01-05 配置认证与授权

Transcription

1 配置指南安全防范分册目录 目 录 5 配置认证与授权 简介 认证与授权简介 RADIUS 协议简介 HWTACACS 协议简介 配置认证和授权 建立配置任务 配置认证方案 配置授权方案 配置 RADIUS 配置 HWTACACS 创建本地用户 配置域 配置 PPP 用户的 IP 地址 检查配置结果 维护 调试 RADIUS 和 HWTACACS 清除 HWTACACS 服务器统计信息 管理在线用户 配置举例 配置对接入用户的认证示例一 配置对接入用户的认证示例二 配置对 Telnet 用户的认证示例 i

2 配置指南安全防范分册插图目录 插图目录 图 5-1 AAA 和 RADIUS 示例组网图 图 5-2 对 Telnet 用户的认证示例组网图 iii

3 配置指南安全防范分册表格目录 表格目录 表 5-1 HWTACACS 协议与 RADIUS 协议 v

4 配置指南安全防范分册 5 配置认证与授权 5 配置认证与授权 关于本章 本章描述内容如下表所示 标题 内容 5.1 简介介绍认证与授权的功能 RADIUS 协议 HWTACACS 协议 5.2 配置认证和授权介绍认证与授权的配置方法 配置举例 1: 配置对接入用户的认证示例一配置举例 2: 配置对接入用户的认证示例二配置举例 3: 配置对 Telnet 用户的认证示例 5.3 维护介绍认证与授权的维护方法 5.4 配置举例介绍认证与授权的组网举例 5-1

5 5 配置认证与授权 Quidway Eudemon 100E/200/200S 配置指南安全防范分册 5.1 简介 认证与授权简介 认证功能 授权功能 认证 (Authentication) 授权 (Authorization) 提供对用户的认证和授权两种安全功能 具体如下 : 认证认证哪些用户可以访问网络 授权授权用户可以使用哪些服务 认证与授权一般采用客户 / 服务器结构 客户端运行于被管理的资源侧, 服务器上则集中存放用户信息 这种结构既具有良好的可扩展性, 又便于用户信息的集中管理 认证与授权支持以下认证方式 : 不认证对用户非常信任, 不对其进行合法性检查 一般不采用这种方式 本地认证当用户接入时, 根据宽带接入服务器本地配置的用户信息 ( 包括用户名 密码及其他属性 ) 进行认证 本地认证的优点是速度快, 可以降低运营成本 ; 缺点是存储信息量受设备硬件条件限制 远端认证支持通过 RADIUS(Remote Authentication Dial In User Service) 协议或 HWTACACS 协议进行远端认证, 由宽带接入服务器作 Client 端, 与 RADIUS 服务器或 HWTACACS 服务器通信 对于 RADIUS 协议, 可以采用标准 RADIUS 协议或华为公司的扩展 RADIUS 协议, 与 itellin/cams 等设备配合完成认证 认证与授权支持以下授权方式 : 直接授权对用户非常信任, 直接授权通过 本地授权根据宽带接入服务器上为本地用户账号配置的相关属性进行授权 HWTACACS 授权由 HWTACACS 服务器对用户进行授权 if-authenticated 授权 5-2

6 配置指南安全防范分册 5 配置认证与授权 RADIUS 协议简介 RADIUS 协议的特点 如果用户通过了验证, 并且使用的验证方法不是 none, 则对用户授权通过 RADIUS 认证成功后授权由 RADIUS 服务器对用户认证通过后, 即可授权 这是由于 RADIUS 协议的认证和授权是绑定在一起的, 不能单独使用 RADIUS 进行授权 认证与授权可以用多种协议来实现, 最常用的是 RADIUS 协议 RADIUS 协议最初用来管理使用串口和调制解调器的大量分散用户, 后来广泛应用于网络接入服务器 NAS (Network Access Server) 系统 RADIUS 协议有如下特点 : RADIUS 协议客户端的功能 使用 UDP 作为传输协议, 具有良好的实时性 支持重传机制和备用服务器机制, 有较好的可靠性 实现比较简单, 适用于大用户量时服务器端的多线程结构 上述特点使得 RADIUS 协议得到了广泛的应用 作为 RADIUS 协议客户端,NAS 能够实现以下功能 : 标准 RADIUS 协议及扩充属性, 包括 RFC2865 RFC2866 华为扩展的 RADIUS+1.1 协议 对 RADIUS 服务器状态的主动探测功能 如果当前服务器的状态为 DOWN, 宽带接入服务器收到认证消息后, 启动服务器探测处理, 将消息转换为探测报文后向当前服务器发送 如果收到 RADIUS 服务器的回应, 则认为该服务器重新可用 计费结束报文的本地缓存重传功能 计费结束报文在重传发送失败次数超过配置次数后, 将计费结束报文保存到计费结束报文缓存队列 系统定时器周期扫描该队列, 如果存在计费结束缓存报文, 则取出报文内容, 向指定的服务器发送并启动定时器等待, 如果发送失败或在超时时间内没有收到服务器回应, 则重新入缓存队列 RADIUS 服务器的自动切换功能 当报文等待定时器超时时, 如果当前发送的 SERVER 的状态为不可发送, 或者发送次数超过当前 SERVER 的最大重传次数, 则需要在配置的服务器组中选择另外的服务器发送报文 HWTACACS 协议简介 HWTACACS 是在 TACACS(RFC1492) 基础上进行了功能增强的一种安全协议 该协议与 RADIUS 协议类似, 主要是通过 Server/Client 模式实现多种用户的认证与授权功能, 可用于 PPP 和 VPDN 接入用户及 login 用户的认证 授权和计费 5-3

7 5 配置认证与授权 Quidway Eudemon 100E/200/200S 配置指南安全防范分册 与 RADIUS 相比,HWTACACS 具有更加可靠的传输和加密特性, 更加适合于安全控制 HWTACACS 协议与 RADIUS 协议的主要区别如表 5-1 所示 表 5-1 HWTACACS 协议与 RADIUS 协议 HWTACACS 使用 TCP, 网络传输更可靠 除标准的 HWTACACS 报文头, 对报文主体全部进行加密 认证与授权分离 适于进行安全控制 支持对配置命令进行授权使用 RADIUS 使用 UDP 只是对验证报文中的密码字段进行加密认证与授权一起处理适于进行计费不支持 利用 HWTACACS 协议认证与授权分离的特性, 可以使用 RADIUS 进行认证, 而使用 HWTACACS 进行授权 5.2 配置认证和授权 建立配置任务 应用环境 网络用户可以分为如下两种 : default 域的用户 其他域的用户在防火墙对外提供业务前, 可以根据实际需要, 配置上述两种用户的认证和授权 上述两种用户的认证授权绝大部分相同, 故下列配置中, 在需要处说明该步配置为哪类用户的配置 如果未指明, 则表示所有用户的认证和授权均需要配置 前置任务 在配置带域名的用户的认证和授权前, 需要完成以下配置任务 : ( 可选 ) 配置防火墙的工作模式 ( 可选 ) 配置接口 IP 地址 配置接口加入安全区域 不能配置工作于透明模式下的接口的 IP 地址 5-4

8 配置指南安全防范分册 5 配置认证与授权 数据准备 在配置带域名的用户的认证与授权前, 需要准备以下数据 序号 数据 1 认证方案名称 2 认证方法 3 授权方案名称 4 授权方法 5 RADIUS 服务器模板名称 6 RADIUS 主认证服务器的 IP 地址和端口 7 RADIUS 备份认证服务器的 IP 地址和端口 8 服务器使用的 RADIUS 协议种类 9 RADIUS 服务器的密钥 10 RADIUS 服务器的流量单位 11 RADIUS 服务器的应答超时时间 12 RADIUS 服务器的重传次数 13 RADIUS 服务器采用的 NAS 端口形式 14 RADIUS 服务器采用的 NAS 端口 ID 形式 15 HWTACACS 服务器模板名称 16 HWTACACS 主认证服务器的 IP 地址和端口 17 HWTACACS 备份认证服务器的 IP 地址和端口 18 HWTACACS 主授权服务器的 IP 地址和端口 19 HWTACACS 备份授权服务器的 IP 地址和端口 20 HWTACACS 服务器密钥 21 HWTACACS 服务器的流量单位 22 HWTACACS 服务器的源 IP 地址 23 HWTACACS 服务器的应答超时时间 24 HWTACACS 服务器的主服务器恢复激活状态时间 25 记录方案名称 26 记录方法 5-5

9 5 配置认证与授权 Quidway Eudemon 100E/200/200S 配置指南安全防范分册 序号 数据 27 用户名和口令 28 服务类型 29 本地用户的回呼号码 30 是否对 MODEM 回呼进行校验 31 本地用户的主叫号码和子主叫号码 32 本地用户的 FTP 目录 33 本地用户的状态 34 本地用户 car 的相关参数 35 本地用户的优先级 36 用户接入的最大连接数 37 本地用户绑定的 MAC 地址 38 批量用户接入的接口类型和接口号 39 批量创建的第一个 VLAN 用户的 ID 和一次创建用户的数量 40 VLAN 用户所属的域 41 VLAN 用户的口令 42 VLAN 用户的状态 43 VLAN 用户的流控级别 44 VLAN 用户接入的最大连接数 45 域的地址池号和首末 IP 地址 46 主 DNS 服务器的 IP 地址 47 从 DNS 服务器的 IP 地址 48 主 NBNS 服务器 IP 地址 49 从 NBNS 服务器 IP 地址 50 域的状态 51 域的流控级别 52 当前域的接入用户的优先级 53 当前域允许的接入用户数 54 域的强制 Web 认证服务器地址 55 当前域使用的 ACL 5-6

10 配置指南安全防范分册 5 配置认证与授权 配置过程 要完成带域名的用户的认证和授权的配置, 需要按照以下过程配置 序号 过程 1 配置认证方案 2 配置授权方案 3 配置 RADIUS 4 配置 HWTACACS 5 创建本地用户 6 配置域 7 配置 PPP 用户的 IP 地址 8 检查配置结果 配置认证方案 由于 HWTACACS 的认证和授权可以分离, 故能够配置使用 RADIUS 协议的认证和 HWTACACS 协议的授权 步骤 1 执行命令 system-view, 进入系统视图 步骤 2 执行命令 aaa, 进入 AAA 视图 步骤 3 执行命令 authentication-scheme scheme-name, 创建认证方案, 并进入认证方案视图 步骤 4 执行命令 authentication-mode { [ hwtacacs radius local ] * none } *, 配置认证方法 当在一个认证方案下配置多种认证方法时, 需要注意 : 认证方法的执行顺序以配置时的先后顺序为准 如果选用不认证 (none), 只能将其作为最后一种认证方法 认证过程中, 只有在当前认证方法没有响应时, 才会尝试下一个认证方法 如果认证失败则将不会再进行认证 如果配置的认证方法包括 hwtacacs 和 radius, 则需要同时配置相应服务器模板, 否则无法完成远端认证 服务器模板的配置请参见 配置 RADIUS 和 配置 HWTACACS ---- 结束 配置授权方案 步骤 1 执行命令 system-view, 进入系统视图 5-7

11 5 配置认证与授权 Quidway Eudemon 100E/200/200S 配置指南安全防范分册 步骤 2 执行命令 aaa, 进入 AAA 视图 步骤 3 执行命令 authorization-scheme scheme-name, 创建授权方案, 并进入授权方案视图 步骤 4 执行命令 authorization-mode { [ hwtacacs if-authenticated local ] * none } *, 配置授权方法 当在一个授权方案下配置多种授权方法时, 需要注意 : 授权方法的执行顺序以配置时的先后顺序为准 如果选用直接授权 (none), 只能将其作为最后一种授权方法 只有在当前授权方法没有响应时, 才会尝试下一个授权方法 如果授权失败则将不会再进行授权 如果配置的授权方法包括 hwtacacs, 则需要配置 HWTACACS 服务器模板, 否则无法完成远端授权 HWTACACS 服务器模板的配置请参见 配置 HWTACACS ---- 结束 配置 RADIUS 步骤 1 执行命令 system-view, 进入系统视图 步骤 2 执行命令 radius-server template template-name, 创建 RADIUS 服务器模板, 并进入相应视图 只有当该 RADIUS 服务器模板没有用户使用时, 才能改变相应配置 步骤 3 执行命令 radius-server authentication ip-address port, 配置 RADIUS 主认证服务器 步骤 4 执行命令 radius-server authentication ip-address port secondary, 配置 RADIUS 备份认证服务器 主认证服务器和备用认证服务器的 IP 地址不能相同, 否则将提示配置不成功 多次配置主认证服务器或备用认证服务器, 新的配置有效 步骤 5 执行命令 radius-server type { standard portal }, 配置使用的 RADIUS 协议 步骤 6 执行命令 radius-server shared-key key-string, 配置 RADIUS 服务器的密钥 为了确保认证双方的身份合法性, 要求路由器上的密钥与 RADIUS 服务器间设定的密钥相同 步骤 7 执行命令 radius-server user-name domain-included, 配置用户名带域名 用户名通常采用 域名 格式 如果 RADIUS 服务器不接受带域名的用户名时, 可以配置纯用户名后再传送给 RADIUS 服务器 步骤 8 执行命令 radius-server traffic-unit { byte kbyte mbyte gbyte }, 配置 RADIUS 服务器的流量单位 对于以非字节单位为流量单位的 RADIUS 服务器而言, 流量单位的设置无效 步骤 9 执行命令 radius-server timeout interval, 配置 RADIUS 服务器的应答超时时间 5-8

12 配置指南安全防范分册 5 配置认证与授权 步骤 10 执行命令 radius-server retransmit retry-times, 配置 RADIUS 服务器的重传次数 步骤 11 执行命令 radius-server nas-port-format { new old }, 设置 RADIUS 服务器采用的 NAS 端口形式 步骤 12 执行命令 radius-server nas-port-id-format { new old }, 设置 RADIUS 服务器采用的 NAS 端口 ID 形式 ---- 结束 配置 HWTACACS 步骤 1 执行命令 system-view, 进入系统视图 步骤 2 执行命令 hwtacacs-server template template-name, 创建 HWTACACS 服务器模板, 并进入相应视图 删除或修改服务器模板时, 如果此模板有用户正在使用, 则系统将提示操作失败 步骤 3 执行命令 hwtacacs-server authentication ip-address [ port ], 配置 HWTACACS 主认证服务器 步骤 4 执行命令 hwtacacs-server authentication ip-address [ port ] secondary, 配置 HWTACACS 备份认证服务器 主认证服务器和备份认证服务器的 IP 地址不能相同, 否则将提示配置不成功 多次配置主认证服务器或备份认证服务器, 新的配置将起作用 只有当没有活跃的用于发送认证报文的 TCP 连接使用该认证服务器时, 才允许删除该服务器 删除服务器只对之后的报文有效 除删除服务器外,HWTACACS 的大部分属性在改变配置时都不检查当前是否有用户在使用此模板 步骤 5 执行命令 hwtacacs-server authorization ip-address [ port ], 配置 HWTACACS 主授权服务器 步骤 6 执行命令 hwtacacs-server authorization ip-address [ port ] secondary, 配置 HWTACACS 备份授权服务器 步骤 7 执行命令 hwtacacs-server shared-key key-string, 配置 HWTACACS 服务器的密钥 步骤 8 执行命令 hwtacacs-server user-name domain-included, 配置用户名带域名 用户名通常采用 域名 格式 如果 HWTACACS 服务器不接受带域名的用户名时, 可以配置纯用户名后再传送给 HWTACACS 服务器 步骤 9 执行命令 hwtacacs-server traffic-unit { byte kbyte mbyte gbyte }, 配置 HWTACACS 服务器的流量单位 步骤 10 执行命令 hwtacacs-server source-ip ip-address, 配置 HWTACACS 服务器的源 IP 地址 步骤 11 执行命令 hwtacacs-server timer response-timeout interval, 配置 HWTACACS 服务器的应答超时时间 5-9

13 5 配置认证与授权 Quidway Eudemon 100E/200/200S 配置指南安全防范分册 步骤 12 执行命令 hwtacacs-server timer quiet interval, 配置 HWTACACS 服务器的主服务器恢复激活状态时间 步骤 13 执行命令 aaa, 进入 AAA 视图 步骤 14 执行命令 recording-scheme scheme-name, 创建记录方案, 并进入记录方案视图 步骤 15 执行命令 recording-mode hwtacacs template-name, 配置记录方法 步骤 16 执行命令 quit, 退回 AAA 视图 步骤 17 执行命令 cmd recording-scheme scheme-name, 配置记录用户在防火墙上执行过的命令 步骤 18 执行命令 outbound recording-scheme scheme-name, 配置记录连接信息 步骤 19 执行命令 system recording-scheme scheme-name, 配置记录系统级事件 ---- 结束 创建本地用户 创建本地用户 步骤 1 执行命令 system-view, 进入系统视图 步骤 2 执行命令 aaa, 进入 AAA 视图 步骤 3 执行命令 local-user user-name [ password { simple cipher } password ], 创建用户 用户分为两类 : default 域用户该类用户的名字有两种类型 : 如 user@default; 如 user 如 user@huawei 创建用户时, 需要根据用户所属的域确定用户名 创建新用户时, 为安全起见, 建议同时设置口令 步骤 4 执行命令 local-user user-name service-type { auth bind ftp ppp ssh telnet terminal web web_auth } *, 对指定用户配置服务类型 步骤 5 执行命令 local-user user-name callback-number callback-number, 配置本地用户的回呼号码 配置本地用户的回呼号码时,RADIUS 服务器端也可以配置 callback-number 如果对 PPP 用户启用 RADIUS 认证, 则发送给 PPP 的回呼号码由 RADIUS 服务器配置的 callback-number 决定 如果对 PPP 用户启用本地认证, 则发送给 PPP 的回呼号码由 local-user callback-number 命令的配置决定 5-10

14 配置指南安全防范分册 5 配置认证与授权 如果 PPP 没有告知 AAA 此用户是否是回呼用户,AAA 根据用户是否配置了 callback-number 来判断 步骤 6 执行命令 local-user user-name callback-nocheck, 配置不对 Modem 回呼进行校验 步骤 7 执行命令 local-user user-name call-number call-number [ : subcall-number ], 配置有主叫号码的用户 步骤 8 执行命令 local-user user-name ftp-directory directory, 配置本地用户的 FTP 目录 步骤 9 执行命令 local-user user-name state { active block }, 配置指定用户的状态 步骤 10 执行命令 local-user user-name user-car level, 对指定用户配置流控级别 步骤 11 执行命令 local-user user-name level level, 配置用户的优先级 步骤 12 执行命令 local-user user-name access-limit access-limit, 配置指定用户接入的最大连接数 步骤 13 执行命令 local-user user-name mac-address mac-address, 设置本地用户绑定的 MAC 地址 ---- 结束 批量创建本地用户 步骤 1 执行命令 system-view, 进入系统视图 步骤 2 执行命令 aaa, 进入 AAA 视图 步骤 3 执行命令 vlan-batch user interface interface-type interface-number [ start-vlan-id number domain domain-name password password ] *, 批量配置 VLAN 接入用户帐号 批量创建的本地用户账号连续 创建新用户时, 为安全起见, 建议同时设置口令 步骤 4 执行命令 vlan-batch user service-type { auth bind ftp ppp ssh telnet terminal web x25-pad } * interface interface-type interface-number [ start-vlan-id number domain domain-name ] *, 批量配置 VLAN 用户的服务类型 步骤 5 执行命令 vlan-batch user state { active block } interface interface-type interface-number [ start-vlan-id number domain domain-name ] *, 批量配置 VLAN 用户的状态 步骤 6 执行命令 vlan-batch user user-car level interface interface-type interface-number [ start-vlan-id number domain domain-name ]*, 批量配置 VLAN 用户的流量级别 步骤 7 执行命令 vlan-batch user access-limit max-number interface interface-type interface-number [ start-vlan-id number domain domain-name ] *, 批量配置 VLAN 用户接入的最大连接数 步骤 8 执行命令 vlan-batch user acl-number acl-number interface interface-type interface-number [ start-vlan-id number domain domain-name ] *, 批量配置 VLAN 用户使用的 ACL ---- 结束 5-11

15 5 配置认证与授权 Quidway Eudemon 100E/200/200S 配置指南安全防范分册 配置域 步骤 1 执行命令 system-view, 进入系统视图 步骤 2 执行命令 aaa, 进入 AAA 视图 步骤 3 执行命令 user-car level-number input target-rate burst-size excess-burst-size output target-rate burst-size excess-burst-size, 配置 CAR 级别的参数 步骤 4 执行命令 domain domain-name, 创建域, 并进入域视图 如果域下没有配置引用认证和授权方案, 则该域会引用 default 认证方案和 default 授权方案 缺省域 (default) 不能配置地址池 如果用户为不带域名的用户, 则需要在 default 域下配置下列命令 步骤 5 执行命令 authentication-scheme scheme-name, 设置域的认证方案 步骤 6 执行命令 authorization-scheme scheme-name, 配置域的授权方案 步骤 7 执行命令 radius-server template-name, 配置当前域的 RADIUS 服务器模板 步骤 8 执行命令 hwtacacs-server template-name, 设置当前域的 HWTACACS 服务器模板 步骤 9 执行命令 ip pool pool-number first-address [ last-address ], 配置域地址池 步骤 10 执行命令 dns primary-ip ip-address, 配置主 DNS 服务器 步骤 11 执行命令 dns second-ip ip-address, 配置从 DNS 服务器 步骤 12 执行命令 nbns primary-ip ip-address, 配置主 NBNS 服务器 IP 地址 步骤 13 执行命令 nbns second-ip ip-address, 配置从 NBNS 服务器 IP 地址 步骤 14 执行命令 state { active block }, 配置域的状态 步骤 15 执行命令 user-car level, 配置域的流控级别 步骤 16 执行命令 user-priority level, 配置当前域的接入用户的优先级 步骤 17 执行命令 access-limit max-number, 配置域允许的最大接入用户数 步骤 18 执行命令 web-server ip-address, 配置域的强制 Web 认证服务器地址 步骤 19 执行命令 acl-number acl-number, 配置当前域使用的 ACL ---- 结束 配置 PPP 用户的 IP 地址 如果 NAS 对用户进行认证, 则缺省从用户所属域的地址池中分配地址 ; 如果不对用户进行认证, 但需要为用户分配地址, 则从系统地址池中分配地址 可以根据实际组网需要选择配置步骤 3 和步骤 5 采用 PPP 方式接入的用户, 可以利用 PPP 地址协商功能获得 IP 地址 5-12

16 配置指南安全防范分册 5 配置认证与授权 PPP 用户获得地址的原则为 : 当用户采用 RADIUS 或 HWTACACS 远端认证时 如果服务器下发 IP 地址, 则用户采用服务器下发的地址 如果服务器下发地址池, 则 default 域用户采用系统地址池中的地址, 其他域用户采用相应域下的地址池中的地址 当用户上述两种方式没有分配到地址或采用本地认证时 如果虚拟接口模板下配置分配地址, 则 PPP 用户采用该地址, 且此地址只能被分配一次 如果虚拟接口模板分配地址池中的地址, 则 : default 域用户采用系统地址池中的地址, 当没有获得地址时, 返回失败 其他域用户优先采用相应域下的地址池中的地址, 当没有分配到地址时, 再采用系统地址池中的地址, 此时如果还无法获得, 则返回失败 当用户采用不认证方式时 如果虚拟接口模板下配置分配地址, 则 PPP 用户采用该地址, 且此地址只能被分配一次 如果虚拟接口模板分配地址池中的地址, 则用户采用系统地址池中的地址 当用户没有获得地址时, 返回失败 步骤 1 执行命令 system-view, 进入系统视图 步骤 2 执行命令 aaa, 进入 AAA 视图 步骤 3 执行命令 ip pool pool-number first-address [ last-address ], 配置系统地址池 步骤 4 执行命令 domain domain-name, 进入域视图 缺省域 (default) 不能配置地址池 步骤 5 执行命令 ip pool pool-number first-address [ last-address ], 配置域下的地址池 步骤 6 执行命令 quit, 退回系统视图 步骤 7 执行命令 interface virtual-template virtual-template-number, 创建虚拟接口模板, 并进入相应视图 步骤 8 执行命令 ip address ppp-negotiate, 设置接口 IP 地址可协商属性 步骤 9 执行命令 remote address { ip-address pool [ pool-number ] }, 配置为对端接口分配 IP 地址 步骤 10 执行命令 ppp authentication-mode { chap [ pap ] pap } [ call-in ], 配置用户验证类型 ---- 结束 检查配置结果 可以在所有视图下执行以下命令检查配置结果 5-13

17 5 配置认证与授权 Quidway Eudemon 100E/200/200S 配置指南安全防范分册 操作 查看 AAA 的概要信息 命令 display aaa configuration 查看认证方案的配置情况 display authentication-scheme [ scheme-name ] 查看授权方案的配置情况 display authorization-scheme [ scheme-name ] 查看记录方案的配置情况 display recording-scheme [ scheme-name ] 查看 RADIUS 服务器信息 display radius-server configuration [ template template-name ] 查看地址池使用情况 display ip pool { global domain domain-name } 查看 HWTACACS 服务器信息 查看本地用户的属性 display hwtacacs-server template [ template-name [ verbose ] ] display local-user [ domain domain-name username user-name ] 5.3 维护 调试 RADIUS 和 HWTACACS 打开调试开关将影响系统的性能 调试完毕后, 应及时执行 undo debugging all 命令关闭调试开关 在出现 RADIUS 或 HWTACACS 运行故障时, 请在用户视图下执行 debugging 命令对 RADIUS 或 HWTACACS 进行调试, 查看调试信息, 定位故障并分析故障原因 有关 debugging 命令的解释请参见 Quidway Eudemon 100E/200/200S 防火墙命令参考 操作 调试 RADIUS 报文 调试 HWTACACS 服务器 命令 debugging radius packet debugging hwtacacs { all error event message receive-packet send-packet } 清除 HWTACACS 服务器统计信息 在用户视图下执行以下命令 5-14

18 配置指南安全防范分册 5 配置认证与授权 操作 清除 HWTACACS 服务器的统计信息 命令 reset hwtacacs-server statistics { all authentication authorization } 管理在线用户 查看在线用户信息 可以在所有视图下执行以下命令 操作查看所有在线用户的概要信息查看指定域下的在线用户信息查看指定用户名的在线用户信息查看指定用户 ID 的在线用户信息按 IP 地址查询在线用户信息按 MAC 地址查询在线用户信息 命令 display access-user display access-user domain domain-name display access-user username user-name display access-user user-id user-id display access-user ip-address ip-address display access-user mac-address mac-address 查看本地用户的配置 display local-user [ domain domain-name username user-name] 查看域的配置信息 display domain [ domain-name ] 配置强制用户下线 当需要强制用户下线时, 即可在 AAA 视图下执行以下命令 操作 强制指定域的在线用户下线 命令 cut access-user domain domain-name 强制指定用户名的在线用户下线 cut access-user username { local hwtacacs radius none all } [ user-name ] 强制指定用户 ID 的在线用户下线 cut access-user user-id start-id [ end-id ] 强制指定 IP 地址的在线用户下线 强制指定 MAC 地址的在线用户下线 强制指定 VLAN ID 的在线用户下线 cut access-user ip-address ip-address cut access-user mac-address mac-address cut access-user interface interface-type interface-number [ vlan-id vlan-id ] 5-15

19 5 配置认证与授权 Quidway Eudemon 100E/200/200S 配置指南安全防范分册 配置时请注意 : 作为接入设备, 一个重要的功能就是对用户连接进行控制 根据网络管理的需要, 可以在 NAS 上把在线用户的连接强制断掉 按域名拆除连接时, 域下的所有在线用户都将被强制下线 ; 按用户名拆除连接时, 如果有多个符合条件的连接, 将同时拆除 cut access-user interface 和 cut access-user mac-address 命令只对使用 PPP 连接的用户有效 使用 cut access-user user-id 命令来拆除用户的连接前, 先通过 display access-user 命令查看用户的 user-id 配置闲置切断 对于使用流量计费方式的用户, 启用闲置切断功能可以使用户放心上网, 不必担心忘记下网而带来经济损失 ; 并且, 释放闲置用户占用的连接可以提高系统的利用率 请根据实际需要选择配置步骤 3 步骤 4 或步骤 6 步骤 1 执行命令 system-view, 进入系统视图 步骤 2 执行命令 aaa, 进入 AAA 视图 步骤 3 执行命令 local-user user-name idle-cut, 使能指定本地用户的闲置切断功能 步骤 4 执行命令 vlan-batch user idle-cut interface interface-type interface-number [ start-vlan-id number domain domain-name ] *, 批量配置 VLAN 用户的闲置切断功能 步骤 5 执行命令 domain domain-name, 创建域, 并进入域视图 步骤 6 执行命令 idle-cut interval data-length, 配置域的闲置切断参数 ---- 结束 5.4 配置举例 配置对接入用户的认证示例一 组网需求 用 RADIUS 服务器进行认证 用户所属的域为 huawei RADIUS 服务器 /24 作为主认证服务器,RADIUS 服务器 /24 作为备用认证服务器, 认证端口号默认为

20 配置指南安全防范分册 5 配置认证与授权 组网图 图 5-1 AAA 和 RADIUS 示例组网图 PC PC RADIUS 服务器 /24 Eth0/0/ /24 NAS Eth0/0/ /24 Modem Eudemon Modem Visited network RADIUS 服务器 /24 配置步骤 步骤 1 防火墙基本配置 # 进入系统视图 <Eudemon> system-view # 进入 Ethernet 0/0/0 视图 [Eudemon] interface Ethernet 0/0/0 # 配置 Ethernet 0/0/0 的 IP 地址 [Eudemon-Ethernet0/0/0] ip address [Eudemon-Ethernet0/0/0] quit # 进入 Ethernet 0/0/1 视图 [Eudemon] interface Ethernet 0/0/1 # 配置 Ethernet 0/0/1 的 IP 地址 [Eudemon-Ethernet0/0/1] ip address [Eudemon-Ethernet0/0/1] quit # 进入 Trust 区域视图 [Eudemon] firewall zone trust # 配置 Ethernet 0/0/0 加入 Trust 区域 [Eudemon-zone-trust] add interface Ethernet 0/0/0 5-17

21 5 配置认证与授权 Quidway Eudemon 100E/200/200S 配置指南安全防范分册 [Eudemon-zone-trust] quit # 进入 Untrust 区域视图 [Eudemon] firewall zone untrust # 配置 Ethernet 0/0/1 加入 Untrust 区域 [Eudemon-zone-untrust] add interface Ethernet 0/0/1 [Eudemon-zone-untrust] quit # 创建 ACL [Eudemon] acl 2000 [Eudemon-acl-basic-2000] rule permit source any [Eudemon-acl-basic-2000] quit # 进入 Trust 和 Local 域间视图 [Eudemon] firewall interzone trust local # 配置域间包过滤规则 [Eudemon-interzone-local-trust] packet-filter 2000 inbound [Eudemon-interzone-local-trust] quit # 进入 Local 和 Untrust 域间视图 [Eudemon] firewall interzone local untrust # 配置域间包过滤规则 [Eudemon-interzone-local-untrust] packet-filter 2000 outbound 由于认证过程需要防火墙 Trust 区域内的用户以及 Untrust 区域内的认证服务器三方共同完成, 且 Trust 区域的用户 IP 地址需要由 Eudemon 分配, 没有固定的 IP, 故需要配置防火墙的 Local-Trust 和 Local-Untrust 域间的缺省报过滤规则 [Eudemon-interzone-local-untrust] quit 步骤 2 需求配置 # 创建虚拟接口模板 [Eudemon] interface Virtual-Template 1 # 配置 PPP 认证方式为 PAP [Eudemon-Virtual-Template1] ppp authentication-mode pap 5-18

22 配置指南安全防范分册 5 配置认证与授权 # 配置虚拟接口模板的 IP 地址 [Eudemon-Virtual-Template1] ip address 此处的地址建议与地址池地址的网段相同 # 指定为拨号用户分配的 IP 地址方式 [Eudemon-Virtual-Template1] remote address pool 1 [Eudemon-Virtual-Template1] quit # 配置 PPPoE Server 接口 [Eudemon] interface Ethernet 0/0/0 [Eudemon-Ethernet0/0/0] pppoe-server bind virtual-template 1 [Eudemon-Ethernet0/0/0] quit # 进入 Trust 区域视图 [Eudemon] firewall zone trust # 配置 VT1 加入 Trust 区域 [Eudemon-zone-trust] add interface Virtual-Template 1 配置 PPPoE Server 的接口需要与虚拟接口模板加入同一安全区域 [Eudemon-zone-trust] quit # 创建 RADIUS 服务器模板 [Eudemon] radius-server template shiva # 配置 RADIUS 主认证服务器的 IP 地址和端口 [Eudemon-radius-shiva] radius-server authentication # 配置 RADIUS 从认证服务器的 IP 地址和端口 [Eudemon-radius-shiva] radius-server authentication secondary # 配置 RADIUS 服务器密钥 [Eudemon-radius-shiva] radius-server shared-key my-secret 此处的配置为必配, 且需要与 RADIUS 服务器的配置相同 # 配置 RADIUS 服务器重传次数 [Eudemon-radius-shiva] radius-server retransmit 2 # 配置拨号用户名中包含域名信息 5-19

23 5 配置认证与授权 Quidway Eudemon 100E/200/200S 配置指南安全防范分册 [Eudemon-radius-shiva] radius-server user-name domain-included [Eudemon-radius-shiva] quit # 进入 AAA 视图 [Eudemon] aaa # 配置认证方案, 认证方法为 RADIUS [Eudemon-aaa] authentication-scheme rad [Eudemon-aaa-authen-rad] authentication-mode radius # 退回 AAA 视图 [Eudemon-aaa-authen-rad] quit # 创建名为 huawei 的区域 [Eudemon-aaa] domain huawei # 配置地址池 [Eudemon-aaa-domain-huawei] ip pool # 配置 huawei 域的用户采用 RADIUS 认证方案和名为 shiva 的 RADIUS 模板 [Eudemon-aaa-domain-huawei] authentication-scheme rad [Eudemon-aaa-domain-huawei] radius-server shiva ---- 结束 配置对接入用户的认证示例二 组网需求 用户接入时, 先进行本地认证, 如果认证失败, 再使用 RADIUS 服务器认证 RADIUS 服务器 为主服务器, 认证端口号为 1000 RADIUS 服务器 为备服务器, 认证端口号默认为 1812 组网图 请参见图 5-1 配置步骤 步骤 1 防火墙基本配置 # 进入系统视图 <Eudemon> system-view # 进入 Ethernet 0/0/0 视图 5-20

24 配置指南安全防范分册 5 配置认证与授权 [Eudemon] interface Ethernet 0/0/0 # 配置 Ethernet 0/0/0 的 IP 地址 [Eudemon-Ethernet0/0/0] ip address [Eudemon-Ethernet0/0/0] quit # 进入 Ethernet 0/0/1 视图 [Eudemon] interface Ethernet 0/0/1 # 配置 Ethernet 0/0/1 的 IP 地址 [Eudemon-Ethernet0/0/1] ip address [Eudemon-Ethernet0/0/1] quit # 进入 Trust 区域视图 [Eudemon] firewall zone trust # 配置 Ethernet 0/0/0 加入 Trust 区域 [Eudemon-zone-trust] add interface Ethernet 0/0/0 [Eudemon-zone-trust] quit # 进入 Untrust 区域视图 [Eudemon] firewall zone untrust # 配置 Ethernet 0/0/1 加入 Untrust 区域 [Eudemon-zone-untrust] add interface Ethernet 0/0/1 [Eudemon-zone-untrust] quit # 创建 ACL [Eudemon] acl 2000 [Eudemon-acl-basic-2000] rule permit source any [Eudemon-acl-basic-2000] quit # 进入 Trust 和 Local 域间视图 [Eudemon] firewall interzone trust local # 配置域间包过滤规则 [Eudemon-interzone-local-trust] packet-filter 2000 inbound 5-21

25 5 配置认证与授权 Quidway Eudemon 100E/200/200S 配置指南安全防范分册 [Eudemon-interzone-local-trust] quit # 进入 Local 和 Untrust 域间视图 [Eudemon] firewall interzone local untrust # 配置域间包过滤规则 [Eudemon-interzone-local-untrust] packet-filter 2000 outbound 由于认证过程需要防火墙 Trust 区域内的用户以及 Untrust 区域内的认证服务器三方共同完成, 且 Trust 区域的用户 IP 地址需要由 Eudemon 分配, 没有固定的 IP, 故需要配置防火墙的 Local-Trust 和 Local-Untrust 域间的缺省包过滤规则 [Eudemon-interzone-local-untrust] quit 步骤 2 需求配置 # 配置 RADIUS 服务器模板 [Eudemon] radius-server template shiva # 配置 RADIUS 主认证服务器和端口 [Eudemon-radius-shiva] radius-server authentication # 配置 RADIUS 备认证服务器和端口 [Eudemon-radius-shiva] radius-server authentication secondary # 配置 RADIUS 服务器密钥 [Eudemon-radius-shiva] radius-server shared-key my-secret 此处需要与 RADIUS 服务器配置相同 # 配置 RADIUS 服务器重传次数 [Eudemon-radius-shiva] radius-server retransmit 2 # 配置拨号用户名中包含域信息 [Eudemon-radius-shiva] radius-server user-name domain-included 如果用户为带域名的用户, 则需要配置该命令, 否则不必 [Eudemon-radius-shiva] quit # 进入 AAA 视图 [Eudemon] aaa # 创建本地用户 [Eudemon-aaa] local-user user1@huawei password simple user1@huawei [Eudemon-aaa] local-user user2@huawei password simple user2@huawei 5-22

26 配置指南安全防范分册 5 配置认证与授权 # 配置认证方案, 认证方法为先本地认证后 radius [Eudemon aaa] authentication-scheme l-r [Eudemon-aaa-authen-l-r] authentication-mode local radius # 退回 AAA 视图 [Eudemon-aaa-authen-l-r] quit # 配置 huawei 域, 在域下采用 l-r 认证方案 shiva 的 radius 模板 [Eudemon-aaa] domain huawei [Eudemon-aaa-domain-huawei] authentication-scheme l-r [Eudemon-aaa-domain-huawei] radius-server shiva ---- 结束 如果用户为带域名的用户, 则需要在相应的域下引用认证方案和 RADIUS 模板 如果用户为不带域名的用户, 则需要在 default 域下引用认证方案和 RADIUS 模板 配置对 Telnet 用户的认证示例 组网需求组网图 对 Telnet 用户使用 RADIUS 服务器进行认证 认证服务器使用 , 无备用服务器, 端口号为默认值 1812 图 5-2 对 Telnet 用户的认证示例组网图 PC PC RADIUS 服务器 /24 Eth0/0/ /24 Eth0/0/ /24 Modem Eudemon NAS Modem Visited network 配置步骤 步骤 1 防火墙基本配置 # 进入系统视图 5-23

27 5 配置认证与授权 Quidway Eudemon 100E/200/200S 配置指南安全防范分册 <Eudemon> system-view # 进入 Ethernet 0/0/0 视图 [Eudemon] interface Ethernet 0/0/0 # 配置 Ethernet 0/0/0 的 IP 地址 [Eudemon-Ethernet0/0/0] ip address [Eudemon-Ethernet0/0/0] quit # 进入 Ethernet 0/0/1 视图 [Eudemon] interface Ethernet 0/0/1 # 配置 Ethernet 0/0/1 的 IP 地址 [Eudemon-Ethernet0/0/1] ip address [Eudemon-Ethernet0/0/1] quit # 进入 Trust 区域视图 [Eudemon] firewall zone trust # 配置 Ethernet 0/0/0 加入 Trust 区域 [Eudemon-zone-trust] add interface Ethernet 0/0/0 [Eudemon-zone-trust] quit # 进入 Untrust 区域视图 [Eudemon] firewall zone untrust # 配置 Ethernet 0/0/1 加入 Untrust 区域 [Eudemon-zone-untrust] add interface Ethernet 0/0/1 [Eudemon-zone-untrust] quit # 创建 ACL [Eudemon] acl 2000 [Eudemon-acl-basic-2000] rule permit source any [Eudemon-acl-basic-2000] quit # 进入 Trust 和 Local 域间视图 [Eudemon] firewall interzone trust local # 配置域间包过滤规则 5-24

28 配置指南安全防范分册 5 配置认证与授权 [Eudemon-interzone-local-trust] packet-filter 2000 inbound [Eudemon-interzone-local-trust] quit # 进入 Local 和 Untrust 域间视图 [Eudemon] firewall interzone local untrust # 配置域间包过滤规则 [Eudemon-interzone-local-untrust] packet-filter 2000 outbound 由于认证过程需要防火墙 Trust 区域内的用户以及 Untrust 区域内的认证服务器三方共同完成, 且 Trust 区域的用户 IP 地址需要由 Eudemon 分配, 没有固定的 IP, 故需要配置防火墙的 Local-Trust 和 Local-Untrust 域间的缺省包过滤规则 [Eudemon-interzone-local-untrust] quit 步骤 2 VTY 相关配置 # 进入 VTY 用户接口视图 [Eudemon] user-interface vty 0 4 # 配置 VTY 用户的认证方式 [Eudemon-ui-vty0-4] authentication-mode aaa # 配置 VTY 用户的级别 [Eudemon-ui-vty0-4] user privilege level 3 [Eudemon-ui-vty0-4] quit 步骤 3 需求配置 # 配置 RADIUS 服务器模板 [Eudemon] radius-server template shiva # 配置 RADIUS 主认证服务器和端口 [Eudemon-radius-shiva] radius-server authentication # 配置 RADIUS 服务器密钥 [Eudemon-radius-shiva] radius-server shared-key my-secret 此处需要与 RADIUS 服务器的配置相同 # 配置 RADIUS 服务器重传次数 [Eudemon-radius-shiva] radius-server retransmit 2 # 配置拨号用户名中包含域信息 5-25

29 5 配置认证与授权 Quidway Eudemon 100E/200/200S 配置指南安全防范分册 [Eudemon-radius-shiva] radius-server user-name domain-included 如果用户为带域名的用户, 则需要配置该命令, 否则不必配置 [Eudemon-radius-shiva] quit # 进入 AAA 视图 [Eudemon] aaa # 配置认证方案, 认证方法为 Radius [Eudemon aaa] authentication-scheme r-n [Eudemon-aaa-authen-r-n] authentication-mode radius # 退回 AAA 视图 [Eudemon-aaa-authen-r-n] quit # 进入 huawei 域 [Eudemon-aaa] domain huawei # 在域下采用 r-n 认证方案 shiva 的 radius 模板 [Eudemon-aaa-domain-huawei] authentication-scheme r-n [Eudemon-aaa-domain-huawei] radius-server shiva ---- 结束 如果用户为带域名的用户, 则需要在相应的域下引用认证方案和 RADIUS 模板 ; 如果用户为不带域名的用户, 则需要在 default 域下引用认证方案和 RADIUS 模板 5-26