting
# 配置与认证服务器交互报文时的共享密钥为h3c
key authentication simple h3c
key authorization simple h3c
key accounting simple h3c
# 创建ISP域hl。
domain hl
# 配置login用户登录认证方法为hl方案
authentication login hwtacacs-scheme hl
# 配置login用户登录授权方法为hl方案
authorization login hwtacacs-scheme hl
# 配置login用户登录计费方法为hl方案
accounting login hwtacacs-scheme hl
# 配置super认证方法为hl方案
authentication super hwtacacs-scheme hl
# 配置命令授权方法为hl方案
mand hwtacacs-scheme hl
# 配置命令统计方法为hl方案
mand hwtacacs-scheme hl
#
hwtacacs nas-ip
user-interface vty 0 15
#登陆方式认证为AAA
authentication-mode scheme
# 配置用户使用VTY用户界面登录设备时,需要服务器授权才能执行命令
command authorization
# 配置用户使用VTY 用户界面登录设备时,执行的命令需要在HWTACACS服务器上做记录。