Windows下ACS服务器认证（telnet+ssh）[h3c交换机]

示意图：

要求：客户机使用服务器端配置的账号登录交换机

（实现集中认证，把所有账号都放在服务器端）

目的：对ACS服务器的认证有所了解！

一、windows server 2003的配置

1.虚拟机内存调大点，以免软件运行不起来！

2.前提工作：（需要的软件及参考文件）

3.搭建JAVA虚拟机平台（安装默认即可）

4.安装ACS服务器(默认设置省略)

输入123abc12

需要把安全级别降低，否则点击桌面 进不到这个界面！

5.ACS 服务器的配置：

h3c.ini 内容：

[User Defined Vendor]

Name=Huawei

IETF Code=2011

VSA 29=hw_Exec_Privilege

[hw_Exec_Privilege]

Type=INTEGER

Profile=IN OUT

Enums=hw_Exec_Privilege-Values

[hw_Exec_Privilege-Values]

0=Access

1=Monitor

2=Manager

3=Administrator

组设置：不能是默认组!

使用H3C的私有属性

二、交换机配置：

<Quidway>system-view

System View: return to User View with Ctrl+Z. 
[Quidway]dis version 
Huawei Versatile Routing Platform Software. 
VRP software, Version V3.10, Release 0010 
Copyright(c) 1998-2006 Huawei Technologies Co., Ltd. All rights reserved. 
Quidway S2403H-HI uptime is 0 week, 0 day, 0 hour, 5 minutes

Quidway S2403H-HI with 1 Processor 
64M     bytes SDRAM 
8M      bytes Flash Memory 
Config Register points to FLASH

Hardware Version is VER.C 
Bootrom Version is 399 
[Subslot 0] 24FE         Hardware Version is VER.C

[Quidway]sysname sw1

1.创建方案：

[sw1]radius scheme gjp 
New Radius scheme 
[sw1-radius-gjp]key authentication 123456 //双方要一致 
[sw1-radius-gjp]server-type ? 
  huawei    Server based on HUAWEI RADIUS extensions 
  standard  Server based on RFC protocol(s)

[sw1-radius-gjp]server-type huawei 
[sw1-radius-gjp]user-name-format ? 
  with-domain     XXX@XXX 
  without-domain  XXX

[sw1-radius-gjp]user-name-format without-domain 
[sw1-radius-gjp]primary ? 
  accounting      Specify IP address of primary accounting RADIUS server 
  authentication  Specify IP address of primary authentication RADIUS server   
[sw1-radius-gjp]primary authentication ? 
  X.X.X.X  Any valid IP address

[sw1-radius-gjp]primary authentication 192.168.101.22

2.创建域

[sw1]domain gjp 
New Domain added. 
[sw1-isp-gjp]?     //仅仅保存常用的    
Isp view commands: 
  access-limit          Specify access limit of domain 
  accounting            Specify accounting scheme or Set optional mode 
  authentication        Specify authentication scheme 
  authorization         Specify authorization scheme  
  radius-scheme         Specify radius scheme    
[sw1-isp-gjp]radius-scheme ?  
  STRING<1-32>  Scheme name

[sw1-isp-gjp]radius-scheme gjp   // 引用方案 
[sw1-isp-gjp]access-limit enable 10 
[sw1-isp-gjp]account    
[sw1-isp-gjp]accounting ? 
  hwtacacs-scheme  Specify TACACS scheme 
  none             Specify none scheme 
  optional         Optional accounting mode 
  radius-scheme    Specify radius scheme

[sw1-isp-gjp]accounting optional

3.进入终端配置：

[sw1]user-interface vty 0 4    
[sw1-ui-vty0-4]authentication-mode ? 
  none      Login without checking 
  password  Use terminal interface password 
  scheme    Use RADIUS scheme

[sw1-ui-vty0-4]authentication-mode scheme

[sw1-ui-vty0-4]protocol inbound ? //尚未操作，仅供参考 
  all     All protocol 
  ssh     SSH protocol 
  telnet  Telnet protocol

[sw1]int Vlan-interface 1 
[sw1-Vlan-interface1]ip add 192.168.101.10 255.255.255.0

三、测试：

服务器端：

客户端：实机Windows 7

客户端上PING:

  ACS 服务器端成功日志文件打开！

3级别，证明使用了huawei的私有属性

[sw1]domain default enable gjp //设置默认域，输入不带域

在Reports and Activity中查看（默认只显示失败登录的人，必须开启成功日志登录）

故意登录失败账号查看：

[sw1]rsa local-key-pair  create

[sw1]ssh authentication-type default all

[sw1]radius scheme gjp

[sw1-radius-gjp]server-type standard

user-interface vty 0 4

protocol inbound all

默认级别为0（没有使用服务器上导入的华为私有属性）

ACS服务器端需修改：

本文转自 gjp0731 51CTO博客，原文链接:http://blog.51cto.com/guojiping/973508