SSH用户的RADIUS认证和授权配置-S7506E

0276
来自AI助手的总结
通过主从RADIUS为SSH登录Device实现认证授权及display权限控制
SSH用户的RADIUS认证和授权配置-S7506E

一、组网需求

通过在作为NAS的Device上配置远程RADIUS认证、授权功能,实现SSH用户的安全登录。在网络架构上采用主从RADIUS服务器的方式来提高用户认证的稳定性。要求在Device上配置实现:

  • 使用RADIUS服务器对登录Device的SSH用户进行认证和授权,登录用户名为hello_@_bbb,密码为aabbcc;

  • Device向RADIUS服务器发送的用户名带域名,服务器根据用户名携带的域名来区分提供给用户的服务。

  • 用户通过认证后可执行系统所有功能和资源的相关display命令。

二、配置思路

1、为了使主/从RADIUS服务器能够识别合法的用户,在主/从RADIUS服务器上添加合法的用户名和密码。

2、为了使用户通过认证后可执行系统所有功能和资源的相关display命令,在主/从RADIUS服务器上设置用户角色为network-operator。

3、因为SSH用户登录Device要通过AAA处理,因此SSH用户登录的用户界面认证方式配置为scheme。

4、为了实现通过RADIUS来进行认证和授权,需要在Device上配置RADIUS方案并指定相应的主/从认证和授权服务器,并将其应用于SSH用户所属的ISP域。

5、为了在Device和主/从RADIUS服务器之间安全地传输用户密码,并且能在Device上验证主/从RADIUS服务器响应报文未被篡改,在Device和主/从RADIUS服务器上都要设置交互报文时所使用的共享密钥。

三、配置注意事项

SSH服务器支持的ECDSA密钥对的类型为secp256r1和secp384r1。

SSH服务器仅支持默认名称的本地密钥对,不支持指定名称的本地密钥对。

四、配置步骤

4.1 配置RADIUS服务器

一、增加接入设备
登录进入iMC管理平台,选择“用户”页签,单击导航树中的[接入策略管理/接入设备管理/接入设备配置]菜单项,进入接入设备配置页面,在该页面中单击“增加”按钮,进入增加接入设备页面。

  • 设置与Device交互报文时使用的认证和授权共享密钥为“expert”;

  • 设置认证及计费的端口号分别为“1812”(RADIUS服务器的认证端口为UDP端口1812)和“1813”(RADIUS服务器的计费端口为UDP端口1813);

  • 选择业务类型为“设备管理业务”;

  • 选择接入设备类型为“H3C(General)”;

  • 选择或手工增加接入设备,添加IP地址为10.1.1.2的接入设备;

  • 其它参数采用缺省值,并单击<确定>按钮完成操作。

二、增加设备管理用户
选择“用户”页签,单击导航树中的[接入用户管理视图/设备管理用户]菜单项,进入设备管理用户列表页面,在该页面中单击<增加>按钮,进入增加设备管理用户页面。

  • 输入用户名和密码。

  • 选择服务类型为“SSH”。

  • 输入用户角色名“network-operator”

  • 添加所管理设备的IP地址,IP地址范围为“10.1.1.0~10.1.1.255”。

  • 单击<确定>按钮完成操作。

说明:添加的所管理设备的IP地址范围要包含添加的接入设备的IP地址。

4.2 配置Device

1、创建RADIUS方案fy

[Device]radius scheme fy

2、配置主认证服务器的IP地址为10.1.1.1,认证端口号为1645。

[Device-radius-rad] primary authentication 10.1.1.1 1645

3、配置主计费服务器的IP地址为10.1.1.1,计费端口号为1646。

[Device-radius-rad] primary accounting 10.1.1.1 1646

4、配置与认证和计费服务器交互报文时的共享密钥为明文Fy-cisco

[Device-radius-rad]  key authentication simple Fy-cisco
[Device-radius-rad]  key accounting simple Fy-cisco

5、配置向RADIUS服务器发送的用户名不要携带域名

[Device-radius-rad]  user-name-format without-domain

6、设置设备发送HWTACACS报文使用的源IP地址

[Device-radius-rad]   nas-ip 10.1.1.254

7、创建ISP域fy,为login用户配置AAA认证方法为RADIUS认证、授权和计费。

[Device] domain fy
[Device-isp-fy] authentication login radius-scheme fy local
[Device-isp-fy] authorization login radius-scheme fy local
[Device-isp-fy] accounting login radius-scheme fy local
[Device-isp-fy] quit

8、设置ISP域fy为系统缺省的ISP域。

[Device] domain default enable fy

9、使能缺省用户角色network-admin授权功能

[Device] role default-role enable network-admin

10、使能SSH服务器功能。

[Device] ssh server enable

11、配置SSH用户登录采用AAA认证方式。

[Device] line vty 0 4

[Device-line-vty0-4] authentication-mode scheme

[Device-line-vty0-4] quit

12、生成RSA密钥对

[Device] public-key local create rsa
The range of public key size is (512 ~ 2048).
If the key modulus is greater than 512, it will take a few minutes.
Press CTRL+C to abort.
Input the modulus length [default = 1024]:
Generating Keys...
..
Create the key pair successfully.

五、验证配置

用户向Device发起SSH连接,在SSH客户端按照提示输入用户名和密码通过认证,并且获得用户角色network-operator(用户通过认证后可执行系统所有功能和资源的相关display命令)。
主服务器可达时,设备与主RADIUS服务器进行交互。

显示主服务器可达时的RADIUS方案的配置信息。

<Device> display radius scheme
Total 1 RADIUS schemes
------------------------------------------------------------------
RADIUS scheme name: rad
  Index: 0
  Primary authentication server:
    IP   : 10.1.1.1                                 Port: 1812
    VPN  : Not configured
    State: Active
    Test profile: Not configured
    Weight: 0
  Primary accounting server:
    IP   : 10.1.1.1                                 Port: 1813
    VPN  : Not configured
    State: Active
    Weight: 0
  Second authentication server:
    IP   : 10.1.1.11                                Port: 1812
    VPN  : Not configured
    State: Active
    Test profile: Not configured
    Weight: 0
  Second accounting server:
    IP   : 10.1.1.11                                Port: 1813
    VPN  : Not configured
    State: Active
    Weight: 0
  Accounting-On function                     : Disabled
    extended function                        : Disabled
    retransmission times                     : 50
    retransmission interval(seconds)         : 3
  Timeout Interval(seconds)                  : 3
  Retransmission Times                       : 3
  Retransmission Times for Accounting Update : 5
  Server Quiet Period(minutes)               : 5
  Realtime Accounting Interval(seconds)      : 720
  Stop-accounting packets buffering          : Enabled
    Retransmission times                     : 500
  NAS IP Address                             : Not configured
  VPN                                        : Not configured
  User Name Format                           : with-domain
  Data flow unit                             : Byte
  Packet unit                                : One
  Attribute 15 check-mode                    : Strict
  Attribute 25                               : Standard
  Attribute Remanent-Volume unit             : Kilo
  server-load-sharing                        : Disabled
  Attribute 31 MAC format                    : HH-HH-HH-HH-HH-HH

说明:主服务器不可达时,再查看RADIUS方案的配置信息,会发现主服务器的状态从Active变为Block。此时,设备变成与从RADIUS服务器进行交互。

© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
SSH远程连接
# Linux# SSH# 远程连接
喜欢就支持一下吧
点赞6 分享
相关推荐
虚拟机无法上网或ssh连接不上的几种原因-AI运维探索者
虚拟机无法上网或ssh连接不上的几种原因
虚拟机无法上网或ssh连接不上的几种原因
5年前 51
Nginx配置文件详解:nginx.conf、server、location 与 root-AI运维探索者
Nginx配置文件详解:nginx.conf、server、location 与 root
Nginx配置文件详解:nginx.conf、server、location 与 root
5年前 50
Nginx日志配置指南:error_log、access_log 与 log_format-AI运维探索者
Nginx日志配置指南:error_log、access_log 与 log_format
Nginx日志配置指南:error_log、access_log 与 log_format
5年前 50
SSH登录Linux卡住-AI运维探索者
SSH登录Linux卡住
SSH登录Linux卡住
5年前 50
Nginx视频下载站搭建:autoindex实现目录索引下载页-AI运维探索者
Nginx视频下载站搭建:autoindex实现目录索引下载页
Nginx视频下载站搭建:autoindex实现目录索引下载页
5年前 50
OpenSSH服务端配置详解:sshd_config加速优化、安全设置与监听策略-AI运维探索者
OpenSSH服务端配置详解:sshd_config加速优化、安全设置与监听策略
OpenSSH服务端配置详解:sshd_config加速优化、安全设置与监听策略
5年前 49
评论 抢沙发

请登录后发表评论

    暂无评论内容

Jenkins 自动化接口测试:JMeter、Ant 与测试报告展示

污点Taint是什么、种类与使用场景

Prometheus 集群监控:接入 scheduler、kube-state-metrics 与 CoreDNS

Kubernetes ResourceQuota实战:按环境和项目限制资源

RAG 入门:它是什么,解决了什么问题,核心原理是什么

MongoDB 副本集成员