组网拓扑,和上一节一样。
配置步骤:
1、配置AC的TACACS方案
<H3C>dis cu | begin tacacs hwtacacs scheme lcj primary authentication 10.22.2.96 key cipher $c$3$mLU1hCFVJnu8HXw9aR3sVU5mJcXT6nvL primary authorization 10.22.2.96 key cipher $c$3$ETPD6qiDayLpLJgb0f2uDwEykw0iyYe+ primary accounting 10.22.2.96 key cipher $c$3$d/tFuOMkOGErl3oAHa6j5keOrDb8gFFl user-name-format without-domain nas-ip 10.22.2.94 #
注意without-domain很重要,否则发送的username携带domain,例如user1将会以user1@system发送,导致认证不通过(这里假设domain为system)
2、创建domain system
创建ISP域为system,为login用户配置认证方案为HWTACACS方案,方案名称为lcj;配置授权方案为HWTACACS方案,方案名称为lcj;配置计费方案为不计费;配置命令行授权方案为HWTACACS,方案名称为lcj;配置命令行计费方案为HWTACACS方案,方案名称为lcj
# domain system authentication login hwtacacs-scheme lcj authorization login hwtacacs-scheme lcj accounting login none authorization command hwtacacs-scheme lcj accounting command hwtacacs-scheme lcj #
3、开启ssh,创建RSA等密钥对
# public-key local create rs public-key local create dsa ssh server enable #
4、通过执行role default-role enable命令允许用户使用系统预定义的缺省用户角色登录设备,或根据需要在服务器上为该用户添加要授权的用户角色。
# role default-role enable #
5、使能命令行授权功能、命令行审计功能。
# line vty 0 31 authentication-mode scheme user-role network-admin user-role network-operator command authorization command accounting #
6、接下来就是在ISE上的配置,和前面思科的配置一样,这里就不过多的累述。
新加华三设备为NAD的时候,注意别选择传统的思科设备(Legacy Cisco device)
然后就是给华三设备的TACACS command set和TACACS profile。
命令集中不允许它输入dis mem和dis ver命令。
接下来在Policy Set为华三设备配置授权策略,为了简单,直接选择条件为所有设备类型,不再配置其他的条件。
其他配置和前文中思科认证的一样。
接下来进行验证:
