組網拓撲,和上一節一樣。
配置步驟:
1、配置AC的TACACS方案
<H3C>dis cu | begin tacacs hwtacacs scheme lcj primary authentication 10.22.2.96 key cipher $c$3$mLU1hCFVJnu8HXw9aR3sVU5mJcXT6nvL primary authorization 10.22.2.96 key cipher $c$3$ETPD6qiDayLpLJgb0f2uDwEykw0iyYe+ primary accounting 10.22.2.96 key cipher $c$3$d/tFuOMkOGErl3oAHa6j5keOrDb8gFFl user-name-format without-domain nas-ip 10.22.2.94 #
注意without-domain很重要,否則發送的username攜帶domain,例如user1將會以user1@system發送,導致認證不通過(這裏假設domain爲system)
2、創建domain system
創建ISP域爲system,爲login用戶配置認證方案爲HWTACACS方案,方案名稱爲lcj;配置授權方案爲HWTACACS方案,方案名稱爲lcj;配置計費方案爲不計費;配置命令行授權方案爲HWTACACS,方案名稱爲lcj;配置命令行計費方案爲HWTACACS方案,方案名稱爲lcj
# domain system authentication login hwtacacs-scheme lcj authorization login hwtacacs-scheme lcj accounting login none authorization command hwtacacs-scheme lcj accounting command hwtacacs-scheme lcj #
3、開啓ssh,創建RSA等密鑰對
# public-key local create rs public-key local create dsa ssh server enable #
4、通過執行role default-role enable命令允許用戶使用系統預定義的缺省用戶角色登錄設備,或根據需要在服務器上爲該用戶添加要授權的用戶角色。
# role default-role enable #
5、使能命令行授權功能、命令行審計功能。
# line vty 0 31 authentication-mode scheme user-role network-admin user-role network-operator command authorization command accounting #
6、接下來就是在ISE上的配置,和前面思科的配置一樣,這裏就不過多的累述。
新加華三設備爲NAD的時候,注意別選擇傳統的思科設備(Legacy Cisco device)
然後就是給華三設備的TACACS command set和TACACS profile。
命令集中不允許它輸入dis mem和dis ver命令。
接下來在Policy Set爲華三設備配置授權策略,爲了簡單,直接選擇條件爲所有設備類型,不再配置其他的條件。
其他配置和前文中思科認證的一樣。
接下來進行驗證: