首先安装Bestscout 的Authserver免费版本(Authserver是国内最好用的AAA服务器,Tacacs+功能非常强大,而且提供免费版,参考Authserver官方BBS论坛https://bbs.ranvsys.com 查看authserver免费版安装过程)
- 新建策略
安装完成后登录系统,新建策略(认证方式支持AD,LDAP等)
2、启用静态密码
选择开启静态密码,表示需要验证账户的静态密码
3、选择开启动态密码,表示需要验证账户的静态密码
4、然后提交保存策略
5、 在Authserver后台添加网络设备
6、在Authserver后台添加一个本地账户,用于登录交换机(我在这里创建了一个账户sw)
创建成功后会看见用户的动态码KEY,在微信搜索 “令牌助手” 扫描用户二维码可以获得账户动态码(等会用户交换机登录,将动态码直接输入在静态码的后面就可以登录交换机)
7、 配置华为交换机
首先添加tacacs+服务器,交换机配置命令如下图
启用AAA
将 authserver设置为管理域
domain authserver admin
在VTY调用
user-interface vty 0 4
authentication-mode aaa
protocol inbound all
8、此时打开SSH 登录交换机
输入sw 账户的密码和动态码就能都登录交换机了
输入静态密码+动态密码
(微信搜索“令牌助手” 扫描用户二维码即可获得动态码,如下图)
如下图交换机登录成功
查看后台登录成功,如下图
后台查看管理员在线,如下图
如果只输入静态密码是无法登录的,如下图报错
8、命令审计和授权
此时登录进去后所有的命令都会进行授权判断后 执行审计,并可实现预警
命令授权信息如下
**********************************************************
免费版本交流中心:QQ群:741878306
**********************************************************
华为VPN实现双因素验证方法,华为VPN支持双因素OTP认证方法,华为VPN免费实现双因素认证方法