借助acs来实现telnet、ssh的远程认证

 

   引言：交换机、防火墙、路由器的远程管理telnet、ssh是不错的管理方式，但其账号的安全就成为了一种必须考虑的问题，下面我们就来通过aaa服务器来统一管理账号，并可以实现对网络设备的管理

实验拓扑：

实验要求：

   借助aaa服务器实现对交换机、防火墙、路由器telnet、ssh用户的远端认证

实验配置：

1、cisco-acs4.0安装

cisco-4.0依赖java环境，要先安装jdk，

选择ACCEPT，

选择四个复选框，查看是否满足要求：

a.终端用户能够连接上AAAclient（设备）

b.AAA客户端能够ping 通该ACS软件所在服务器

c.所有的AAA客户端运行的系统版本要在11.1 （包括11.1）以上

d.ACS所在服务器上的浏览器版本要求IE v6.0 sp1或者网警浏览器v7.02以上

设置安装路径

高级选项的选择，可根据需要选择；

安装完成后，发现打开桌面上的ACS admin页面是空白的，应修改Internet选项下的安全级别，

调为中低就可以，

安全级别调低后，就可以正常访问了

默认情况下，acs并没有华为设备的服务器类型，只能选用Radius（IETF）,自适应类型，故下面可以自己添加huawei设备的服务器类型，

[User Defined Vendor]

Name=Huawei

IETF Code=2011

VSA 29=hw_Exec_Privilege

[hw_Exec_Privilege]

Type=INTEGER

Profile=IN OUT

Enums=hw_Exec_Privilege-Values

[hw_Exec_Privilege-Values]

0=Access

1=Monitor

2=Manager

3=Administrator

[Encryption-Type]

1=1

2=2

3=3

[Ftp_Directory]

Type=STRING

Profile=OUT

将上面文字另存为h3c.ini 可以放在根目录下，方面添加

打开命令行，切换到ACS的安装目录下

增加华为私有属性：>CSUtil -addUDV 0 c:\h3c.ini （其中0 表示在0 位置，上图中共有0-9个位置）

列举现在的私有属性，出现Huawei私有属性

添加过服务器类型后，就来分别添加aaa客户端，与修改aaa服务器

整体效果图：

勾选华为的私有属性

组用户属性设置

设置radius服务器类型为huawei时，修改权限为管理权限，默认为access，访问权限

添加用户，

案例一、路由器

[Router]radius server 192.168.101.160   #radius服务器的ip地址

[Router]radius shared-key 123456       #验证的密钥对，应与ACS中设置的相同

[Router]aaa authentication-scheme login default radius   #登录的用户默认到radius服务器上进行验证

[Router]aaa accounting-scheme optional   #设置审计可选

案例二、交换机

[Quidway]radius scheme  abc       #方案名称abc

[Quidway-radius-abc]primary authentication 192.168.101.160   #服务器ip

[Quidway-radius-abc]server huawei              #服务器类型

[Quidway-radius-abc]key authentication 123456    #密钥对

[Quidway-radius-abc]user-name without-domain  #用户发送账号信息时不带域名

[Quidway-radius-abc]accounting  optional       #审计可选

[Quidway]domain system                    #使用默认域

[Quidway-isp-system]radius-scheme  abc      #指明方案

[Quidway-isp-system]access-limit enable 10     #允许最大的连接数量10

[Quidway]user-interface vty 0 4                #进入虚拟终端配置

[Quidway-ui-vty0-4]authentication-mode scheme  #验证方式为账号 

[Quidway-ui-vty0-4]protocol inbound  all   #允许进入的协议为all（ssh + telnet）

[Quidway]rsa local-key-pair create          #创建密钥对

[Quidway]ssh user user1 authentication-type all   [S2403H-EI]

[Quidway]ssh authentication-type default all   [S2403H-HI] 

[Quidway]super password  simple 123   设置切换到管理员的密码，否则ssh用户登录后将无权限来管理交换机 

当ssh登录，要将server-type 改为standard默认，也就是标准的，并且登录后其权限值也较低，

案例三、防火墙

[H3C]firewall zone trust 

[H3C-zone-trust]add inter eth0/0    #加到信任域

[H3C]radius scheme  abc          #方案名称abc

[H3C-radius-abc]primary  authentication  192.168.101.160

[H3C-radius-abc]server-type standard

[H3C-radius-abc]key authentication 123456

[H3C-radius-abc]accounting optional 

[H3C-radius-abc]user without-domain

[H3C]domain system

[H3C-isp-system]radius-scheme abc

[H3C-isp-system]access-limit enab 10

[H3C-isp-system]accounting optional

[H3C]rsa local-key-pair create          #创建密钥对

[H3C]ssh authentication-type default all    #ssh的验证方式默认为所有方式 
将进入0级别 
可以先配置super 密码，切换到管理员级别 
[H3C]super password level 3 simple 123 设置切换到管理员级别的密码

也可以自己创建域，然后将其设为默认域，

例：[H3C]domain default enable example

结束了，以后就不用再担心设备的账号难管理了