华为账号的密保要怎么设置_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
华为账号的密保要怎么设置
上传于|0|0|暂无简介
阅读已结束，如果下载本文需要使用0下载券
想免费下载更多文档？
定制HR最喜欢的简历
下载文档到电脑，查找使用更方便
还剩2页未读，继续阅读
定制HR最喜欢的简历
你可能喜欢4103人阅读
用户级别切换认证配置举例
关键词：用户级别切换认证，RADIUS，HWTACACS
摘&&要：本文结合不同的登录认证方式，详细介绍了三种用户级别切换认证的配置思路和配置过程。
Authentication, Authorization, Accounting
认证、授权、计费
Remote Authentication Dial-In User Service
远程认证拨号用户服务
HW Terminal Access Controller Access Control System
HW终端访问控制器控制系统协议
用户在不退出当前登录、不断开当前连接的前提下，可以通过执行super命令暂时将自身的用户级别从当前的级别切换到指定的级别。级别切换后用户不需要重新登录，可以继续配置设备，只是可以执行的命令会不一样。且切换后的级别是临时的，只对当前登录生效，用户重新登录后，又会恢复到原有级别。
当使用super命令从低级别往高级别切换时，相当于用户请求增加访问权限，因此系统需要对这种级别提升行为进行认证，只有认证通过，才赋予该用户新的访问权限。我们简称这种用户级别提升切换认证为Super认证。
目前，设备上支持两种Super认证方案：本地级别切换认证（本地Super认证）和远程AAA级别切换认证（远程Super认证）。
1.&本地Super认证
本地Super认证是指，使用一个本地配置的密码对级别切换行为进行认证。对于要切换到某一个级别的行为，所有用户均使用同一个密码。如下所示，任何登录到设备上的用户，要切换到3级别时，只需要正确输入一个该设备上预先设置的本地级别切换密码就可以。
&Device& super 3
&Password:&&——此处输入本地级别切换密码
User privilege level is 3, and only those commands can be used
whose level is equal or less than this.
Privilege note: 0-VISIT, 1-MONITOR, 2-SYSTEM, 3-MANAGE
本地级别切换认证方式具有配置简单、易用的优点，适合于网络拓扑简单，设备管理员权限统一，级别切换安全性要求不高的组网环境中。
2.&远程Super认证
远程Super认证是指，使用远程AAA服务器对级别切换行为进行认证。如下所示，登录到设备上的某管理员，要切换到3级别时，需要正确输入用户名和对应的级别切换密码。
&Device& super 3
&Username:olive@abc
&Password:&&——此处输入对应的级别切换密码
User privilege level is 3, and only those commands can be used
whose level is equal or less than this.
Privilege note: 0-VISIT, 1-MONITOR, 2-SYSTEM, 3-MANAGE
远程Super认证需要部署相应的AAA服务器来配合，用户信息的管理与维护上比本地Super认证稍显复杂，但它具有如下优点：
·&&&&&&&&&&&&&&用户进行级别切换操作时使用相应的级别切换用户名和密码在远程AAA（RADIUS或HWTACACS）服务器上进行身份认证，不同的用户可拥有不同的级别切换权限。
·&&&&&&&&&&&&&&通过与本地级别切换认证组合使用，可支持两种认证切换方案（远程Super认证无响应的情况下转本地Super认证、本地级别切换密码没有设置时转远程Super认证），增强了认证的可靠性，提高了设备管理的灵活性。
因此，远程Super认证适合于，网络环境较为复杂，设备管理员权限需区分，级别切换安全性要求较高的组网环境中。
3&本地Super认证配置举例
3.1&&组网需求
(1)&&&&&&某部门的所有人员均能以Telnet方式登录网关设备，登录该设备时需要输入用户名和密码，身份认证通过后所能访问的命令级别为1级（监控级），可执行简单的系统维护与业务故障诊断功能（例如debugging）。其中，用户名为携带域名的test@bbb，密码为123456。
(1)&&&&&&所有用户切换自身用户级别到更高的级别（本例中为3）时，只需要输入级别切换密码，密码正确就能成功切换到高级别。其中，级别切换密码为localpass。
图3-1&本地Super认证典型组网图
1.&配置登录认证
(1)&&&&&&用户登录时要求提供用户名和密码，因此用户登录采用AAA认证方式。
·&&&&&&&&&&&&&&配置登录用户界面的认证方式为scheme。
(2)&&&&&&由于该组网环境中未部署远程AAA服务器，所以登录认证采用本地认证方案，使用设备上配置的本地用户信息（local-user）来验证用户身份。用户登录后的用户级别由本地用户的授权属性决定。
·&&&&&&&&&&&&&&创建用户的认证域bbb，配置Login用户的认证方案为local；
·&&&&&&&&&&&&&&创建本地用户，配置用户登录密码和登录后的用户级别。
2.&配置Super认证
所有用户切换级别使用相同的切换密码，不需要输入用户名，因此级别切换认证采用本地Super认证，使用设备上配置的本地级别切换密码来认证切换行为。
·&&&&&&&&&&&&&&配置Super认证方式为local；
·&&&&&&&&&&&&&&配置本地级别切换密码。
表3-1&配置要素列表
登录认证方式
登录认证方案
Super认证方式
登录用户名和密码
Super认证密码
用户名：test@bbb
密码：123456
以下配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下配置不冲突。本文档不严格与具体软、硬件版本对应。
1.&配置步骤
#&配置接口Ethernet1/1的IP地址，Telnet用户将通过该地址连接Device。
&Device& system-view
[Device] interface ethernet 1/1
[Device-Ethernet1/1] ip address 192.168.1.1 255.255.255.0
[Device-Ethernet1/1] quit
#&开启Telnet服务器功能。
[Device] telnet server enable
#&配置Telnet用户登录采用AAA认证方式。
[Device] user-interface vty 0 4
[Device-ui-vty0-4] authentication-mode scheme
[Device-ui-vty0-4] quit
#&创建ISP域bbb。
[Device] domain bbb
#&配置Login用户的认证/授权方案为local。（可选，ISP域的缺省认证/授权方案为local）
[Device-isp-bbb] authentication login local
[Device-isp-bbb] authorization login local
[Device-isp-bbb] quit
#&创建本地用户test，服务器类型为Telnet，密码为123456。
[Device] local-user test
[Device-luser-test] service-type telnet
[Device-luser-test] password simple 123456
#&指定Telnet用户登录系统后所能访问的命令级别为1级。
[Device-luser-test] authorization-attribute level 1
[Device-luser-test] quit
#&配置Super认证方式为local。
[Device] super authentication-mode local
#&配置可切换到级别3的本地级别切换密码为localpass。（level参数可选，缺省为3）
[Device] super password level 3 simple localpass
2.&配置文件
[Device] display current-configuration
&version 5.20, Release 10601version 5.20, ESS 1907L03
&sysname Device
&super password level 3&cipher $c$3$Zpr1U6u8+yBRZE4Pt8uTBI/VOboEnf2gsvEULg==
&super authentication-mode localsimple localpass
&domain default enable system
&telnet server enable
domain bbb
&authentication login local
&authorization login local
&access-limit disable
&state active
&idle-cut disable
&self-service-url disable
domain system
&access-limit disable
&state active
&idle-cut disable
&self-service-url disable
user-group system
group-attribute allow-guest
local-user test
&password&cipher $c$3$UFdz+Q4t+duZFUhihLGBrmY1+RDjasu4Kg==simple 123456
&authorization-attribute level 1
&service-type telnet
interface Ethernet1/1
&port link-mode route
&ip address 192.168.1.1 255.255.255.0
interface Ethernet1/2
&port link-mode route
user-interface con 0
user-interface tty 13
user-interface aux
user-interface vty 0 4
&authentication-mode scheme
可通过以下步骤验证上述配置。
用户建立与Device的连接
在Telnet客户端上按照提示输入用户名test@bbb及密码123456，即可进入Device的用户界面，且只能访问级别为1的命令。
C:\&telnet 192.168.1.1
******************************************************************************
* Copyright (c)
Huawei Tech. Co., Ltd. All rights reserved.&&&&&&& *
* Without the owner's prior written consent,&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& *
* no decompiling or reverse-engineering shall be allowed.&&&&&&&&&&&&&&&&&&& *
******************************************************************************
Login authentication
Username:test@bbb
Password:&&——此处输入登录密码：123456
User view commands:
& cluster&&&&&&& Run cluster command
& debugging&&&&& Enable system debugging functions
& dialer&&&&&&&& Dialer disconnect
& display&&&&&&& Display current system information
& ping&&&&&&&&&& Ping function
& quit&&&&&&&&&& Exit from current command view
& refresh&&&&&&& Do soft reset
& reset&&&&&&&&& Reset operation
& rsh&&&&&&&&&&& Establish one RSH connection
& screen-length& Specify the lines displayed on one screen
& send&&&&&&&&&& Send information to other user terminal interface
& ssh2&&&&&&&&&& Establish a secure shell client connection
& super&&&&&&&&& Set the current user priority level
& telnet&&&&&&&& Establish one TELNET connection
& terminal&&&&&& Set the terminal line characteristics
& tracert&&&&&&& Trace route function
&&undo&&&&&&&&&& Cancel current setting
(2)&&&&&&切换用户级别
#&在当前的用户界面下执行切换用户级别到3级的命令，按照提示输入本地级别切换密码localpass，即可将当前Telnet用户的级别切换到3级。
&Device& super 3
Password:&&——此处输入本地级别切换密码：localpass
User privilege level is 3, and only those commands can be used
whose level is equal or less than this.
Privilege note: 0-VISIT, 1-MONITOR, 2-SYSTEM, 3-MANAGE
认证配置举例
(1)&&&&&&某部门的所有人员均能以Telnet方式登录网关设备，登录该设备时需要输入用户名和密码，并使用RADIUS服务器进行认证，身份认证通过后所能访问的命令级别为0级（访问级），可执行网络诊断等功能的命令（例如ping）。其中，用户名为携带域名的admin@bbb，密码为123456。
(2)&&&&&&允许管理员将自身级别切换到更高的级别（本例中为3），且切换时需要使用RADIUS服务器进行认证。其中，级别切换密码为pass3。
图4-1&RADIUS Super认证典型组网图
1.&配置登录认证
(1)&&&&&&用户登录时要求提供用户名和密码，因此用户登录采用AAA认证方式。
·&&&&&&&&&&&&&&配置登录用户界面的认证方式为scheme。
(2)&&&&&&使用RADIUS服务器进行登录认证。
·&&&&&&&&&&&&&&创建RADIUS方案，指定RADIUS服务器IP地址及与其进行交互的相关参数；
·&&&&&&&&&&&&&&创建用户的认证域bbb，配置Login用户的认证方案为RADIUS方案。由于无授权需求，配置该域的Login用户的授权方案为none。
2.&配置Super认证
管理员使用RADIUS服务器进行Super认证。
·&&&&&&&&&&&&&&配置用户认证域的Super认证方案为RADIUS方案；
·&&&&&&&&&&&&&&配置Super认证方式为scheme。
3.&配置服务器
RADIUS服务器上需要配置相应的认证信息和用户信息。
·&&&&&&&&&&&&&&添加管理员的登录用户名和登录密码；
·&&&&&&&&&&&&&&添加RADIUS级别切换用户名和级别切换密码。
表4-1&配置要素列表
登录认证方式
/登录认证方案
Super认证方式
/Super认证方案
登录用户名和密码
Super认证用户名和密码
/ radius-scheme
/ radius-scheme
用户名：admin@bbb
密码：123456
用户名：$enab3$
密码：pass3
由于RADIUS协议无法区分用户所申请的权限级别，所以使用RADIUS进行Super认证时无论用户输入的用户名（或用户登录名）是什么，设备都会根据用户申请的权限级别使用固定用户名“$enab+level$”构造认证请求报文进行认证，其中level为用户申请的权限级别（0～3）。
本例中，管理员要申请切换到级别3，则设备将使用“$enab3$”作为用户名向RADIUS服务器发起认证。（若配置要求用户名中携带域名，则为$enab3@domain$，domain为用户的认证域）。因此，相应的RADIUS服务器上就需要添加用户名为“$enab3$”的用户。
以下配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下配置不冲突。本文档不严格与具体软、硬件版本对应。
本文以ACSv4.0为例，说明RADIUS server的基本配置。
在进行下面的配置之前，请保证设备管理员Admin与ACS服务器之间路由可达。
(1)&&&&&&登录ACS服务器
#&如图4所示的Web登录页面中，输入Web登录用户名和密码，单击“Login”按钮，即可登录ACS服务器。
(2)&&&&&&添加接入设备
#&在左侧导航栏中选择[Network Configuration]，打开网络配置界面，单击&Add Entry&，进入AAA Client的编辑页面。
图4-3&添加接入设备
#&在AAA Client的编辑页面中进行如下配置：
·&&&&&&&&&&&&&&输入接入设备名称，接入设备IP地址和交互RADIUS报文的共享密钥；
·&&&&&&&&&&&&&&选择认证协议类型为“RADIUS+ (IETF)”；
·&&&&&&&&&&&&&&单击“Submit + Apply”按钮完成操作。
图4-4&配置接入设备
(3)&&&&&&添加登录用户
#&在左侧导航栏中选择[User Setup]，打开用户配置界面，在文本框中输入用户名“admin”，单击“Add/Edit”后，进入该用户的编辑页面。
图4-5&添加登录用户
#&填写用户的相关辅助信息，配置用户登录密码为“123456”。
图4-6&配置登录用户信息
(4)&&&&&&添加级别切换用户
#&在左侧导航栏中选择[User Setup]，打开用户配置界面，在文本框中输入用户名“$enab3$”，单击“Add/Edit”后，进入该用户的编辑页面。
图4-7&添加级别切换用户
#&输入用户的相关辅助信息，配置用户登录密码为“pass3”。
图4-8&配置级别切换用户信息
1.&配置步骤
#&配置接口Ethernet1/1的IP地址，Telnet用户将通过该地址连接Device。
&Device& system-view
[Device] interface ethernet 1/1
[Device-Ethernet1/1] ip address 192.168.1.1 255.255.255.0
[Device-Ethernet1/1] quit
#&配置接口Ethernet1/2的IP地址，Device将通过该地址与服务器通信。
[Device] interface ethernet 1/2
[Device-Ethernet1/2] ip address 10.1.1.1 255.255.255.0
[Device-Ethernet1/2] quit
#&开启Device的Telnet服务器功能。
[Device] telnet server enable
#&配置Telnet用户登录采用AAA认证方式。
[Device] user-interface vty 0 4
[Device-ui-vty0-4] authentication-mode scheme
[Device-ui-vty0-4] quit
#&创建RADIUS方案rad。
[Device] radius scheme rad
#&配置主认证服务器的IP地址为10.1.1.2，认证端口号为1812（可选，缺省为1812）。
[Device-radius-rad] primary authentication 10.1.1.2 1812
#&配置与认证服务器交互报文时的共享密钥为expert。
[Device-radius-rad] key authentication expert
#&配置RADIUS服务器的服务类型为standard。（可选，缺省为standard）
[Device-radius-rad] server-type standard
#&配置向RADIUS服务器发送的用户名不携带域名。
[Device-radius-rad] user-name-format without-domain
[Device-radius-rad] quit
#&创建ISP域bbb。
[Device] domain bbb
#&配置Login用户的RADIUS认证方案为rad。
[Device-isp-bbb] authentication login radius-scheme rad
#&配置Login用户的授权方案为none。
[Device-isp-bbb] authorization login none
#&配置Super认证的RADIUS认证方案为rad。
[Device-isp-bbb] authentication super radius-scheme rad
[Device-isp-bbb] quit
#&配置Super认证方式为scheme。
[Device] super authentication-mode scheme&scheme
2.&配置文件
[Device] display current-configuration
&version 5.20, Release 10601version 5.20, ESS 1907L03
&sysname Device
super authentication-mode scheme
telnet server enable
radius scheme rad
&primary authentication&10.1.1.2192.168.1.15
&key authentication&cipher $c$3$tE9TAUYN8Z6P9EsFLgAdI5/6PeVIdfLzyA==expert
&user-name-format without-domain
domain bbb
&authentication login radius-scheme rad
&authorization login none
&authentication super radius-scheme rad
&access-limit disable
&state active
&idle-cut disable
&self-service-url disable
domain system
&access-limit disable
&state active
&idle-cut disable
&self-service-url disable
user-group system
&group-attribute allow-guest
interface Ethernet1/1
&port link-mode route
&ip address 192.168.1.1 255.255.255.0
interface Ethernet1/2
&port link-mode route
&ip address 10.1.1.1 255.255.255.0
user-interface con 0
user-interface tty 13
user-interface aux 0
user-interface vty 0 4
&authentication-mode scheme
可通过以下步骤验证上述配置。
(1)&&&&&&Telnet用户建立与Device的连接
在Telnet客户端上按照提示输入用户名admin@bbb及密码123456，即可进入Device的用户界面，且只能访问级别为0的命令。
C:\&telnet 192.168.1.1
******************************************************************************
* Copyright (c)
Huawei Tech. Co., Ltd. All rights reserved.&&&&&&& *
* Without the owner's prior written consent,&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& *
* no decompiling or reverse-engineering shall be allowed.&&&&&&&&&&&&&&&&&&& *
******************************************************************************
Login authentication
Username:admin@bbb
Password:&&——此处输入登录密码：123456
User view commands:
& cluster& Run cluster command
& display& Display current system information
& ping&&&& Ping function
& quit&&&& Exit from current command view
& rsh&&&&& Establish one RSH connection
& ssh2&&&& Establish a secure shell client connection
& super&&& Set the current user priority level
& telnet&& Establish one TELNET connection
& tracert& Trace route function
(2)&&&&&&切换用户级别
#&在当前的用户界面下执行切换用户级别到3级的命令，按照提示输入RADIUS级别切换密码pass3，即可将当前Telnet用户的级别切换到3级。
&Device& super 3
Password:&&——此处输入RADIUS级别切换密码：pass3
User privilege level is 3, and only those commands can be used
whose level is equal or less than this.
Privilege note: 0-VISIT, 1-MONITOR, 2-SYSTEM, 3-MANAGE
）Super认证配置举例
(1)&&&&&&某部门的所有人员均能以Telnet方式登录网关设备，登录该设备时需要输入用户名和密码，并使用HWTACACS服务器进行认证，认证通过后所能访问的命令级别为0级（访问级），可执行网络诊断等功能的命令（例如ping）。其中，用户名为携带域名的admin@bbb，密码为123456。
(2)&&&&&&允许管理员将自身级别切换到更高的级别（本例中为3），且切换时需要使用HWTACACS服务器进行认证。当远程Super认证无效时（例如服务器无响应或AAA配置无效），需要本地Super认证做备份方案来保证切换操作可完成。其中，远程Super认证的级别切换密码为pass3，本地Super认证的级别切换密码为localpass。
图5-1&（HWTACACS + Local）Super认证典型组网图
1.&配置登录认证
用户登录时要求提供用户名和密码，因此用户登录采用AAA认证方式。
·&&&&&&&&&&&&&&配置登录用户界面的认证方式为scheme。
2.&配置Super认证
(1)&&&&&&使用HWTACACS服务器进行登录认证。
·&&&&&&&&&&&&&&创建HWTACACS方案，配置HWTACACS服务器IP地址及与其进行交互的相关参数。
·&&&&&&&&&&&&&&创建用户的认证域bbb，配置Login用户的认证方案为HWTACACS方案；由于无授权需求，配置该域的Login用户的授权方案为none。
(2)&&&&&&管理员首先使用HWTACACS服务器进行Super认证，远程Super认证无效时，转为本地Super认证。
·&&&&&&&&&&&&&&配置用户认证域的Super认证方案为HWTACACS方案；
·&&&&&&&&&&&&&&配置Super认证方式为scheme local；
·&&&&&&&&&&&&&&配置本地级别切换密码。
3.&配置服务器
HWTACACS服务器上需要配置相应的认证信息和用户信息。
·&&&&&&&&&&&&&&添加管理员的登录用户名和登录密码；
·&&&&&&&&&&&&&&配置登录用户的HWTACACS级别切换密码。
表5-1&配置要素列表
登录认证方式
/登录认证方案
Super认证方式
/Super认证方案
登录用户名和密码
Super认证密码
/ hwtacacs-scheme
scheme local
/ hwtacacs-scheme
用户名：admin@bbb
密码：123456
Super认证方式切换前：pass3
Super认证方式切换后：localpass
与RADIUS协议不同的是，HWTACACS协议支持用户申请权限级别，因此使用HWTACACS服务器进行Super认证时，若用户登录时输入了用户名，则设备使用用户登录名作为用户名向HWTACACS服务器发起认证，否则使用用户输入的级别切换用户名。
本例中的管理员进行级别切换操作时，由于设备使用登录名进行Super认证，因此仅被提示输入级别切换密码，相应的HWTACACS服务器上就需要配置该登录用户名对应的级别切换密码。
以下配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下配置不冲突。本文档不严格与具体软、硬件版本对应。
本文以ACSv4.0为例，说明HWTACACS server的基本配置。
在进行下面的配置之前，请保证设备管理员Admin与ACS服务器之间路由可达。
(1)&&&&&&登录ACS服务器
#&如图12所示的Web登录页面中，输入Web登录用户名和密码，单击“Login”按钮，即可登录ACS服务器。
(2)&&&&&&添加接入设备
#&在左侧导航栏中选择[Network Configuration]，打开网络配置界面，单击&Add Entry&，进入AAA Client的编辑页面。
图5-3&添加接入设备
#&在AAA Client的编辑页面中进行如下配置：
·&&&&&&&&&&&&&&输入接入设备名称，接入设备IP地址和交互HWTACACS报文的共享密钥；
·&&&&&&&&&&&&&&选择认证协议类型为“TACACS+ (Cisco IOS)”；
·&&&&&&&&&&&&&&单击“Submit + Apply”按钮完成操作。
图5-4&配置接入设备
(3)&&&&&&添加高级选项
#&在左侧导航栏中选择[Interface Configuration]，打开接口配置界面，单击“TACACS+(Cisco IOS)”链接，进入TACACS+的高级属性页面。
图5-5&配置用户接口
#&选中高级配置选项中的“Advanced TACACS+ Features”项，让用户配置界面中隐藏的高级选项显示出来，该高级选项中包含了Enable密码的相关配置。
图5-6&添加高级选项
(4)&&&&&&添加登录用户
#&在左侧导航栏中选择[User Setup]，打开用户配置界面，在文本框中输入用户名“admin”，单击“Add/Edit”后，进入该用户的编辑页面。
图5-7&添加登录用户
#&输入用户的相关辅助信息，配置用户登录密码为“123456”。
图5-8&配置登录用户信息
(5)&&&&&&配置级别切换密码
#&继续在用户admin的编辑页面中进行下面的高级TACACS+设置。
·&&&&&&&&&&&&&&选中“Max Privilege for any AAA Client”，在下拉框中选择“Level 3”。该配置表示级别切换后，用户可执行的命令的最高级别为3。
·&&&&&&&&&&&&&&选择“Use separate password”，输入级别切换密码“pass3”。
·&&&&&&&&&&&&&&单击“Submit”按钮完成操作。
图5-9&添加级别切换用户
1.&配置步骤
#&配置接口Ethernet1/1的IP地址，Telnet用户将通过该地址连接Device。
&Device& system-view
[Device] interface ethernet 1/1
[Device-Ethernet1/1] ip address 192.168.1.1 255.255.255.0
[Device-Ethernet1/1] quit
#&配置接口Ethernet1/2的IP地址，Device将通过该地址与服务器通信。
[Device] interface ethernet 1/2
[Device-Ethernet1/2] ip address 10.1.1.1 255.255.255.0
[Device-Ethernet1/2] quit
#&开启Device的Telnet服务器功能。
[Device] telnet server enable
#&配置Telnet用户登录采用AAA认证方式。
[Device] user-interface vty 0 4
[Device-ui-vty0-4] authentication-mode scheme
[Device-ui-vty0-4] quit
#&创建HWTACACS方案hwtac。
[Device] hwtacacs scheme hwtac
#&配置主认证服务器的IP地址为10.1.1.2，认证端口号为49（可选，缺省为49）。
[Device-hwtacacs-hwtac] primary authentication 10.1.1.2 49
#&配置与认证服务器交互报文时的共享密钥为expert。
[Device-hwtacacs-hwtac] key authentication expert
#&配置向HWTACACS服务器发送的用户名不携带域名。
[Device-hwtacacs-hwtac] user-name-format without-domain
[Device-hwtacacs-hwtac] quit
#&创建ISP域bbb。
[Device] domain bbb
#&配置Login用户的HWTACACS认证方案为hwtac。
[Device-isp-bbb] authentication login hwtacacs-scheme hwtac
#&配置Login用户的授权方案为none。
[Device-isp-bbb] authorization login none
#&配置Super认证的HWTACACS认证方案为rad。
[Device-isp-bbb] authentication super hwtacacs-scheme hwtac
[Device-isp-bbb] quit
#&配置Super认证方式为scheme local。
[Device] super authentication-mode scheme&scheme&local
#&配置可切换到级别3的本地级别切换密码为localpass。（level参数可选，缺省为3）
[Device] super password level 3 simple localpass
2.&配置文件
[Device] display current-configuration
&version 5.20, Release 10601version 5.20, ESS 1907L03
&sysname Device
&super password level 3 cipher $c$3$Q+PilXDdUD/j2rRBANnbYr5ZBcGOXoLQDyxd8g==
&super authentication-mode scheme&local
telnet server enable
hwtacacs scheme hwtac
&primary authentication 192.168.1.15
&key authentication&cipher $c$3$rPzPN0MlHR7EExRhS5QxKYDmfpCGNdnqkg==expert
&user-name-format without-domain
domain bbb
&authentication login hwtacacs-scheme hwtac
&authorization login none
&authentication super hwtacacs-scheme hwtac
&access-limit disable
&state active
&idle-cut disable
&self-service-url disable
domain system
&access-limit disable
&state active
&idle-cut disable
&self-service-url disable
user-group system
&group-attribute allow-guest
interface Ethernet1/1
&port link-mode route
&ip address 192.168.1.1 255.255.255.0
interface Ethernet1/2
&port link-mode route
&ip address 10.1.1.1 255.255.255.0
user-interface con 0
user-interface tty 13
user-interface aux 0
user-interface vty 0 4
&authentication-mode scheme
可通过以下步骤验证上述配置。
(1)&&&&&&Telnet用户建立与Device的连接
在Telnet客户端上按照提示输入用户名admin@bbb及密码123456，即可进入Device的用户界面，且只能访问级别为0的命令。
C:\&telnet 192.168.1.1
******************************************************************************
* Copyright (c)
Huawei Tech. Co., Ltd. All rights reserved.&&&&&&& *
* Without the owner's prior written consent,&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& *
* no decompiling or reverse-engineering shall be allowed.&&&&&&&&&&&&&&&&&&& *
******************************************************************************
Login authentication
Username:admin@bbb
Password:&&——此处输入登录密码：123456
User view commands:
& cluster& Run cluster command
& display& Display current system information
& ping&&&& Ping function
& quit&&&& Exit from current command view
& rsh&&&&& Establish one RSH connection
& ssh2&&&& Establish a secure shell client connection
& super&&& Set the current user priority level
& telnet&& Establish one TELNET connection
& tracert& Trace route function
(2)&&&&&&切换用户级别
#&在当前的用户界面下执行切换用户级别到3级的命令，按照提示输入HWTACACS级别切换密码pass3，即可将当前Telnet用户的级别切换到3级。
&Device& super 3
Password:&&——此处输入HWTACACS级别切换密码：pass3
User privilege level is 3, and only those commands can be used
whose level is equal or less than this.
Privilege note: 0-VISIT, 1-MONITOR, 2-SYSTEM, 3-MANAGE
#&若输入HWTACACS级别切换密码后，系统提示错误并通知用户认证模式已改变，则表示本次切换认证失败。继续按照提示输入本地级别切换认证密码localpass，若认证成功即可将当前Telnet用户的级别切换到3级。
&Device& super 3
&Password:
&Error: Invalid configuration or no response from the authentication server.
&Info: Change authentication mode to local.
&Password:&&——此处需输入本地级别切换密码：localpass
User privilege level is 3, and only those commands can be used
whose level is equal or less than this.
Privilege note: 0-VISIT, 1-MONITOR, 2-SYSTEM, 3-MANAGE
参考知识库
* 以上用户言论只代表其个人观点，不代表CSDN网站的观点或立场
访问：780302次
积分：7618
积分：7618
排名：第2228名
原创：72篇
转载：300篇
评论：35条
(1)(8)(1)(5)(4)(2)(4)(7)(7)(7)(10)(4)(4)(9)(2)(2)(6)(15)(7)(1)(6)(3)(5)(1)(9)(6)(6)(11)(15)(7)(1)(7)(14)(1)(6)(3)(1)(7)(5)(5)(3)(4)(5)(6)(5)(2)(6)(6)(7)(5)(1)(6)(14)(6)(5)(3)(4)(8)(6)(1)(2)(4)(15)(7)(2)(3)(2)(1)(1)(2)(3)(3)(1)