59-管理员外部认证典型配置
本章节下载: 59-管理员外部认证典型配置 (305.97 KB)
目 录
本文档介绍设备的管理员外部认证功能配置举例,设备上管理员认证方式配置管理员外部认证之后,登录设备优先使用外部服务器账号密码进行验证,如果外部服务器异常才能走本地认证方式,以保证管理员账号的安全性以及可维护性。
管理员外部认证支持到LDAP和Radius两种服务器认证。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解管理员外部认证特性。
如图1所示,某企业设备管理是通过管理员本地认证方式进行校验登录,现企业部署了LDAP服务器,需要通过LDAP服务器上的账号登录设备进行认证登录,即启用管理员LDAP外部认证方式登录设备。
· 设备到外部服务器可达。
· 如果设备到外部服务器不可达,开启服务器异常进行本地认证,使用本地账号可以登录。
· 配置设备接口地址、路由及NAT。
· 配置LDAP服务器。
· 配置管理员外部认证选择LDAP服务器。
本举例是在R6616版本上进行配置和验证的。
(1) 配置接口地址
如图2所示,进入“网络配置>接口配置>物理接口”,点击ge0、ge2<编辑>按钮,分别配置ge0和ge2为192.168.2.157/24、50.1.1.2/24。
(2) 配置静态路由
如图3所示,进入“网络配置>路由管理>静态路由”,配置访问外网的默认路由。
(3) 配置源NAT
如图4所示,进入“策略配置>NAT转换策略>源NAT”,配置源NAT。
(4) 配置LDAP服务器
如图5所示,进入“用户管理>认证管理>认证服务器”,点击<新建>LDAP服务器,配置LDAP服务器参数,点击<提交>。
图5 配置LDAP服务器
(5) 配置管理员外部认证选择LDAP服务器
如图6所示,进入“系统管理>系统设定>管理设定”,管理员认证方式选择“外部认证”,认证服务器选择“Ldap”,LDAP服务器选择步骤4已配置的服务器对象,服务器异常开启本地认证选择“开”,点击<提交>。
· 服务器异常开启本地认证开关建议开启,如果设备与服务器通信出现异常,可以通过设备本地账号进行登录并管理;如果不开启,则如果设备与服务器通信出现异常,设备将无法管理,出现脱管状态,此开关关闭需谨慎操作。
如图7所示,设备与服务器通信正常情况下,管理员通过设备本地账号admin登录设备无法登录成功,通过LDAP服务器上的账号test99登录设备成功,系统日志上可以查看到登录结果。
如图8所示,设备与服务器通信异常情况下,管理员使用LDAP服务器上的账号test99登录设备失败,服务器异常开启本地认证开关已开启,使用设备本地账号admin进行登录,可以登录成功,通过系统日志可以查看到结果。
!config
authorized-table admin
description Default authority table with all authority enable
authorized read all
authorized write all
!
authorized-table audit
description Default authority table used for audit administrator
authorized read all
!
ldap 192.168.2.19
ldap 192.168.2.19 389
cnid cn
dn ou=webauth,dc=adtest,dc=com
bindtype simple user cn=administrator,cn=Users,dc=adtest,dc=com secret u0PTeDe6mLnwpt6j0KGB27MRAfi5ktR+I84wyRWUGlHNkAH8PLacJOscIFGXWKL
!
admin auth-mode remote auth-type ldap server 192.168.2.19 local enable
!
interface ge0
ip address 192.168.2.157/24
allow access https
allow access http
allow access ping
allow access ssh
allow access telnet
allow access center-monitor
!
interface ge1
!
interface ge2
ip address 50.1.1.2/24
allow access https
allow access http
allow access ping
allow access ssh
allow access telnet
allow access center-monitor
!
ip route 0.0.0.0/0 192.168.2.1
!
ip nat source ge0 any any any interface log 1
!
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!