H3C设备通过ISE进行TACACS认证

已于 2024-10-10 20:03:33 修改
阅读量197 收藏
点赞数
分类专栏: ISE 设备管理 文章标签: 网络
于 2022-06-11 22:48:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_22763255/article/details/133009151
版权

组网拓扑,和上一节一样。

 配置步骤:

1、配置AC的TACACS方案

<H3C>dis cu | begin tacacs
hwtacacs scheme lcj
 primary authentication 10.22.2.96 key cipher $c$3$mLU1hCFVJnu8HXw9aR3sVU5mJcXT6nvL
 primary authorization 10.22.2.96 key cipher $c$3$ETPD6qiDayLpLJgb0f2uDwEykw0iyYe+
 primary accounting 10.22.2.96 key cipher $c$3$d/tFuOMkOGErl3oAHa6j5keOrDb8gFFl
 user-name-format without-domain
 nas-ip 10.22.2.94
#

注意without-domain很重要,否则发送的username携带domain,例如user1将会以user1@system发送,导致认证不通过(这里假设domain为system)

2、创建domain system

创建ISP域为system,为login用户配置认证方案为HWTACACS方案,方案名称为lcj;配置授权方案为HWTACACS方案,方案名称为lcj;配置计费方案为不计费;配置命令行授权方案为HWTACACS,方案名称为lcj;配置命令行计费方案为HWTACACS方案,方案名称为lcj

#
domain system
 authentication login hwtacacs-scheme lcj
 authorization login hwtacacs-scheme lcj
 accounting login none
 authorization command hwtacacs-scheme lcj
 accounting command hwtacacs-scheme lcj
#

3、开启ssh,创建RSA等密钥对

#
public-key local create rs
public-key local create dsa
ssh server enable
#

4、通过执行role default-role enable命令允许用户使用系统预定义的缺省用户角色登录设备,或根据需要在服务器上为该用户添加要授权的用户角色。

#
 role default-role enable
#

5、使能命令行授权功能、命令行审计功能。

#
line vty 0 31
 authentication-mode scheme
 user-role network-admin
 user-role network-operator
 command authorization
 command accounting
#

6、接下来就是在ISE上的配置,和前面思科的配置一样,这里就不过多的累述。

新加华三设备为NAD的时候,注意别选择传统的思科设备(Legacy Cisco device)

 然后就是给华三设备的TACACS command set和TACACS profile。

命令集中不允许它输入dis mem和dis ver命令。

接下来在Policy Set为华三设备配置授权策略,为了简单,直接选择条件为所有设备类型,不再配置其他的条件。

其他配置和前文中思科认证的一样。

接下来进行验证:

剪刀石头布Cheers
关注
专栏目录
H3C、Huawei、Cisco网络设备AAA TACACS认证配置白皮书
xiulei7182的博客
12-15 7798
TACACS技术白皮书 摘要:TACACS是实现AAA功能的一种安全协议,主要是通过TACACS客户端与TACACS服务器通信来实现多种用户的AAA功能。 HWTACACS采用TCP协议承载报文,TCP端口号是49。 H3C  hwtacacs scheme device-tacacs                        //配置radius scheme  primary au...
思科、华为、华三、锐捷的3A tacacs配置
dfggggg的博客
05-03 3784
思科: aaa new-model aaa group server tacacs+ tacacs-group(指定3A服务器组)  server name ise1  server name ise2 aaa authentication login conlogin local(串口用本地密码验证) (下面设置3A模板,模板名用默认default,绑定tacacs-group组) aaa authentication login default group tacacs-group local aaa
H3C配置AAA、RADIUS和TACACS
05-29
H3C配置AAA、RADIUS和TACACS
Cisco/Ruijie/H3C/华为 AAA认证配置( Tacacs+、Radius)
wailaizhu的博客
07-12 1万+
Cisco 配置步骤 Cisco Tacacs+测试 1、配置Tacacs+服务和认证授权方式 (config)#aaa new-model (config)#aaa authentication login tac-h0101group tacacs+ //认证 (config)#aaa authorization exec tac-h0101 group tacacs+ //授权 (config)#tacacs-server host 10.3.3.3 key Aa...
h3c进行aaa和HWTACACS认证典型配置实例
weixin_34283445的博客
10-28 1672
login 用户使用本地认证1. 组网需求对所有类型 login 用户进行本地认证,但不要求计费。2. 组网图3. 配置步骤# 使能AAA。[Router] aaa-enable# 配置Login 用户[Router] local-user ftp service-type ftp password simple ftp[Router] local-user admin...
h3c 交换机acs 认证配置
04-27
现在有越来越多的企业对网络设备加强了管理,AAA认证管理就是其中的一项,该资源专门针对h3c交换机(华为3COM)的认证管理所作的配置总结。
H3CSE园区-AAA、RADIUS和TACACS+
CSerwangjun的博客
03-08 3537
PS:本篇仅挑选作者认为重要的模块,并不全面仅供复习参考,具体请自行查阅相关书籍。设有H3CNE-H3CTE学习博客专栏,敬请关注。AAA是认证、授权、计费的简称AAA是一个综合的安全架构与其他安全技术配合使用,提升网络设备的安全性常用AAA协议有RADIUS和TACACS+H3C设备支持的 3A协议  (1)RADIUS  ,Remote Authentication Dial In User...
H3C认证客户端 H3C认证客户端
12-02
H3C认证客户端,顾名思义,是H3C公司为用户提供的一种认证工具,主要用于与H3C网络设备进行交互,实现用户身份验证、授权以及计费等功能。这个客户端在企业网络环境中尤其重要,因为它可以帮助企业确保网络安全,...
H3C网络设备的AAA、RADIUS与TACACS+配置指南
"该资源主要介绍了H3C网络设备中如何配置AAA(认证、授权、计费)系统,以及RADIUS和TACACS+这两种常用的AAA协议。通过学习,可以掌握AAA的基本架构、RADIUS和TACACS+的认证原理,以及相关的配置命令。" 在网络安全...
h3c-gb0-192.doc
最新发布
09-14
H3C GB0-192 知识点详解】 1. **数据链路层设备**:在OSI参考模型中,数据链路层的主要任务是为网络层提供服务,确保数据帧的正确传输。广域网交换机是工作在这一层的设备,负责在不同的局域网之间转发数据帧。而...
Network Advance - H3C设备配置ISE使用TACACS 做AAA认证
HuangFei
05-19 1119
设备侧配置 hwtacacs scheme AAA-ISE primary authentication X.X.X.X primary authorization X.X.X.X primary accounting X.X.X.X key authentication simple YOUR_TACACS_PASSWORD key authorization simple YOUR_TACACS_PASSWORD key accounting simple YOUR_TACACS_PASSWORD us
Tacacs-各厂商交换机配置
曹世宏的博客
10-06 5585
其他文章: Tacacs+协议原理 Tacacs+服务搭建与配置详解 Tacacs+各厂商交换机配置 Tacacs+协议交互报文抓包示例 以下为整理的常见厂商的交换机tacacs+认证配置。 交换机配置Tacacs+认证思路 交换机全局开启Tacacs+认证 配置tacacs+认证模板,主要配置tacacs+认证的服务器地址,端口,密钥。 配置tacacs+的认证,授权,计费列表 全局内调用tacacs+认证方式 vty,console下调用tacacs+认证方式 华为交换机tacacs+认..
TACACS+实验(设备管理)
phoenix1415的博客
09-20 9826
Tacacs+认证授权计费的实现全过程
H3C DDNS配置简介
xiyanxiyan10的专栏
10-24 1万+
2 DDNS 2.1  2.1.1  概述 利用DNS(Domain Name System,域名系统)可以将域名解析为IP地址,从而实现使用域名来访问网络中的节点。但是,DNS仅仅提供了域名和IP地址之间的静态对应关系,当节点的IP地址发生变化时,DNS无法动态地更新域名和IP地址的对应关系。此时,如果仍然使用域名访问该节点,通过域名解析得到的IP地址是错误的,从而导致访问失败。 DDN
思科IOS XE结合ISE配置TACACS认证
剪刀石头布
06-11 162
组网拓扑: LCJ-CSR1000V#sho run | se tacacs aaa authentication login lcjise group tacacs+ local none aaa authorization exec lcjise group tacacs+ local none tacacs server lcjise address ipv4 10.22.2.96...
H3C用户入网配置(radius、domain、802.1x)
CSDN
04-14 9195
文章目录0 介绍1. 创建radius方案2. 创建ISP域3. 配置全局802.1x认证和全局MAC认证4. 配置端口802.1x认证和端口MAC认证 0 介绍 ​ 配置入网:客户通过用户名密码提交登录,接入交换机将用户名密码和mac地址提交给radius服务器通过AAA进行认证,向交换机返回确认信息,交换机向DHCP服务器申请ip地址,将该端口从vlan1添加到相应vlan中。 相关概念: Radius 远程接入验证服务器,也就是认证用的 AAA 就是Radius服务器实现的功能:验证,计费和
ISE 授权介绍
weixin_34311757的博客
09-04 1581
——ISE 的 6 种授权类型ISE 有 6 种类型的授权:1.Device Admin(Tacacs+服务)这是一个比较特殊的授权,在 ISE1.x 版本时代,思科有 2 款 3A 服务器,ACSISE。ACS 有 Raidus 和 Tacacs+ 功能,ISE 只有 Raidus 功能(ACS 有的功能 ISE 全都有,ISE 还有一些 ACS 没有的功能,可能为...
zabbix华为交换机模板_华三交换机(S5130)初始化配置讲解(干货收藏)
weixin_39797264的博客
11-30 1734
您真的知道怎么初始化一台交换机吗?48口全光交换机初始化交换(其他华三的交换机(比如S5554、S6520等)初始化也是类似的): 配置除了业务配置之外的其他配置,如下所示:设备命名sysname xxxx //交换机命名(一般命名位置+设备型号)telnet服务开启telnet server enable //开启telnet服务启用3A远程服务器认证【3A表示认证、授权、审计】//启用T...
TACACS+ 配置过程
热门推荐
Galdys的专栏
07-09 1万+
一、TACACS+ 全局配置 1. 认证配置  Router1#configure terminal  Router1(config)#aaa new-model  Router1(config)#aaa authentication login default group tacacs+ local 加上local 代表tacacs+ server失效后.使用本地认证
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

剪刀石头布Cheers

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值