公司买了一套RSA Securid,于是乎就想想华为的路由器和交换机也加入RSA来进行密码登陆管理。可是网上却没有相关的资料,在与华为和RSA厂家的配合下,一起完成了这个工作。
好东西当然要拿出来与大家分享。那下面就把配置方法和说明介绍给大家,希望有所帮助。
华为的路由器和交换机想通过RSA Securid来实现认证登陆,必须采用配置radius的方式来实现
举例:
radius nas-ip XXX.XXX.XXX.XXX
radius scheme system
primary authentication YYY.YYY.YYY.YYY 1645
secondary authentication ZZZ.ZZZ.ZZZ.ZZZ 1645
accounting optional
key authentication huawei
user-name-format without-domain
domain system
scheme radius-scheme system
vlan-assignment-mode integer
access-limit disable
state active
idle-cut disable
self-service-url disable
domain default enable system
user-interface vty 0 4
authentication-mode scheme
说明:
radius nas-ip XXX.XXX.XXX.XXX {配置本机RADIUS服务器的相关参数,nas-ip用来配置接入服务器的IP地址,key用来配置登录用户的密码}
radius scheme system {指定当前ISP域引用的RADIUS服务器组。此处RADIUS服务器组名为“system”}
server-type huawei {配置指定用户的服务类型}
primary authentication 127.0.0.1 1645 {配置主RADIUS认证/授权的IP地址和端口号,目前环境没有AAA服务器}
primary accounting 127.0.0.1 1646 {配置主RADIUS计费服务器的IP地址和端口号}
user-name-format without-domain {配置发送给RADIUS服务器的用户名格式。指定发送给RADIUS服务器的用户名不带域名}
domain system {创建一个ISP域,缺省情况下,系统中已创建了一个名为“system”的ISP域。ISP域即ISP用户群,一个ISP域即是由同属于一个 ISP的用户构成的用户群。引入ISP域的设置是为了支持多ISP的应用环境:在这种环境中,同一个接入设备接入的有可能是不同ISP的用户。由于各 ISP用户的用户属性(例如用户名及密码构成、服务类型/权限等)有可能各不相同,因此有必要通过设置ISP域的方法把它们区别开。在ISP域视图下,可以为每个ISP域配置包括AAA策略(使用的RADIUS服务器组等)在内的一整套单独的ISP域属性。对于交换机来说,每个接入用户都属于一个ISP 域。系统中最多可以配置16个ISP域。}
radius-scheme system
access-limit disable {表示不对当前ISP域可容纳的接入用户数作限制}
state active {指定当前ISP域/当前用户处于活动状态,即系统允许该域下的用户/当前用户请求网络服务}
idle-cut disable {配置当前ISP域下的用户模板,表示禁止用户启用闲置切断功能}
self-service-url disable
messenger time disable
domain default enable system
必须在user-interface vty 0 4中设置认证模式设备为"scheme",不同型号具体参数略有不同。
authentication-mode scheme
举例:
radius nas-ip XXX.XXX.XXX.XXX
radius scheme system
primary authentication YYY.YYY.YYY.YYY 1645
secondary authentication ZZZ.ZZZ.ZZZ.ZZZ 1645
accounting optional
key authentication huawei
user-name-format without-domain
domain system
scheme radius-scheme system
vlan-assignment-mode integer
access-limit disable
state active
idle-cut disable
self-service-url disable
domain default enable system
user-interface vty 0 4
authentication-mode scheme
说明:
radius nas-ip XXX.XXX.XXX.XXX {配置本机RADIUS服务器的相关参数,nas-ip用来配置接入服务器的IP地址,key用来配置登录用户的密码}
radius scheme system {指定当前ISP域引用的RADIUS服务器组。此处RADIUS服务器组名为“system”}
server-type huawei {配置指定用户的服务类型}
primary authentication 127.0.0.1 1645 {配置主RADIUS认证/授权的IP地址和端口号,目前环境没有AAA服务器}
primary accounting 127.0.0.1 1646 {配置主RADIUS计费服务器的IP地址和端口号}
user-name-format without-domain {配置发送给RADIUS服务器的用户名格式。指定发送给RADIUS服务器的用户名不带域名}
domain system {创建一个ISP域,缺省情况下,系统中已创建了一个名为“system”的ISP域。ISP域即ISP用户群,一个ISP域即是由同属于一个 ISP的用户构成的用户群。引入ISP域的设置是为了支持多ISP的应用环境:在这种环境中,同一个接入设备接入的有可能是不同ISP的用户。由于各 ISP用户的用户属性(例如用户名及密码构成、服务类型/权限等)有可能各不相同,因此有必要通过设置ISP域的方法把它们区别开。在ISP域视图下,可以为每个ISP域配置包括AAA策略(使用的RADIUS服务器组等)在内的一整套单独的ISP域属性。对于交换机来说,每个接入用户都属于一个ISP 域。系统中最多可以配置16个ISP域。}
radius-scheme system
access-limit disable {表示不对当前ISP域可容纳的接入用户数作限制}
state active {指定当前ISP域/当前用户处于活动状态,即系统允许该域下的用户/当前用户请求网络服务}
idle-cut disable {配置当前ISP域下的用户模板,表示禁止用户启用闲置切断功能}
self-service-url disable
messenger time disable
domain default enable system
必须在user-interface vty 0 4中设置认证模式设备为"scheme",不同型号具体参数略有不同。
authentication-mode scheme
本文转自小侠唐在飞 51CTO博客,原文链接:http://blog.51cto.com/xiaoxia/61433
,如需转载请自行联系原作者
