• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C SecPath ACG1000系列应用控制网关 典型配置(R6616)-6W101

目录

59-管理员外部认证典型配置

本章节下载 59-管理员外部认证典型配置  (305.97 KB)

59-管理员外部认证典型配置


1  简介

本文档介绍设备的管理员外部认证功能配置举例,设备上管理员认证方式配置管理员外部认证之后,登录设备优先使用外部服务器账号密码进行验证,如果外部服务器异常才能走本地认证方式,以保证管理员账号的安全性以及可维护性。

管理员外部认证支持到LDAP和Radius两种服务器认证。

2  配置前提

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解管理员外部认证特性。

3  管理员外部认证配置举例

3.1.1  组网需求

图1所示,某企业设备管理是通过管理员本地认证方式进行校验登录,现企业部署了LDAP服务器,需要通过LDAP服务器上的账号登录设备进行认证登录,即启用管理员LDAP外部认证方式登录设备。

·              设备到外部服务器可达。

·              如果设备到外部服务器不可达,开启服务器异常进行本地认证,使用本地账号可以登录。

图1 管理员外部认证组网

 

3.1.2  配置思路

·              配置设备接口地址、路由及NAT。

·              配置LDAP服务器。

·              配置管理员外部认证选择LDAP服务器。

3.1.3  使用版本

本举例是在R6616版本上进行配置和验证的。

3.1.4  配置步骤

(1)      配置接口地址

图2所示,进入“网络配置>接口配置>物理接口”,点击ge0、ge2<编辑>按钮,分别配置ge0和ge2为192.168.2.157/24、50.1.1.2/24。

图2 配置接口地址

 

(2)      配置静态路由

图3所示,进入“网络配置>路由管理>静态路由”,配置访问外网的默认路由。

图3 配置静态路由

 

(3)      配置源NAT

图4所示,进入“策略配置>NAT转换策略>源NAT”,配置源NAT。

图4 配置源NAT

 

(4)      配置LDAP服务器

图5所示,进入“用户管理>认证管理>认证服务器”,点击<新建>LDAP服务器,配置LDAP服务器参数,点击<提交>。

图5 配置LDAP服务器

 

(5)      配置管理员外部认证选择LDAP服务器

图6所示,进入“系统管理>系统设定>管理设定”,管理员认证方式选择“外部认证”,认证服务器选择“Ldap”,LDAP服务器选择步骤4已配置的服务器对象,服务器异常开启本地认证选择“开”,点击<提交>。

图6 配置管理员外部认证

 

3.1.5  配置注意事项

·              服务器异常开启本地认证开关建议开启,如果设备与服务器通信出现异常,可以通过设备本地账号进行登录并管理;如果不开启,则如果设备与服务器通信出现异常,设备将无法管理,出现脱管状态,此开关关闭需谨慎操作。

3.1.6  验证配置

图7所示,设备与服务器通信正常情况下,管理员通过设备本地账号admin登录设备无法登录成功,通过LDAP服务器上的账号test99登录设备成功,系统日志上可以查看到登录结果。

图7 设备与服务器通信正常管理员登录设备系统日志

 

图8所示,设备与服务器通信异常情况下,管理员使用LDAP服务器上的账号test99登录设备失败,服务器异常开启本地认证开关已开启,使用设备本地账号admin进行登录,可以登录成功,通过系统日志可以查看到结果。

图8 设备与服务器通信异常管理员登录设备系统日志

 

4  配置文件

!config

authorized-table admin

    description Default authority table with all authority enable

    authorized read all

    authorized write all

!

authorized-table audit

    description Default authority table used for audit administrator

    authorized read all

!

ldap 192.168.2.19

 ldap 192.168.2.19 389

 cnid cn

 dn ou=webauth,dc=adtest,dc=com

 bindtype simple user cn=administrator,cn=Users,dc=adtest,dc=com secret u0PTeDe6mLnwpt6j0KGB27MRAfi5ktR+I84wyRWUGlHNkAH8PLacJOscIFGXWKL

!

admin auth-mode remote auth-type ldap server 192.168.2.19 local enable

!

interface ge0

 ip address 192.168.2.157/24

 allow access https

 allow access http

 allow access ping

 allow access ssh

 allow access telnet

 allow access center-monitor

!

interface ge1

!

interface ge2

 ip address 50.1.1.2/24

 allow access https

 allow access http

 allow access ping

 allow access ssh

 allow access telnet

 allow access center-monitor

!

ip route 0.0.0.0/0 192.168.2.1

!

ip nat source ge0 any any any interface log 1 

!

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们