09-管理员认证配置指导
本章节下载: 09-管理员认证配置指导 (193.32 KB)
设备在管理员配置地方可以配置本地管理员、radius管理员和ldap管理员,以上三种管理员统一划分到本地管理员认证范围内,因为属于本地存在账户后续走本地管理员认证流程;外部管理员认证在设备本身不需要配置管理员,即只需要知道配置的第三方服务器上的用户账号密码进行登录设备即可;优点:减少维护复杂性、减少安全隐患、减少导致账号外泄的风险。
· 三权模式不支持此功能;
· 选择外部认证时,只支持选择服务器对象且只能选择一个,不支持多选,不支持服务器组。
表1-1 新建管理员账号,配置认证类型为本地认证
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入配置视图 |
configure terminal |
- |
新建管理账号及密码 |
user administrator username local password authorized-table username |
必选 |
设置第一授权登录设备管理IP |
user administrator username authorized-address first A.B.C.D/M |
按表1-2所示步骤新建认证类型为radius管理员账号,前提先完成设备与radius配置。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入配置视图 |
configure terminal |
- |
新建管理账号及密码 |
user administrator username radius radiusserver authorized-table username |
必选 |
设置第一授权登录设备管理IP |
user administrator username authorized-address first A.B.C.D/M |
必选 |
按表1-3所示步骤新建认证类型为ldap管理员账号,前提先完成设备与ldap配置。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入配置视图 |
configure terminal |
- |
新建管理账号及密码 |
user administrator username ldap ldapserver authorized-table username |
必选 |
设置第一授权登录设备管理IP |
user administrator username authorized-address first A.B.C.D/M |
必选 |
按下表所示步骤设置管理员密码周期。
表1-4 设置管理员密码周期
操作 |
命令 |
说明 |
进入配置视图 |
configure terminal |
- |
新建管理账号及密码 |
user administrator NAME pwd-cycle-duration <0-7> pwd-end-time <0-2147483648> |
可选 NAME:管理员账户名称。 |
按照如下组网配置设备与终端IP地址。
图1-1 管理员认证类型为本地组网图
· 开启设备相应接口http/https
· 创建管理员账号及密码
(1) 接口下开启http/https服务
host#system-view
host(config)# interface ge2
host(config-ge0)#ip add 192.168.1.1/24
host(config-ge0)#allow access all
(2) 配置管理账号密码
host(config)# user administrator admin local admin@123 authorized-table admin
host(config)# user administrator admin authorized-address first 0.0.0.0/0
使用本地认证方式管理员账号登录设备。
图1-2 使用本地认证方式管理员账号登录设备
按照如下组网配置设备与终端IP地址。
图1-3 管理员认证类型为ldap组网图
· 开启设备相应接口http/https
· 配置ldap服务器
· 创建认证类型为ldap的账号
(1) 接口下开启http/https服务
host#system-view
host(config)# interface ge2
host(config-ge0)#ip add 192.168.1.1/24
host(config-ge0)#allow access all
(2) 配置ldap服务器:
host(config)# ldap ldap1
host (config-ldap)# ldap 172.18.0.39 389
host (config-ldap)# cnid upn
host (config-ldap)# dn ou=userou,dc=ceshi,dc=ad,dc=com
host (config-ldap)# bindtype simple user cn=administrator,cn=Users,dc=ceshi,dc=ad,dc=com passwd 1234@abcd
(3) 配置管理账号密码
host(config)# user administrator admin ldap ldap1 authorized-table admin
host(config)# user administrator admin authorized-address first 0.0.0.0/0
使用ldap认证方式管理员账号登录设备。
图1-4 使用ldap认证方式管理员账号登录设备
按照如下组网配置设备与终端IP地址。
图1-5 管理员认证类型为radius组网图
· 开启设备相应接口http/https
· 配置radius服务器
· 创建认证类型为radius的账号
(1) 接口下开启http/https服务
host#system-view
host(config)# interface ge2
host(config-ge0)#ip add 192.168.1.1/24
host(config-ge0)#allow access all
(2) 配置radius服务器:
host(config)# radius-server radius01 10.0.163.9 000000
(3) 配置管理账号密码
host(config)# user administrator admin radius radius01 authorized-table admin
host(config)# user administrator admin authorized-address first 0.0.0.0/0
使用radius认证方式管理员账号登录设备。
图1-6 使用radius认证方式管理员账号登录设备
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!