网管交换机Console口的登录认证方式

以H3C  S5120-25P-SI 为例
通过在Console口用户界面下配置认证方式,可以对使用Console口登录的用户进行限制,以提高设备的安全性。Console口支持的认证方式有none、password和scheme种。

认证方式为none
使用Console口本地登录设备时,不需要进行用户名和密码认证、任何人都可以通过Console口登录到设备上。
配置过程:
1、已通过Console口登录交换机
2、输入 system-view,进入用户视图
进入用户视图
3、输入 user-interface aux 0,进入AUX用户界面视图

4、输入authentication-mode none,设置登录用户的认证方式为不认证

5、接下来保存设置并重启交换机
依次输入:
save           (保存配置)
按回车键
y                  (确认保存配置文件)
按回车键
y                  (是否覆盖原有配置文件 )
按回车键
quit              (退出AUX用户界面视图 )
按回车键
quit              (退出用户视图 )
按回车键
reboot          (重启交换机)
按回车键
y                    (重启交换机确认)
如下图,红色标注区域为操作

认证方式为password
使用Console口本地登录设备时,需要进行密码认证、只有密码认证成功、用户才能登录到设备上
配置过程:
1、已通过Console口登录交换机
2、输入 system-view,进入用户视图
进入用户视图
3、输入 user-interface aux 0,进入AUX用户界面视图

4、依次输入:
authentication-mode password  (设置登录用户的认证方式为本地口令认证)
按回车键
set authentication password simple w12345687 (设置登录密码为w12345687)
按回车键
save           (保存配置)
按回车键
y                  (确认保存配置文件)
按回车键
y                  (是否覆盖原有配置文件 )
按回车键
quit              (退出AUX用户界面视图 )
按回车键
quit              (退出用户视图 )
按回车键
reboot          (重启交换机)
按回车键
y                    (重启交换机确认)
如下图,红色标注区域为操作

交换机重启需要输入登录密码

输入设置的密码w12345687即可登录

认证方式为scheme
使用Console口登录设备时需要进行用户名和密码认证,用户名或密码错误,均会导致登录失败。用户认证又分为本地认证和远程认证,如果采用本地认证,则需要配置本地用户及相应参数;如果采用远程认证,则需要在远程认证服务器上配置用户名和密码。
配置过程:
1、已通过Console口登录交换机
2、输入 system-view,进入用户视图
进入用户视图
3、输入 user-interface aux 0,进入AUX用户界面视图

4、依次输入:
authentication-mode scheme  (设置登录用户的认证方式为本地口令认证)
按回车键
quit                                                (退出AUX用户界面视图)
按回车键
local-user zylxyl                                     (创建一个登录名为zylxyl)
按回车键
password simple w12345687              (设置登录密码为w12345687)
按回车键
authorization-attribute level 0           (设置登录用户级别为0,操作级别为0-3,其中0-访问级,1—-监控级,2—-系统级,3—-管理级,根据用户权限设定)
按回车键
service-type terminal                                  (设置用户服务类型)
按回车键
save           (保存配置)
按回车键
y                  (确认保存配置文件)
按回车键
y                  (是否覆盖原有配置文件 )
按回车键
quit              (退出AUX用户界面视图 )
按回车键
quit              (退出用户视图 )
按回车键
reboot          (重启交换机)
按回车键
y                    (重启交换机确认)
如下图,红色标注区域为操作

交换机重启后,需要输入登录名和密码

输入设置的登录名zylxyl,登录密码即可登录交换机

注:
1、配置为scheme认证时,在AUX用户界面视图,还有以下两个可选参数
使能命令行授权功能
command authorization
默认情况下,没有使能命令行授权功能,即用户登录后执行命令行不需要授权
默认情况下,用户登录设备后可以使用的命令行由用户级别决定,用户只能使用缺省级别等于/低于用户级别的命令行。配置命令行授权功能后,用户可使用的命令行将受到用户级别和AAA授权的双重限制。即便是足够级别的用户每执行一条命令都会进行授权检查,只有授权成功的命令才被允许执行。

使能命令行计费功能
command accounting
默认情况下,没有使能命令行计费功能,即计费服务器不会记录用户执行的命令行
命令行计费功能用来在HWTACACS服务器上记录用户对设备执行过的命令(只要设备支持的命令,不管执行成功或者失败都会记录),以便集中监视、控制用户对设备的操作。命令行计费功能生效后,如果没有配命令行授权功能,用户执行的每一条命令都会发送到HWTACACS服务器上做记录;如果配置了命令行授权功能,则每一条授权成功的命令都会发送到HWTACACS服务器上做记录。

2、在系统视图,有如下可选参数
配置设备采用的认证方案

进入ISP域视图
domain domain-name

配置域使用的AAA方案
authentication default { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] }

缺省情况下,系统使用的AAA方案为local
如果采用local认证,则必须进行后续的本地用户配置;
如果采用RADIUS或者HWTACACS方式认证,则需进行如下配置:
设备上的RADIUS、HWTACACS
AAA服务器上需要配置相关的用户名和密码
配置完成了,输入quit退出至系统视图并保存

 

退出移动版
ICP备案号:晋ICP备18007549号-1
站长微信:15534641008