华为交换机对接Radius配置示例
前言
上次写了一个华为交换机对接tacacs配置示例
本次在讲一下配置Radius认证的基本步骤。
Radius配置包含认证、授权和计费,其中计费不是必须的,只有用户有计费需求或者需要计费报文做用户信息统计时才需要配置。
配置
配置AAA方案。
在认证方案中配置认证模式为RADIUS认证,在计费方案中配置计费模式为RADIUS计费。
RADIUS认证与授权结合,不能分离,认证成功授权也成功,所以不需要配置授权方案。
建议配置本地认证为备份认证模式,来确保在RADIUS服务器故障的情况下,用户可以认证上线。此时,需要在设备上配置本地用户。
交换机不支持本地计费功能,当认证方案中包含本地认证时,开始计费失败策略需要配置为“开始计费失败,允许用户上线”。
#
aaa
authentication-scheme rad1 //认证模板
authentication-mode radius local
accounting-scheme rad1 //计费模板
accounting-mode radius
accounting start-fail online
#配置RADIUS服务器模板
(以本地作为Radius服务器时可以不配置此模板)
在服务器模板下,指定与交换机对接的RADIUS服务器的IP地址、端口号和共享密钥,交换机上的配置信息需要与RADIUS服务器上的信息保持一致。
# radius-server template t1 radius-server shared-key cipher 密码 radius-server authentication 服务器地址 1812 weight 80 radius-server accounting 服务器地址 1813 weight 80 #
配置本地用户
(当配置本地认证为备份认证模式时,需要配置此步骤)
配置本地用户包括配置本地用户名、密码、用户级别和接入类型。
本地用户密码在配置文件中显示为密文形式。本地用户级别默认为0级,可配置级别为0~15级。
缺省情况下,系统中存在一个名称为“admin”的本地用户,该用户的密码为“admin@huawei.com”,用户级别为15级,服务类型为http和terminal。
# local-user user1 password irreversible-cipher $1a$~p]oP2VS:9$[._-/`)oN$5*l\2~IqR=g}g0%kay+H~vlLF/g<^A$ local-user user1 privilege level 15 local-user user1 service-type telnet #
配置域
配置用户所属的域并在域下绑定AAA方案和RADIUS服务器模板。
#
domain huawei
authentication-scheme rad1
accounting-scheme rad1
radius-server t1
#结果验证
1、当对接Radius服务器时:
测试单个用户能否通过RADIUS认证返回超时。
<HUAWEI> test-aaa user1 admin@huawei.com radius-template t1
Info: Account test time out.查看服务对接状态
display radius-server configuration template t12、如果是本地作为Radius服务器的话,则需要借助工具进行测试。
3、登录控制器查看认证日志:在iMaster NCE-Campus选择“策略 > 准入 > 诊断及日志 > 终端认证日志”,选择“Radius日志”,查看Radius日志。
