1 AAA

 杨超越 ai换脸杨超越 ai换脸

1.1  AAA简介 1.1.1  综合

AAA（Authentication、Authorization、Accounting，认证、授权、计费）是集聚安全的一种接续机制，提供了认证、授权、计费三种安全功能。

·     认证：阐明拜谒集聚的汉典用户的身份，判断拜谒者是否为正当的集聚用户。

·     授权：对不同用户赋予不同的权限，限定用户不错使用的做事。例如，接续员授权办公用户才略对做事器中的文献进行拜谒和打印操作，而其它临时访客不具备此权限。

·     计费：纪委用户使用集聚做事过程中的扫数操作，包括使用的做事类型、肇端技巧、数据流量等，用于网罗和纪委用户对集聚资源的使用情况，并不错扫尾针对技巧、流量的计费需求，也对集聚起到监视作用。

AAA给与客户端/做事器结构，客户端运行于NAS（Network Access Server，集聚接入做事器）上，稳健考证用户身份与接续用户接入，做事器上则集合接续用户信息。AAA的基本组网结构如图1-1。

图1-1 AAA基本组网结构暗意图

 

当用户想要通过NAS赢得拜谒其它集聚的权柄或取得某些集聚资源的权柄时，起头需要通过AAA认证，而NAS就起到了考证用户的作用。NAS稳健把用户的认证、授权、计费信息透传给做事器。做事器把柄本人的树立对用户的身份进行判断并复返相应的认证、授权、计费远离。NAS把柄做事器复返的远离，决定是否允许用户拜谒外部集聚、获取集聚资源。

AAA不错通过多种契约来扫尾，这些契约规矩了NAS与做事器之间如何传递用户信息。咫尺开发援手RADIUS（Remote Authentication Dial-In User Service，汉典认证拨号用户做事）契约、HWTACACS（HW Terminal Access Controller Access Control System，HW终局拜谒限定器限定系统契约）契约和LDAP（Lightweight Directory Access Protocol，轻量级目次拜谒契约）契约，在本色应用中，最常使用RADIUS契约。

图1-1的AAA基本组网结构中有两台做事器，用户不错把柄本色组网需求来决定认证、授权、计费功能分别由使用哪种契约类型的做事器来承担。例如，不错遴荐HWTACACS做事器扫尾认证和授权，RADIUS做事器扫尾计费。

天然，用户也不错只使用AAA提供的一种或两种安全做事。例如，公司只是想让职工在拜谒某些特定资源时进行身份认证，那么集聚接续员只须树立认证做事器就不错了。然则若但愿对职工使用集聚的情况进行纪录，那么还需要树立计费做事器。

咫尺，开发援手动态口令认证机制。

1.1.2  RADIUS契约简介

RADIUS（Remote Authentication Dial-In User Service，汉典认证拨号用户做事）是一种散播式的、客户端/做事器结构的信拒绝互契约，能保护集聚不受未授权拜谒的打扰，常应用在既要求较高安全性、又允许汉典用户拜谒的各式集聚环境中。RADIUS契约合并了认证和授权的过程，它界说了RADIUS的报文样式偏执音信传输机制，并规矩使用UDP动作封装RADIUS报文的传输层契约，UDP端口1812、1813分别动作认证/授权、计费端口。

RADIUS领先仅是针对拨号用户的AAA契约，其后跟着用户接入形状的种种化发展，RADIUS也恰当多种用户接入形状，如以太网接入、ADSL接入。它通过认证授权来提供接入做事，通过计费来网罗、纪委用户对集聚资源的使用。

1. 客户端/做事器模式

·     客户端：RADIUS客户端一般位于NAS上，不错遍布通盘集聚，稳健将用户信息传输到指定的RADIUS做事器，然后把柄做事器复返的信息进行相应处理（如接纳/断绝用户接入）。

·     做事器：RADIUS做事器一般运行在中心计划机或使命站上，爱戴用户的身份信息和与其关连的集聚做事信息，稳健继承NAS发送的认证、授权、计费请求并进行相应的处理，然后给NAS复返处理远离（如接纳/断绝认证请求）。另外，RADIUS做事器还不错动作一个代理，以RADIUS客户端的身份与其它的RADIUS认证做事器进行通讯，稳健转发RADIUS认证和计费报文。

RADIUS做事器粗造要爱戴三个数据库，如图1-2所示：

图1-2 RADIUS做事器的组成

 

·     “Users”：用于存储用户信息（如用户名、口令以及使用的契约、IP地址等树立信息）。

·     “Clients”：用于存储RADIUS客户端的信息（如NAS的分享密钥、IP地址等）。

·     “Dictionary”：用于存储RADIUS契约中的属性和属性值含义的信息。

2. 安全的消拒绝互机制

RADIUS客户端和RADIUS做事器之间认证音信的交互是通过分享密钥的参与来完成的。分享密钥是一个带传说输的客户端和做事器王人知说念的字符串，不需要单独进行集聚传输。RADIUS报文中有一个16字节的考证字字段，它包含了对通盘报文的数字签名数据，该签名数据是在分享密钥的参与下诈欺MD5算法计划出的。收到RADIUS报文的一方要考证该签名的正确性，如果报文的签名不正确，则丢弃它。通过这种机制，保证了RADIUS客户端和RADIUS做事器之间信拒绝互的安全性。另外，为注意用户密码在不安全的集聚上传递时被窃取，在RADIUS报文传输过程中还诈欺分享密钥对用户密码进行了加密。

3. 用户认证机制

RADIUS做事器援手多种措施来认证用户，例如PAP（Password Authentication Protocol，密码考证契约）、CHAP（Challenge Handshake Authentication Protocol，质询持手考证契约）以及EAP（Extensible Authentication Protocol，可膨胀认证契约）。

4. RADIUS的基本消拒绝互经过

用户、RADIUS客户端和RADIUS做事器之间的交互经过如图1-3所示。

图1-3 RADIUS的基本消拒绝互经过

 

 

消拒绝互经过如下：

(1)     用户发起通顺请求，向RADIUS客户端发送用户名和密码。

(2)     RADIUS客户端把柄获取的用户名和密码，向RADIUS做事器发送认证请求包（Access-Request），其中的密码在分享密钥的参与下诈欺MD5算法进行加密处理。

(3)     RADIUS做事器对用户名和密码进行认证。如果认证得手，RADIUS做事器向RADIUS客户端发送认证接纳包（Access-Accept）；如果认证失败，则复返认证断绝包（Access-Reject）。由于RADIUS契约合并了认证和授权的过程，因此认证接纳包中也包含了用户的授权信息。

(4)     RADIUS客户端把柄继承到的认证远离接入/断绝用户。如果允许用户接入，则RADIUS客户端向RADIUS做事器发送计费运转请求包（Accounting-Request）。

(5)     RADIUS做事器复返计费运转反馈包（Accounting-Response），并运转计费。

(6)     用户运转拜谒集聚资源。

(7)     用户请求断敞开顺。

(8)     RADIUS客户端向RADIUS做事器发送计费罢手请求包（Accounting-Request）。

(9)     RADIUS做事器复返计费扫尾反馈包（Accounting-Response），并罢手计费。

(10)     讲述用户扫尾拜谒集聚资源。

5. RADIUS报文结构

RADIUS给与UDP报文来传输音信，通过定时器机制、重传机制、备用做事器机制，确保RADIUS做事器和客户端之间交互音信的正确收发。RADIUS报文结构如图1-4所示。

图1-4 RADIUS报文结构

 

各字段的证明如下：

(1)     Code域

长度为1个字节，用于说明RADIUS报文的类型，如表1-1所示。

表1-1 Code域的主要取值说明

Code

报文类型

报文说明

1

Access-Request认证请求包

标的Client->Server，Client将用户信息传输到Server，请求Server对用户身份进行考证。该报文中必须包含User-Name属性，可选包含NAS-IP-Address、User-Password、NAS-Port等属性

2

Access-Accept认证接纳包

标的Server->Client，如果Access-Request报文中的扫数Attribute值王人不错接纳（即认证通过），则传输该类型报文

3

Access-Reject认证断绝包

标的Server->Client，如果Access-Request报文中存在职何无法被接纳的Attribute值（即认证失败），则传输该类型报文

4

Accounting-Request计费请求包

标的Client->Server，Client将用户信息传输到Server，请求Server运转/罢手计费。该报文中的Acct-Status-Type属性用于区分计费运转请乞降计费扫尾请求

5

Accounting-Response计费反馈包

标的Server->Client，Server讲述Client依然收到Accounting-Request报文，况兼依然正确纪录计费信息

 

(2)     Identifier域

长度为1个字节，用于匹配请求包和反馈包，以及检测在一段技巧内重发的请求包。对于类型一致且属于归并个交互过程的请求包和反馈包，该Identifier值疏导。

(3)     Length域

长度为2个字节，线路RADIUS数据包（包括Code、Identifier、Length、Authenticator和Attribute）的长度，单元为字节。朝上Length域的字节将动作填充字符被忽略。如果继承到的包的本色长度小于Length域的值时，则包会被丢弃。

(4)     Authenticator域

长度为16个字节，用于考证RADIUS做事器的应薪金文，另外还用于用户密码的加密。Authenticator包括两种类型：Request Authenticator和Response Authenticator。

(5)     Attribute域

不定长度，用于佩戴有益的认证、授权和计费信息。Attribute域可包括多个属性，每一个属性王人给与（Type、Length、Value）三元组的结构来线路。

·     类型（Type）：线路属性的类型。

·     长度（Length）：线路该属性（包括类型、长度和属性值）的长度，单元为字节。

·     属性值（Value）：线路该属性的信息，其样式和内容由类型决定。

表1-2列出了RADIUS认证、授权、计费常用的属性，这些属性由RFC 2865、RFC 2866、RFC 2867和RFC 2868所界说。常用RADIUS尺度属性的先容请参见“1.1.7  1. 常用RADIUS尺度属性”。

表1-2 RADIUS属性

属性编号

属性称号

属性编号

属性称号

1

User-Name

45

Acct-Authentic

2

User-Password

46

Acct-Session-Time

3

CHAP-Password

47

Acct-Input-Packets

4

NAS-IP-Address

48

Acct-Output-Packets

5

NAS-Port

49

Acct-Terminate-Cause

6

Service-Type

50

Acct-Multi-Session-Id

7

Framed-Protocol

51

Acct-Link-Count

8

Framed-IP-Address

52

Acct-Input-Gigawords

9

Framed-IP-Netmask

53

Acct-Output-Gigawords

10

Framed-Routing

54

(unassigned)

11

Filter-ID

55

Event-Timestamp

12

Framed-MTU

56-59

(unassigned)

13

Framed-Compression

60

CHAP-Challenge

14

Login-IP-Host

61

NAS-Port-Type

15

Login-Service

62

Port-Limit

16

Login-TCP-Port

63

Login-LAT-Port

17

(unassigned)

64

Tunnel-Type

18

Reply-Message

65

Tunnel-Medium-Type

19

Callback-Number

66

Tunnel-Client-Endpoint

20

Callback-ID

67

Tunnel-Server-Endpoint

21

(unassigned)

68

Acct-Tunnel-Connection

22

Framed-Route

69

Tunnel-Password

23

Framed-IPX-Network

70

ARAP-Password

24

State

71

ARAP-Features

25

Class

72

ARAP-Zone-Access

26

Vendor-Specific

73

ARAP-Security

27

Session-Timeout

74

ARAP-Security-Data

28

Idle-Timeout

75

Password-Retry

29

Termination-Action

76

Prompt

30

Called-Station-Id

77

Connect-Info

31

Calling-Station-Id

78

Configuration-Token

32

NAS-Identifier

79

EAP-Message

33

Proxy-State

80

Message-Authenticator

34

Login-LAT-Service

81

Tunnel-Private-Group-id

35

Login-LAT-Node

82

Tunnel-Assignment-id

36

Login-LAT-Group

83

Tunnel-Preference

37

Framed-AppleTalk-Link

84

ARAP-Challenge-Response

38

Framed-AppleTalk-Network

85

Acct-Interim-Interval

39

Framed-AppleTalk-Zone

86

Acct-Tunnel-Packets-Lost

40

Acct-Status-Type

87

NAS-Port-Id

41

Acct-Delay-Time

88

Framed-Pool

42

Acct-Input-Octets

89

(unassigned)

43

Acct-Output-Octets

90

Tunnel-Client-Auth-id

44

Acct-Session-Id

91

Tunnel-Server-Auth-id

 

6. RADIUS膨胀属性

RADIUS契约具有邃密的可膨胀性，RFC 2865中界说的26号属性（Vendor-Specific）用于开发厂商对RADIUS进行膨胀，以扫尾尺度RADIUS莫得界说的功能。

开发厂商不错在26号属性中封装多个自界说的（Type、Length、Value）子属性，以提供更多的膨胀功能。26号属性的样式如图1-5所示：

·     Vendor-ID，线路厂商代号，最高字节为0，其余3字节的编码见RFC 1700。H3C公司的Vendor-ID是25506。

·     Vendor-Type，线路子属性类型。

·     Vendor-Length，线路子属性长度。

·     Vendor-Data，线路子属性的内容。

对于H3C RADIUS膨胀属性的先容请参见“1.1.7  2. H3C RADIUS膨胀属性”。

图1-5 26号属性的样式

 

1.1.3  HWTACACS契约简介

HWTACACS（HW Terminal Access Controller Access Control System，HW终局拜谒限定器限定系统契约）是在TACACS（RFC 1492）基础上进行了功能增强的安全契约。该契约与RADIUS契约雷同，给与客户端/做事器模式扫尾NAS与HWTACACS做事器之间的通讯。

HWTACACS契约主要用于PPP（Point-to-Point Protocol，点对点契约）和VPDN（Virtual Private Dial-up Network，臆造专用拨号集聚）接入用户及终局用户的认证、授权和计费。其典型应用是对需要登录到NAS开发上进行操作的终局用户进行认证、授权以及对终局用户扩充的操作进行纪录。开发动作HWTACACS的客户端，将用户名和密码发给HWTACACS做事器进行考证，用户考证通过并得到授权之后不错登录到开发上进行操作，HWTACACS做事器上会纪委用户对开发扩充过的号召。

1. HWTACACS契约与RADIUS契约的区别

HWTACACS契约与RADIUS契约王人扫尾了认证、授权和计费功能，它们有好多同样点：结构上王人给与客户端/做事器模式；王人使用分享密钥对传输的用户信息进行加密；王人有较好的纯真性和可膨胀性。两者之间存在的主要区别如表1-3所示。

表1-3 HWTACACS契约和RADIUS契约区别

HWTACACS契约

RADIUS契约

使用TCP，集聚传输更可靠

使用UDP，集聚传输遵循更高

除了HWTACACS报文头，对报文主体全部进行加密

只对认证报文中的密码字段进行加密

契约报文较为复杂，认证和授权分离，使得认证、授权做事不错分离在不同的做事器上扫尾。例如，不错用一个HWTACACS做事器进行认证，另外一个HWTACACS做事器进行授权

契约报文比拟浅近，认证和授权联接，难以分离

援手对开发的树立号召进行授权使用。用户可使用的号召行受到用户扮装和AAA授权的双重限定，某扮装的用户输入的每一条号召王人需要通过HWTACACS做事器授权，如果授权通过，号召就不错被扩充

不援手对开发的树立号召进行授权使用

用户登录开发后不错使用的号召行由用户所具有的扮装决定，对于用户扮装的关连先容请参见“基础树立指导”中的“RBAC”

 

2. HWTACACS的基本消拒绝互经过

底下以Telnet用户为例，说明使用HWTACACS对用户进行认证、授权和计费的过程。基本消拒绝互经过图如图1-6所示。

图1-6 Telnet用户认证、授权和计费经过图

 

基本消拒绝互经过如下：

(1)     Telnet用户请求登录开发。

(2)     HWTACACS客户端收到请求之后，向HWTACACS做事器发送认证运转报文。

(3)     HWTACACS做事器发送认证回报报文，请求用户名。

(4)     HWTACACS客户端收到回报报文后，向用户征询用户名。

(5)     用户输入用户名。

(6)     HWTACACS客户端收到用户名后，向HWTACACS做事器发送认证持续报文，其中包括了用户名。

(7)     HWTACACS做事器发送认证回报报文，请求登录密码。

(8)     HWTACACS客户端收到回报报文，向用户征询登录密码。

(9)     用户输入密码。

(10)     HWTACACS客户端收到登录密码后，向HWTACACS做事器发送认证持续报文，其中包括了登录密码。

(11)     如果认证得手，HWTACACS做事器发送认证回报报文，携带用户通过认证。

(12)     HWTACACS客户端向HWTACACS做事器发送授权请求报文。

(13)     如果授权得手，HWTACACS做事器发送授权回报报文，携带用户通过授权。

(14)     HWTACACS客户端收到授权得手报文，向用户输出开发的树立界面，允许用户登录。

(15)     HWTACACS客户端向HWTACACS做事器发送计费运转报文。

(16)     HWTACACS做事器发送计费回报报文，携带计费运转报文依然收到。

(17)     用户请求断敞开顺。

(18)     HWTACACS客户端向HWTACACS做事器发送计费扫尾报文。

(19)     HWTACACS做事器发送计费扫尾报文，携带计费扫尾报文依然收到。

1.1.4  LDAP契约简介

LDAP（Lightweight Directory Access Protocol，轻量级目次拜谒契约）是一种目次拜谒契约，用于提供跨平台的、基于尺度的目次做事。它是在X.500契约的基础上发展起来的，承袭了X.500的优点，并对X.500在读取、浏览和查询操作方面进行了改良，妥贴于存储那些不粗造改革的数据。

LDAP契约的典型应用是用来保存系统中的用户信息，如Microsoft的Windows操作系统就使用了Active Directory Server（一种LDAP做事器软件）来保存操作系统的用户、用户组等信息，用于用户登录Windows时的认证和授权。

1. LDAP目次做事

LDAP中使用目次纪录并接续系统中的组织信息、东说念主员信息以及资源信息。目次按照树型结构组织，由多个条件（Entry）组成的。条件是具有DN（Distinguished Name，可区别号）的属性（Attribute）连合。属性用来承载各式类型的数据信息，例如用户名、密码、邮件、计划机名、筹谋电话等。

LDAP契约基于Client/Server结构提供目次做事功能，扫数的目次信息数据存储在LDAP做事器上。咫尺，Microsoft的Active Directory Server、IBM的Tivoli Directory Server和Sun的Sun ONE Directory Server王人是常用的LDAP做事器软件。

2. 使用LDAP契约进行认证和授权

AAA不错使用LDAP契约对用户提供认证和授权做事。LDAP契约中界说了多种操作来扫尾LDAP的各式功能，用于认证和授权的操作东要为绑定和查询。

·     绑定操作的作用有两个：一是与LDAP做事器建立通顺并获取LDAP做事器的拜谒权限。二是用于检查用户信息的正当性。

·     查询操作即是构造查询条件，并获取LDAP做事器的目次资源信息的过程。

使用LDAP契约进行认证时，其基本的使命经过如下：

(1)     LDAP客户端使用LDAP做事器接续员DN与LDAP做事器进行绑定，与LDAP做事器建立通顺并赢得查询权限。

(2)     LDAP客户端使用认证信息中的用户名构造查询条件，在LDAP做事器指定根目次下查询此用户，得到用户的DN。

(3)     LDAP客户端使用用户DN和用户密码与LDAP做事器进行绑定，检查用户密码是否正确。

使用LDAP契约进行授权的过程与认证过程同样，起头必须通过与LDAP做事器进行绑定，建立与做事器的通顺，然后在此通顺的基础上通过查询操作得到用户的授权信息。与认证过程稍有不同的是，在查询用户DN时，除大致赢得用户DN外，还不错赢得用户信息中的授权信息。如果查询用户DN时便大致赢得相应的授权信息，则授权过程与认证过程疏导；不然还需要再次以LDAP做事器接续员身份与LDAP做事器进行绑定，并在赢得相应的目次查询权限后，使用查询到的用户DN构造查询条件，络续对该用户的其它授权信息进行查询。

3. LDAP的基本消拒绝互经过

底下以Telnet用户登录开发为例，说明如何使用LDAP来对用户进行的认证和授权。基本消拒绝互经过如图1-7所示。

图1-7 LDAP认证的基本消拒绝互经过

 

基本消拒绝互经过如下：

(1)     用户发起通顺请求，向LDAP客户端发送用户名和密码。

(2)     LDAP客户端收到请求之后，与LDAP做事器建立TCP通顺。

(3)     LDAP客户端以接续员DN和接续员DN密码为参数向LDAP做事器发送接续员绑定请求报文（Administrator Bind Request）赢得查询权限。

(4)     LDAP做事器进行绑定请求报文的处理。如果绑定得手，则向LDAP客户端发送绑定得手的回报报文。

(5)     LDAP客户端以输入的用户名为参数，向LDAP做事器发送用户DN查询请求报文（User DN Search Request）。

(6)     LDAP做事器收到查询请求报文后，把柄报文中的查询肇端地址、查询边界、以及过滤条件，对用户DN进行查找。如果查询得手，则向LDAP客户端发送查询得手的回报报文。查询得到的用户DN不错是一或多个。

(7)     LDAP客户端以查询得到的用户DN和用户输入的密码为参数，向LDAP做事器发送用户DN绑定请求报文（User DN Bind Request），检查用户密码是否正确。

(8)     LDAP做事器进行绑定请求报文的处理。

·     如果绑定得手，则向LDAP客户端发送绑定得手的回报报文。

·     如果绑定失败，则向LDAP客户端发送绑定失败的回报报文。LDAP客户端以下一个查询到的用户DN（如果存在的话）为参数，络续向做事器发送绑定请求，直至有一个DN绑定得手，或者扫数DN均绑定失败。如果扫数用户DN王人绑定失败，则LDAP客户端讲述用户登录失败并断绝用户接入。

(9)     LDAP客户端与LDAP做事器进行授权报文的交互。如果需要使用其它有打算（如HWTACACS等）络续进行授权，则与对应做事器进行授权报文的交互。

(10)     授权得手之后，LDAP客户端讲述用户登录得手。

1.1.5  开发的AAA扫尾 1. 基于域的用户接续

NAS对用户的接续是基于ISP（Internet Service Provider，互联网做事提供者）域的，每个用户王人属于一个ISP域。一般情况下，用户所属的ISP域是由用户登录时提供的用户名决定的，如图1-8所示。

图1-8 用户名决定域名

 

 

为便于对不同接入形状的用户进行区分摊理，提供更为考究且有各异化的认证、授权、计费做事，AAA将用户区别为以下几个类型：

·     lan-access用户：LAN接入用户，如802.1X认证、MAC地址认证用户。

·     login用户：登录开发用户，如SSH、Telnet、FTP、终局接入用户（即从Console口登录的用户）。

·     Portal接入用户。

·     Web用户：使用HTTP或HTTPS做事登录开发Web界面的用户。

对于某些接入形状，用户最终所属的ISP域可由该相应的认证模块（例如802.1X）提供号召行来指定，用于称心一定的用户认证接续战术。

2. 扫尾AAA的措施

在具体扫尾中，一个ISP域对应着开发上一套扫尾AAA的树立战术，它们是接续员针对该域用户制定的一套认证、授权、计费措施，可把柄用户的接入特征以及不同的安全需求组合使用。

AAA援手以下认证措施：

·     不认证：对用户相等信任，分歧其进行正当性检查，一般情况下不给与这种措施。

·     腹地认证：认证过程在接入开发上完成，用户信息（包括用户名、密码和各式属性）树立在接入开发上。优点是速率快，不错造谣运营资本；弱点是存储信息量受开发硬件条件限定。

·     远端认证：认证过程在接入开发和远端的做事器之间完成，接入开发和远端做事器之间通过RADIUS、HWTACACS或LDAP契约通讯。优点是用户信息集合在做事器上长入接续，可扫尾大容量、高可靠性、援手多开发的集合式长入认证。当远端做事器无效时，可树立备选认证形状完成认证。

AAA援手以下授权措施：

·     不授权：接入开发不请求授权信息，分歧用户不错使用的操作以及用户允许使用的集聚做事进行授权。此时，认证通过的login用户唯有系统所赐与的缺省用户扮装，其中FTP/SFTP/SCP用户的使命目次是开发的根目次，但并无拜谒权限；认证通过的非login用户，可径直拜谒集聚。对于缺省用户扮装的详备先容请参见“基础树立指导”中的“RBAC”。

·     腹地授权：授权过程在接入开发上进行，把柄接入开发上为腹地用户树立的关连属性进行授权。

·     远端授权：授权过程在接入开发和远端做事器之间完成。RADIUS契约的认证和授权是绑定在沿途的，不可单独使用RADIUS进行授权。RADIUS认证得手后，才略进行授权，RADIUS授权信息佩戴在认证回报报文中下发给用户。HWTACACS契约的授权与认证相分离，在认证得手后，HWTACACS授权信息通过授权报文进行交互。当远端做事器无效时，可树立备选授权形状完成授权。

AAA援手以下计费措施：

·     不计费：分歧用户计费。

·     腹地计费：计费过程在接入开发上完成，扫尾了腹地用户通顺数的统计和限定，并莫得本色的用度统计功能。

·     远端计费：计费过程在接入开发和远端的做事器之间完成。当远端做事器无效时，可树立备选计费形状完成计费。

除此以外，对于login用户，AAA还不错对其提供以下做事，用于晋升对开发操作的安全性：

·     号召行授权：用户扩充的每一条号召王人需要接纳授权做事器的检查，唯有授权得手的号召才被允许扩充。对于号召行授权的详备先容请参考“基础树立指导”中的“登录开发”。

·     号召行计费：若未开启号召行授权功能，则计费做事器对用户扩充过的扫数有用号召进行纪录；若开启了号召行授权功能，则计费做事器仅对授权通过的号召进行纪录。对于号召行计费的详备先容请参考“基础树立指导”中的“登录开发”。

·     用户扮装切换认证：在不退出现时登录、接续开现时通顺的前提下，用户将现时的用户扮装切换为其它用户扮装时，唯有通过做事器的认证，该切换操作才被允许。对于用户扮装切换的详备先容请参考“基础树立指导”中的“RBAC”。

1.1.6  契约程序

与AAA、RADIUS、HWTACACS、LDAP关连的契约程序有：

·     RFC 2865：Remote Authentication Dial In User Service (RADIUS)

·     RFC 2866：RADIUS Accounting

·     RFC 2867：RADIUS Accounting Modifications for Tunnel Protocol Support

·     RFC 2868：RADIUS Attributes for Tunnel Protocol Support

·     RFC 2869：RADIUS Extensions

·     RFC 1492：An Access Control Protocol， Sometimes Called TACACS

·     RFC 1777：Lightweight Directory Access Protocol

·     RFC 2251：Lightweight Directory Access Protocol (v3)

1.1.7  RADIUS属性 1. 常用RADIUS尺度属性

表1-4 常用RADIUS尺度属性

属性编号

属性称号

模样

1

User-Name

需要进行认证的用户称号

2

User-Password

需要进行PAP形状认证的用户密码，在给与PAP认证形状时，该属性仅出咫尺Access-Request报文中

3

CHAP-Password

需要进行CHAP形状认证的用户密码的音信摘录。在给与CHAP认证形状时，该属性出咫尺Access-Request报文中

4

NAS-IP-Address

Server通过不同的IP地址来标记不同的Client，粗造Client给与腹地一个接口的IP地址来独一的标记我方，这即是NAS-IP-Address。该属性携带现时发起请求的Client的NAS-IP-Address。该字段仅出咫尺Access-Request报文中

5

NAS-Port

用户接入NAS的物理端标语

6

Service-Type

用户肯求认证的业务类型

7

Framed-Protocol

用户Frame类型业务的封装契约

8

Framed-IP-Address

为用户所树立的IP地址

11

Filter-ID

拜谒限定列表的称号

12

Framed-MTU

用户与NAS之间数据链路的MTU（Maximum Transmission Unit，最大传输单元）值。例如在802.1X的EAP形状认证中，NAS通过Framed-MTU值携带Server发送EAP报文的最大长度，注意EAP报文大于数据链路MTU导致的报文丢失

14

Login-IP-Host

用户登录开发的接口IP地址

15

Login-Service

用户登录开发时给与的业务类型

18

Reply-Message

做事器反馈给用户的纯文本模样，可用于向用户暴露认证失败的原因

26

Vendor-Specific

厂商自界说的特有属性。一个报文中不错有一个或者多个特有属性，每个特有属性中不错有一个或者多个子属性

27

Session-Timeout

会话扫尾之前，给用户提供做事的最大技巧，即用户的最大可用时长

28

Idle-Timeout

会话扫尾之前，允许用户持续寂静的最大技巧，即用户的限定割断技巧

31

Calling-Station-Id

NAS用于向Server见告标记用户的号码，在我司开发提供的lan-access业务中，该字段填充的是用户的MAC地址，给与的“HHHH-HHHH-HHHH”样式封装

32

NAS-Identifier

NAS用来向Server标记我方的称号

40

Acct-Status-Type

计费请求报文的类型

·     1：Start

·     2：Stop

·     3：Interim-Update

·     4：Reset-Charge

·     7：Accounting-On（3GPP中有界说）

·     8：Accounting-Off （3GPP中有界说）

·     9-14：Reserved for Tunnel Accounting

·     15：Reserved for Failed

45

Acct-Authentic

用户给与的认证形状，包括RADIUS，Local以及Remote

60

CHAP-Challenge

在CHAP认证中，由NAS生成的用于MD5计划的随即序列

61

NAS-Port-Type

NAS认证用户的端口的物理类型

·     15：以太网

·     16：扫数种类的ADSL

·     17：Cable（有线电视电缆）

·     19：WLAN-IEEE 802.11

·     201：VLAN

·     202：ATM

如果在ATM或以太网端口上还区别VLAN，则该属性值为201

79

EAP-Message

用于封装EAP报文，扫尾RADIUS契约对EAP认证形状的援手

80

Message-Authenticator

用于对认证报文进行认证和校验，注意犯警报文糊弄。该属性在RADIUS契约援手EAP认证形状被使用

87

NAS-Port-Id

用字符串来模样的认证端口信息

 

2. H3C RADIUS膨胀属性

表1-5 H3C RADIUS膨胀属性

子属性编号

子属性称号

模样

1

Input-Peak-Rate

用户接入到NAS的峰值速率，以bps为单元

2

Input-Average-Rate

用户接入到NAS的平均速率，以bps为单元

3

Input-Basic-Rate

用户接入到NAS的基本速率，以bps为单元

4

Output-Peak-Rate

从NAS到用户的峰值速率，以bps为单元

5

Output-Average-Rate

从NAS到用户的平均速率，以bps为单元

6

Output-Basic-Rate

从NAS到用户的基本速率，以bps为单元

15

Remanent_Volume

线路该通顺的剩余可用总流量。对于不同的做事器类型，此属性的单元不同

20

Command

用于会话限定，线路对会话进行操作，此属性有五种取值

·     1：Trigger-Request

·     2：Terminate-Request

·     3：SetPolicy

·     4：Result

·     5：PortalClear

24

Control_Identifier

做事器重发报文的标记符，对于归并会话中的重发报文，本属性必须疏导。不同的会话的报文佩戴的该属性值可能疏导。相应的客户端反馈报文必须佩戴该属性，其值不变

在运转、罢手或中间上报流量的Accounting-Request报文中，若带有Control_Identifier属性，此时的Control_Identifier属性无本色道理

25

Result_Code

线路Trigger-Request或SetPolicy的远离，0线路得手，非0线路失败

26

Connect_ID

用户通顺索引

28

Ftp_Directory

FTP/SFTP/SCP用户使命目次

对于FTP/SFTP/SCP用户，当RADIUS客户端动作FTP/SFTP/SCP做事器时，该属性用于诞生RADIUS客户端上的FTP/SFTP/SCP目次

29

Exec_Privilege

EXEC用户优先级

59

NAS_Startup_Timestamp

NAS系统启动技巧，以秒为单元，线路从1970年1月1日UTC 00:00:00以来的秒数

60

Ip_Host_Addr

认证请乞降计费请求报文中佩戴的用户IP地址和MAC地址，样式为“A.B.C.D hh:hh:hh:hh:hh:hh”，IP地址和MAC地址之间以空格分开

61

User_Notify

做事器需要透传到客户端的信息

62

User_HeartBeat

802.1X用户认证得手后下发的32字节的Hash字符串，该属性值被保存在开发的用户列表中，用于校验802.1X客户端的持手报文

该属性仅出咫尺Access-Accept和Accounting-Request报文中

140

User_Group

SSL VPN用户认证得手后下发的用户组，一个用户不错属于多个用户组，多个用户组之间使用分号格开。本属性用于与SSL VPN开发合作

141

Security_Level

SSL VPN用户安全认证之后下发的安全级别

201

Input-Interval-Octets

两次及时计费间隔的输入的字节差，以Byte为单元

202

Output-Interval-Octets

两次及时计费间隔的输出的字节差，以Byte为单元

203

Input-Interval-Packets

两次计费间隔的输入的包数，单元由开发上的树立决定

204

Output-Interval-Packets

两次计费间隔的输出的包数，单元由开发上的树立决定

205

Input-Interval-Gigawords

两次计费间隔的输入的字节差是4G字节的几许倍

206

Output-Interval-Gigawords

两次计费间隔的输出的字节差是4G字节的几许倍

207

Backup-NAS-IP

NAS发送RADIUS报文的备份源IP地址

255

Product_ID

居品称号

 

1.2  AAA树立想路及树立任务简介

在动作AAA客户端的接入开发（扫尾NAS功能的集聚开发）上，AAA的基本树立想路如下：

(1)     树立AAA有打算：把柄不同的组网环境，树立相应的AAA有打算。

·     腹地认证：由NAS本人对用户进行认证、授权和计费。需要树立腹地用户，即local user的关连属性，包括手动添加用户的用户名和密码等。

·     汉典认证：由汉典AAA做事器来对用户进行认证、授权和计费。需要树立RADIUS、HWTACACS或LDAP有打算。

(2)     树立扫尾AAA的措施：在用户所属的ISP域均分别指定扫尾认证、授权、计费的措施。其中，汉典认证、授权、计费措施中均需要援用依然树立的RADIUS、HWTACACS或LDAP有打算。

·     认证措施：可遴荐不认证（none）、腹地认证（local）或汉典认证（scheme）；

·     授权措施：可遴荐不授权（none）、腹地授权（local）或汉典授权（scheme）；

·     计费措施：可遴荐不计费（none）、腹地计费（local）或汉典计费（scheme）。

图1-9 AAA基本树立想路经过图

 

表1-6 AAA树立任务简介

树立任务

说明

详备树立

树立AAA有打算

树立腹地用户

四者至少选其一

1.3.1 

树立RADIUS有打算

1.3.2 

树立HWTACACS有打算

1.3.3 

树立LDAP有打算

1.3.4 

在ISP域中树立扫尾AAA的措施

创建ISP域

必选

1.4.2 

树立ISP域的属性

可选

1.4.3 

树立ISP域的AAA认证措施

三者至少选其一

1.4.4 

树立ISP域的AAA授权措施

1.4.5 

树立ISP域的AAA计费措施

1.4.6 

树立RADIUS session control功能

可选

1.5 

限定同期在线的最大用户通顺数

可选

1.6 

树立NAS-ID与VLAN的绑定

可选

1.7 

 

1.3  树立AAA有打算 1.3.1  树立腹地用户

当遴荐使用腹地认证、腹地授权、腹地计费措施对用户进行认证、授权或计费时，应在开发上创建腹地用户并树立关连属性。

所谓腹地用户，是指在腹地开发上诞生的一组用户属性的连合。该连合以用户名和用户类别为用户的独一标记。腹地用户分为两类，一类是开发接续用户；另一类是集聚接入用户。开发接续用户供开发接续员登录开发使用，集聚接入用户供通过开发拜谒集聚做事的用户使用。为使某个请求集聚做事的用户不错通过腹地认证，需要在开发上的腹地用户数据库中添加相应的表项。具体武艺是，创建一个腹地用户并参预腹地用户视图，然后在腹地用户视图下树立相应的用户属性，可树立的用户属性包括：

·     做事类型

用户可使用的集聚做事类型。该属性是腹地认证的检测项，如果莫得用户不错使用的做事类型，则该用户无法通过认证。

援手的做事类型包括：FTP、HTTP、HTTPS、lan-access、Portal、SSH、Telnet、Terminal。

·     用户景况

包括active和block两种景况。active线路允许该用户请求集聚做事，block线路系统辞谢该用户进行新的认证、授权、计费请求，然则不错继承依然得手计用度户的罢手计费请求。

·     最大用户数

使用现时用户名接入开发的最大用户数量。若现时该用户名的接入用户数已达最大值，则使用该用户名的新用户将被辞谢接入。

·     所属的用户组

每一个腹地用户王人属于一个腹地用户组，并承袭组中的扫数属性（密码接续属性和用户授权属性）。对于腹地用户组的先容和树立请参见“1.3.1  3. 树立用户组属性”。

·     绑定属性

用户认证时需要检测的属性，用于限定接入用户的边界。若用户的本色属性与诞生的绑定属性不匹配，则不可通过认证，因此在树立绑定属性时要斟酌该用户是否需要绑定某些属性。可绑定的属性包括：用户IP地址、用户接入端口、用户MAC地址、用户所属VLAN。各属性的使用及援手情况请见表1-8。

·     用户授权属性

用户认证通事后，接入开发下发给用户的权限。援手的授权属性包括：ACL、闲置割断功能、用户扮装、VLAN、FTP/SFTP/SCP使命目次。各属性的援手情况请见表1-8。由于可树立的授权属性王人有其明确的使用环境和用途，因此树立授权属性时要斟酌该用户是否需要某些属性。

腹地用户的授权属性在用户组和腹地用户视图下王人不错树立，且腹地用户视图下的树立优先级高于用户组视图下的树立。用户组的树立对组内扫数腹地用户见效。

·     密码接续属性

用户密码的安全属性，可用于对开发接续类腹地用户的认证密码进行接续和限定。可诞生的战术包括：密码老化技巧、密码最小长度、密码组合战术、密码复杂度检查战术和用户登录尝试次数限定战术。

腹地用户的密码接续属性在系统视图（具有全局性）、用户组视图和腹地用户视图下王人不错树立，其见效的优先级法则由高到底轮番为腹地用户、用户组、全局。全局树立对扫数腹地用户见效，用户组的树立对组内扫数腹地用户见效。关联密码接续以及全局密码树立的详备先容请参见“安全树立指导”中的“Password Control”。

表1-7 树立任务简介

树立任务

说明

详备树立

树立腹地用户属性

必选

1.3.1  2.

树立用户组属性

可选

1.3.1  3.

腹地用户及腹地用户组暴露与爱戴

可选

1.3.1  4.

 

2. 树立腹地用户属性

树立腹地用户属性时，有以下树立限定和指导：

·     使能全局密码接续功能（通过号召password-control enable）后，开发上将不暴露树立的腹地用户密码。

·     授权属性和密码限定属性均不错在腹地用户视图和用户组视图下树立，各视图下的树立优先级法则从高到底轮番为：腹地用户视图-->用户组视图。

表1-8 树立腹地用户的属性

操作

号召

说明

参预系统视图

在线自拍在线偷拍视频

system-view

-

添加腹地用户，并参预腹地用户视图

local-user user-name [ class { manage | network } ]

缺省情况下，不存在腹地用户

（可选）诞生腹地用户的密码

对于集聚接入类（network）腹地用户

password { cipher | simple } password

集聚接入类用户的密码将在加密运算后以密文的形状保存到树立文献中

开发接续类用户的密码将在哈希计划后以密文的形状保存到树立文献中

若不诞生密码，则腹地用户认证时无需输入密码，只须用户名有用且其它属性考证通过即可认证得手，因此为晋升用户帐户的安全性，提议诞生腹地用户密码

对于开发接续类（manage）腹地用户

非FIPS模式下：

password [ { hash | simple } password ]

FIPS模式下：

password

诞生腹地用户不错使用的做事类型

对于集聚接入类（network）腹地用户

service-type { lan-access | portal }

缺省情况下，腹地用户不可使用任何做事类型

对于开发接续类（manage）腹地用户

非FIPS模式下：

service-type { ftp | { http | https | ssh | telnet | terminal } * }

FIPS模式下：

service-type { https | ssh | terminal } *

（可选）诞生腹地用户的景况

state { active | block }

缺省情况下，当一个腹地用户被创建以后，其景况为active，允许该用户请求集聚做事

（可选）诞生使用现时腹地用户名接入开发的最大用户数

access-limit max-user-number

缺省情况下，不限定使用现时腹地用户名接入的用户数

由于FTP/SFTP/SCP用户不援手计费，因此FTP/SFTP/SCP用户不受此属性限定

（可选）诞生腹地用户的绑定属性

bind-attribute { ip ip-address | location interface interface-type interface-number | mac mac-address | vlan vlan-id } *

缺省情况下，未诞生腹地用户的任何绑定属性

·     绑定属性ip仅适用于lan-access类型中的802.1X用户；

·     绑定属性location、mac和vlan仅适用于lan-access类型的用户

（可选）诞生腹地用户的授权属性

authorization-attribute { acl acl-number | idle-cut minute | user-profile profile-name | user-role role-name | vlan vlan-id | work-directory directory-name } *

缺省情况下，授权FTP/SFTP/SCP用户不错拜谒的目次为开发的根目次，但无拜谒权限。由用户扮装为network-admin或者level-15的用户创建的腹地用户被授权用户扮装network-operator

·     对于lan-access用户，仅授权属性acl、user-profile和vlan有用；

·     对于Portal用户，仅授权属性acl、idle-cut、user-profile和vlan有用；

·     对于http、https、telnet、terminal用户，仅授权属性user-role有用；

·     对于ssh、ftp用户，仅授权属性user-role和work-directory有用；

·     对于其它类型的腹地用户，扫数授权属性均无效

（可选）诞生开发接续类腹地用户的密码接续属性

密码老化技巧

password-control aging aging-time

缺省情况下，给与腹地用户所属用户组的密码接续战术

仅开发接续类的腹地用户援手腹地用户密码接续功能

密码最小长度

password-control length length

密码组合战术

password-control composition type-number type-number [ type-length type-length ]

密码的复杂度检查战术

password-control complexity { same-character | user-name } check

用户登录尝试次数以及登录尝试失败后的行为

password-control login-attempt login-times [ exceed { lock | lock-time time | unlock } ]

（可选）诞生腹地用户所属的用户组

group group-name

缺省情况下，腹地用户属于系统默许创建的用户组system

 

3. 树立用户组属性

为了简化腹地用户的树立，增强腹地用户的可接续性，引入了用户组的倡导。用户组是一个腹地用户属性的连合，某些需要集合接续的属性可在用户组中长入树立和接续，用户组内的扫数腹地用户王人不错承袭这些属性。咫尺，用户组中不错接续的用户属性为授权属性。

每个新增的腹地用户王人默许属于一个系统自动创建的用户组system，且承袭该组的扫数属性。腹地用户所属的用户组不错通过腹地用户视图下的group号召来修改。

表1-9 树立用户组的属性

操作

号召

说明

参预系统视图

system-view

-

创建用户组，并参预用户组视图

user-group group-name

缺省情况下，存在一个称号为system的用户组

诞生用户组的授权属性

authorization-attribute { acl acl-number | idle-cut minute | user-profile profile-name | vlan vlan-id | work-directory directory-name } *

缺省情况下，未诞生用户组的授权属性

（可选）诞生用户组的密码接续属性

密码老化技巧

password-control aging aging-time

缺省情况下，给与全局密码接续战术

全局密码接续战术的关连树立请参见“安全树立指导”中的“Password Control”

密码最小长度

password-control length length

密码组合战术

password-control composition type-number type-number [ type-length type-length ]

密码的复杂度检查战术

password-control complexity { same-character | user-name } check

用户登录尝试次数以及登录尝试失败后的行为

password-control login-attempt login-times [ exceed { lock | lock-time time | unlock } ]

 

4. 腹地用户及腹地用户组暴露与爱戴

完成上述树立后，在职意视图下扩充display号召不错暴露树立后腹地用户及腹地用户组的运行情况，通过检察暴露信息考证树立的后果。

表1-10 腹地用户及腹地用户组暴露和爱戴

操作

号召

暴露腹地用户的树立信息和在线用户数的统计信息

display local-user [ class { manage | network } | idle-cut { disable | enable } | service-type { ftp | http | https | lan-access | portal | ssh | telnet | terminal } | state { active | block } | user-name user-name | vlan vlan-id ]

暴露腹地用户组的关连树立

display user-group [ group-name ]

 

1.3.2  树立RADIUS有打算

RADIUS有打算中界说了开发和RADIUS做事器之间进行信拒绝互所必需的一些参数，主要包括RADIUS做事器的IP地址、UDP端标语、报文分享密钥、做事类型等。

1. RADIUS树立任务简介

表1-11 RADIUS树立任务简介

树立任务

说明

详备树立

创建RADIUS有打算

必选

1.3.2  2.

树立RADIUS认证做事器

必选

1.3.2  3.

树立RADIUS计费做事器及关连参数

可选

1.3.2  4.

树立RADIUS报文的分享密钥

可选

1.3.2  5.

树立发送给RADIUS做事器的用户名样式和数据统计单元

可选

1.3.2  6.

树立发送RADIUS报文的最大尝试次数

可选

1.3.2  7.

树立RADIUS做事器的景况

可选

1.3.2  8.

树立发送RADIUS报文使用的源地址

可选

1.3.2  9.

树立RADIUS做事器的定时器

可选

1.3.2  10.

树立RADIUS的accounting-on功能

可选

1.3.2  11.

树立RADIUS做事器安全战术做事器的IP地址

可选

1.3.2  12.

树立RADIUS Attribute 15的检查形状

可选

1.3.2  13.

树立RADIUS的Trap功能

可选

1.3.2  14.

RADIUS暴露和爱戴

可选

1.3.2  15.

 

2. 创建RADIUS有打算

在进行RADIUS的其它树立之前，必须先创建RADIUS有打算并参预其视图。系统最多援手树立16个RADIUS有打算。一个RADIUS有打算不错同期被多个ISP域援用。

表1-12 创建RADIUS有打算

操作

号召

说明

参预系统视图

system-view

-

创建RADIUS有打算，并参预RADIUS有打算视图

radius scheme radius-scheme-name

·     空树立启动时，使用软件功能缺省值，未界说RADIUS有打算

·     缺省树立启动时，使用软件功能出厂值，存在一个称号为system的RADIUS有打算。

对于空树立启动和缺省树立启动，请参见“基础树立指导”中的“树立文献接续”。

 

3. 树立RADIUS认证做事器

由于RADIUS做事器的授权信息是随认证应薪金文发送给RADIUS客户端的，RADIUS的认证和授权功能由归并台做事器扫尾，因此RADIUS认证做事器相等于RADIUS认证/授权做事器。通过在RADIUS有打算中树立RADIUS认证做事器，指定开发对用户进行RADIUS认证时与哪些做事器进行通讯。

一个RADIUS有打算中最多允许树立一个主认证做事器和16个从认证做事器。当主做事器不可达时，开发把柄从做事器的树立法则由先到后查找景况为active的从做事器并与之交互。提议在不需要备份的情况下，只树立主RADIUS认证做事器即可。

在本色组网环境中，不错指定一台做事器既动作某个RADIUS有打算的主认证做事器，又动作另一个RADIUS有打算的从认证做事器。

表1-13 树立RADIUS认证做事器

操作

号召

说明

参预系统视图

system-view

-

参预RADIUS有打算视图

radius scheme radius-scheme-name

-

树立主RADIUS认证做事器

primary authentication { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string ] *

二者至少选其一

缺省情况下，未树立主认证做事器和从认证做事器

在归并个有打算中指定的主认证做事器和从认证做事器的主机名、IP地址、端标语不可整个疏导，况兼各从认证做事器的主机名、IP地址、端标语也不可整个疏导

树立从RADIUS认证做事器

secondary authentication { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string ] *

 

4. 树立RADIUS计费做事器及关连参数

通过在RADIUS有打算中树立RADIUS计费做事器，指定开发对用户进行RADIUS计费时与哪些做事器进行通讯。

一个RADIUS有打算中最多允许树立一个主计费做事器和16个从计费做事器。当主做事器不可达时，开发把柄从做事器的树立法则由先到后查找景况为active的从做事器并与之交互。提议在不需要备份的情况下，只树立主RADIUS计费做事器即可。

在本色组网环境中，不错指定一台做事器既动作某个RADIUS有打算的主计费做事器，又动作另一个RADIUS有打算的从计费做事器。

当用户请求断敞开顺或者开发强行割断用户通顺的情况下，开发会向RADIUS计费做事器发送罢手计费请求。通过在开发上树立发起及时计费请求的最大尝试次数，允许开发向RADIUS做事器发出的及时计费请求莫得得到反馈的次数朝上指定的最大值时割断用户通顺。

咫尺RADIUS不援手对FTP/SFTP/SCP用户进行计费。

表1-14 树立RADIUS计费做事器及关连参数

操作

号召

说明

参预系统视图

system-view

-

参预RADIUS有打算视图

radius scheme radius-scheme-name

-

树立主RADIUS计费做事器

primary accounting { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string ] *

二者至少选其一

缺省情况下，未树立主/从计费做事器

在归并个有打算中指定的主计费做事器和从计费做事器的主机名、IP地址、端标语不可整个疏导，况兼各从计费做事器的主机名、IP地址、端标语也不可整个疏导

树立从RADIUS计费做事器

secondary accounting { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string ] *

（可选）诞生允许发起及时计费请求的最大尝试次数

retry realtime-accounting retry-times

缺省情况下，允许发起及时计费请求的最大尝试次数为5

 

5. 树立RADIUS报文的分享密钥

RADIUS客户端与RADIUS做事器使用MD5算法并在分享密钥的参与下生成考证字，接纳方把柄收到报文中的考证字来判断对方报文的正当性。唯有在分享密钥一致的情况下，彼此才略继承对方发来的报文并作出反馈。

由于开发优先给与树立RADIUS认证/计费做事器时指定的报文分享密钥，因此，本树立中指定的RADIUS报文分享密钥仅在树立RADIUS认证/计费做事器时未指定相应密钥的情况下使用。

表1-15 树立RADIUS报文的分享密钥

操作

号召

说明

参预系统视图

system-view

-

参预RADIUS有打算视图

radius scheme radius-scheme-name

-

树立RADIUS报文的分享密钥

key { accounting | authentication } { cipher | simple } string

缺省情况下，无分享密钥

必须保证开发上诞生的分享密钥与RADIUS做事器上的统长入致

 

6. 树立发送给RADIUS做事器的用户名样式和数据统计单元

接入用户粗造以“userid@isp-name”的样式定名，“@”背面的部分为ISP域名，开发通过该域名决定将用户归于哪个ISP域。由于有些较早期的RADIUS做事器不可接纳佩戴有ISP域名的用户名，因此就需要开发起头将用户名中佩戴的ISP域名去除后再传送给该类RADIUS做事器。通过诞生发送给RADIUS做事器的用户名样式，就不错遴荐发送RADIUS做事器的用户名中是否要佩戴ISP域名，以及是否保持用户输入的原始用户名样式。

开发通过发送计费报文，向RADIUS做事器敷陈在线用户的数据流量统计值，该值的单元可配，为保证RADIUS做事器计费的准确性，开发上诞生的发送给RADIUS做事器的数据流或者数据包的单元应与RADUIS做事器上的流量统计单元保持一致。

需要珍贵的是，如果要在两个乃至两个以上的ISP域中援用疏导的RADIUS有打算，提议诞生该RADIUS有打算允许用户名中佩戴ISP域名，使得RADIUS做事器端不错把柄ISP域名来区分不同的用户。

表1-16 树立发送给RADIUS做事器用户名样式和数据统计单元

操作

号召

说明

参预系统视图

system-view

-

参预RADIUS有打算视图

radius scheme radius-scheme-name

-

诞生发送给RADIUS做事器的用户名样式

user-name-format { keep-original | with-domain | without-domain }

·     空树立启动时，使用软件功能缺省值，开发发送给RADIUS做事器的用户名佩戴有ISP域名

·     缺省树立启动时，使用软件功能出厂值，存在一个称号为system的RADIUS有打算，该有打算中开发发送给RADIUS做事器的用户名不佩戴有ISP域名。

对于空树立启动和缺省树立启动，请参见“基础树立指导”中的“树立文献接续”。

（可选）诞生发送给RADIUS做事器的数据流或者数据包的单元

data-flow-format { data { byte | giga-byte | kilo-byte | mega-byte } | packet { giga-packet | kilo-packet | mega-packet | one-packet } } *

缺省情况下，数据流的单元为byte，数据包的单元为one-packet

 

7. 树立发送RADIUS报文的最大尝试次数

由于RADIUS契约给与UDP报文来承载数据，因此其通讯过程是不可靠的。如果开发在应酬超时定时器规矩的时长内（由timer response-timeout号召树立）莫得收到RADIUS做事器的反馈，则开发有必要向RADIUS做事器重传RADIUS请求报文。如果发送RADIUS请求报文的累计次数已达到指定的最大尝试次数而RADIUS做事器仍旧莫得反馈，则开发将尝试与其它做事器通讯，如果不存在景况为active的做事器，则觉得本次认证或计费失败。对于RADIUS做事器景况的关连内容，请参见“1.3.2  8. 树立RADIUS做事器的景况”。

表1-17 树立发送RADIUS报文的最大尝试次数

操作

号召

说明

参预系统视图

system-view

-

参预RADIUS有打算视图

radius scheme radius-scheme-name

-

诞生发送RADIUS报文的最大尝试次数

retry retry-times

缺省情况下，发送RADIUS报文的最大尝试次数为3次

 

8. 树立RADIUS做事器的景况

RADIUS有打算中各做事器的景况（active、block）决定了开发向哪个做事器发送请求报文，以及开发在与现时做事器通讯中断的情况下，如何转而与另外一个做事器进行交互。在本色组网环境中，可指定一个主RADIUS做事器和多个从RADIUS做事器，由从做事器动作主做事器的备份。粗造情况下，开发上主从做事器的切换驯顺以下原则：

·     当主做事器景况为active时，开发起头尝试与主做事器通讯，若主做事器不可达，开发转换主做事器的景况为block，并启动该做事器的quiet定时器，然后按照从做事器的树立先后法则轮番查找景况为active的从做事器进行认证或者计费。如果景况为active的从做事器也不可达，则将该从做事器的景况置为block，同期启动该做事器的quiet定时器，并络续查找景况为active的从做事器。当做事器的quiet定时器超时，或者手动将做事器景况置为active时，该做事器将归附为active景况。在一次认证或计费过程中，如果开发在尝试与从做事器通讯时，之前依然查找过的做事器景况由block归附为active，则开发并不会立即归附与该做事器的通讯，而是络续查找从做事器。如果扫数已树立的做事器王人不可达，则觉得本次认证或计费失败。

·     如果在认证或计费过程中删除了现时正在使用的做事器，则开发在与该做事器通讯超时后，将会立即从主做事器运转轮番查找景况为active的做事器并与之进行通讯。

·     当主/从做事器的景况均为block时，开发尝试与主做事器进行通讯。

·     只须存在景况为active的做事器，开发就仅与景况为active的做事器通讯，即使该做事器不可达，开发也不会尝试与景况为block的做事器通讯。

·     一朝做事器景况称心自动切换的条件，则扫数RADIUS有打算视图下该做事器的景况王人会相应地变化。

缺省情况下，开发将树立了IP地址的各RADIUS做事器的景况均置为active，觉得扫数的做事器均处于时时使命景况，但有些情况下用户可能需要通过以下树立手工改革RADIUS做事器确现时景况。例如，已知某做事器故障，为幸免开发觉得其active而进行无道理的尝试，可暂时将该做事器景况手工置为block。

表1-18 树立RADIUS做事器的景况

操作

号召

说明

参预系统视图

system-view

-

参预RADIUS有打算视图

radius scheme radius-scheme-name

-

诞生主RADIUS认证做事器的景况

state primary authentication { active | block }

四者可选其一

缺省情况下，RADIUS有打算中树立的RADIUS做事器的景况均为active

诞生的做事器景况不可被保存在树立文献中，可通过display radius scheme号召检察。开发重启后，各做事器景况将归附为缺省景况active

诞生主RADIUS计费做事器的景况

state primary accounting { active | block }

诞生从RADIUS认证做事器的景况

state secondary authentication  [ { host-name | ipv4-address | ipv6 ipv6-address } [ port-number ] ] { active | block }

诞生从RADIUS计费做事器的景况

state secondary accounting [ { host-name | ipv4-address | ipv6 ipv6-address } [ port-number ] ] { active | block }

 

9. 树立发送RADIUS报文使用的源地址

RADIUS做事器上通过IP地址来标记接入开发，并把柄收到的RADIUS报文的源IP地址是否与做事器所接续的接入开发的IP地址匹配，来决定是否处理来自该接入开发的认证或计费请求。若RADIUS做事器收到的RADIUS认证或计费报文的源地址在所接续的接入开发IP地址边界内，则会进行后续的认证或计费处理，不然径直丢弃该报文。因此，为保证认证和计费报文可被做事器时时继承并处理，接入开发上发送RADIUS报文使用的源地址必须与RADIUS做事器上指定的接入开发的IP地址保持一致。

粗造，该地址为接入开发上与RADIUS做事器路由可达的接口IP地址。

开发发送RADIUS报文时，把柄以下法则查找使用的源地址：

(1)     若现时所使用的RADIUS有打算中树立了发送RADIUS报文使用源地址，则使用该地址。

(2)     不然，查找系统视图下通过radius nas-ip号召树立的源地址。

(3)     若系统视图下莫得树立相应的源地址，则使用通过路由查找到的报文出接口地址。

此树立不错在系统视图和RADIUS有打算视图下进行，系统视图下的树立将对扫数RADIUS有打算见效，RADIUS有打算视图下的树立仅对本有打算有用，况兼具有高于前者的优先级。

表1-19 为扫数RADIUS有打算树立发送RADIUS报文使用的源地址

操作

号召

说明

参预系统视图

system-view

-

诞生开发发送RADIUS报文使用的源地址

radius nas-ip { ipv4-address | ipv6 ipv6-address }

缺省情况下，未指定源地址，即以发送报文的接口地址动作源地址

 

表1-20 为RADIUS有打算树立发送RADIUS报文使用的源地址

操作

号召

说明

参预系统视图

system-view

-

参预RADIUS有打算视图

radius scheme radius-scheme-name

-

诞生开发发送RADIUS报文使用的源地址

nas-ip { ipv4-address | ipv6 ipv6-address }

缺省情况下，使用系统视图下由号召radius nas-ip指定的源地址，若系统视图下未指定源地址，则使用发送RADIUS报文的接口地址

 

10. 树立RADIUS做事器的定时器

在与RADIUS做事器交互的过程中，开发上可启动的定时器包括以下几种：

·     做事器反馈超时定时器（response-timeout）：如果在RADIUS请求报文发送出去一段技巧后，开发还莫得得到RADIUS做事器的反馈，则有必要重传RADIUS请求报文，以保证用户尽可能地赢得RADIUS做事，这段技巧被称为RADIUS做事器反馈超时时间。

·     做事器归附激活景况定时器（quiet）：当做事器不可达时，开发将该做事器的景况置为block，并开启超时定时器，在设定的一定技巧间隔之后，再将该做事器的景况归附为active。这段技巧被称为RADIUS做事器归附激活景况时长。

·     及时计费间隔定时器（realtime-accounting）：为了对用户实施及时计费，有必要依期向做事器发送及时计费更新报文，通过诞生及时计费的技巧间隔，开发会每隔设定的技巧向RADIUS做事器发送一次在线用户的计费信息。

诞生RADIUS做事器的定时器时，请遵照以下树立原则：

·     要把柄树立的从做事器数量合理诞生发送RADIUS报文的最大尝试次数和RADIUS做事器反馈超时时间，幸免因为超时重传技巧过长，在主做事器不可达时，出现开发在尝试与从做事器通讯的过程中接入模块（例如Telnet模块）的客户端通顺已超时的风景。然则，有些接入模块的客户端的通顺超时时间较短，在树立的从做事器较多的情况下，即使将报文重传次数和RADIUS做事器反馈超时时间诞生的很小，也可能会出现上述客户端超时的风景，并导致首次认证或计费失败。这种情况下，由于开发会将不可达做事器的景况诞生为block，鄙人次认证或计费时开发就不会尝试与这些景况为block的做事器通讯，一定进度上缩小了查找可达做事器的技巧，因此用户再次尝试认证或计费就不错得手。

·     要把柄树立的从做事器数量合理诞生做事器归附激活景况的技巧。如果做事器归附激活景况技巧诞生得过短，就会出现开发反复尝试与景况active但本色不可达的做事器通讯而导致的认证或计费频繁失败的问题；如果做事器归附激活景况诞生的过长，则会导致依然归附激活景况的做事器暂时不可为用户提供认证或计费做事。

·     及时计费间隔的取值对开发和RADIUS做事器的性能有一定的关连性要求，取值小，会加多集聚中的数据流量，对开发和RADIUS做事器的性能要求就高；取值大，会影响计费的准确性。因此要联接集聚的本色情况合理诞生计费间隔的大小，一般情况下，提议当用户量比拟大（大于等于1000）时，尽量把该间隔的值诞生得大一些。

表1-21 诞生RADIUS做事器的定时器

操作

号召

说明

参预系统视图

system-view

-

参预RADIUS有打算视图

radius scheme radius-scheme-name

-

诞生RADIUS做事器反馈超时时间

timer response-timeout seconds

缺省情况下，RADIUS做事器反馈超时定时器为3秒

诞生做事器归附激活景况的技巧

timer quiet minutes

缺省情况下，做事器归附激活景况前需要恭候5分钟

诞生及时计费间隔

timer realtime-accounting minutes

缺省情况下，及时计费间隔为12分钟

 

11. 树立RADIUS的accounting-on功能

使能了accounting-on功能后，开发会在重启后主动向RADIUS做事器发送accounting-on报文来见告我方依然重启，并要求RADIUS做事器罢手计费且强制通过本开发上线的用户下线。该功能可用于接续开发重启后，重启前的原在线用户因被RADIUS做事器觉得仍然在线而短技巧内无法再次登录的问题。若开发发送accounting-on报文后RADIUS做事器无反馈，则会在按照一定的技巧间隔（interval seconds）尝试重发几次（send send-times）。

表1-22 树立RADIUS的accounting-on功能

操作

号召

说明

参预系统视图

system-view

-

参预RADIUS有打算视图

radius scheme radius-scheme-name

-

树立accounting-on功能

accounting-on enable [ interval seconds | send send-times ] *

缺省情况下，accounting-on功能处于关闭景况

 

12. 树立RADIUS安全战术做事器的IP地址

通过树立RADIUS安全战术做事器的IP地址，接入开发不错考证IMC（Intelligent Management Center，智能接续中心）做事器发送给开发的限定报文的正当性。当接入开发收到IMC做事器的限定报文时，若该限定报文的源IP地址不是指定的安全战术做事器的IP地址，则接入开发觉得其犯警而丢弃。若iMC的树立平台、认证做事器以及安全战术做事器的IP地址疏导，则不需要在接入开发上树立RADIUS安全战术做事器的IP地址。

安全战术做事器是H3C EAD（Endpoint Admission Defense，端点准入注意）有打算中的接续与限定中心。粗造，若要援手竣工的EAD功能，提议在接入开发上通过本树立指定两个RADIUS安全战术做事器的IP地址，分别为IMC安全战术做事器的IP地址和IMC树立平台的IP地址。

表1-23 诞生RADIUS的安全战术做事器

操作

号召

说明

参预系统视图

system-view

-

参预RADIUS有打算视图

radius scheme radius-scheme-name

-

诞生RADIUS安全战术做事器的IP地址

security-policy-server { ipv4-address | ipv6 ipv6-address }

缺省情况下，未指定RADIUS安全战术做事器

一个RADIUS有打算中最多不错树立8个安全战术做事器IP地址

 

13. 树立RADIUS Attribute 15的检查形状

RADIUS 15号属性为Login-Service属性，该属性佩戴在Access-Accept报文中，由RADIUS做事器下发给开发，线路认证用户的业务类型，例如属性值0线路Telnet业务。开发检查用户登录时给与的业务类型与做事器下发的Login-Service属性所指定的业务类型是否一致，如果不一致则用户认证失败。由于RFC中并未界说SSH、FTP和Terminal这三种业务的Login-Service属性值，因此开发无法针对SSH、FTP、Terminal用户进行业务类型一致性检查，为了援手对这三种业务类型的检查，H3C为Login-Service属性界说了表1-24所示的膨胀取值。

表1-24 膨胀的Login-Service属性值

属性值

模样

50

用户的业务类型为SSH

51

用户的业务类型为FTP

52

用户的业务类型为Terminal

 

不错通过树立开发对RADIUS 15号属性的检查形状，限定开发是否使用膨胀的Login-Service属性值对用户进行业务类型一致性检查。

·     严格检查形状：开发使用尺度属性值和膨胀属性值对用户业务类型进行检查，对于SSH、FTP、Terminal用户，当RADIUS做事器下发的Login-Service属性值为对应的膨胀取值时才略够通过认证。

·     松散检查形状：开发使用尺度属性值对用户业务类型进行检查，对于SSH、FTP、Terminal用户，在RADIUS做事器下发的Login-Service属性值为0（线路用户业务类型为Telnet）时才略够通过认证。

由于某些RADIUS做事器不援手自界说的属性，无法下发膨胀的Login-Service属性，若要使用这类RADIUS做事器对SSH、FTP、Terminal用户进行认证，提议开发上对RADIUS 15号属性值给与松散检查形状。

表1-25 树立RADIUS Attribute 15的检查形状

操作

号召

说明

参预系统视图

system-view

-

参预RADIUS有打算视图

radius scheme radius-scheme-name

-

树立RADIUS Attribute 15的检查形状

attribute 15 check-mode { loose | strict }

缺省情况下，RADIUS Attribute 15的检查形状为strict形状

 

14. 树立RADIUS的Trap功能

开启相应的RADIUS Trap功能后，RADIUS模块会生成告警信息，用于敷陈该模块的首要事件：

·     当NAS向RADIUS做事器发送计费或认证请求莫得收到反馈时，会重传请求，当重传次数达到最大传送次数时仍然莫得收到反馈时，NAS觉得该做事器不可达，并发送线路RADIUS做事器不可达的告警信息。

·     当timer quiet定时器设定的技巧到达后，NAS将做事器的景况置为激活景况并发送线路RADIUS做事器可达的告警信息。

·     当NAS发现认证失败次数与认证请求总额的百分比朝上阈值时，会发送线路认证失败次数朝上阈值的告警信息。

生成的告警信息将发送到开发的SNMP模块，通过诞生SNMP中告警信息的发送参数，来决定告警信息输出的关连属性。关联告警信息的详备先容，请参见“集聚接续和监控树立指导”中的“SNMP”。

表1-26 树立RADIUS的Trap功能

操作

号召

说明

参预系统视图

system-view

-

开启RADIUS的Trap功能

snmp-agent trap enable radius [ accounting-server-down | authentication-error-threshold | authentication-server-down | accounting-server-up | authentication-server-up ] *

缺省情况下，扫数类型的RADIUS Trap功能均处于开启景况

 

15. RADIUS暴露和爱戴

完成上述树立后，在职意视图下扩充display号召不错暴露树立后RADIUS的运行情况，通过检察暴露信息考证树立的后果。

在用户视图下，扩充reset号召不错断根关连统计信息。

表1-27 RADIUS暴露和爱戴

操作

号召

暴露扫数或指定RADIUS有打算的树立信息

display radius scheme [ radius-scheme-name ]

暴露RADIUS报文的统计信息

display radius statistics

断根RADIUS契约的统计信息

reset radius statistics

 

1.3.3  树立HWTACACS有打算 1. HWTACACS树立任务简介

表1-28 HWTACACS树立任务简介

树立任务

说明

详备树立

创建HWTACACS有打算

必选

1.3.3  2.

树立HWTACACS认证做事器

必选

1.3.3  3.

树立HWTACACS授权做事器

可选

1.3.3  4.

树立HWTACACS计费做事器

可选

1.3.3  5.

树立HWTACACS报文的分享密钥

可选

1.3.3  6.

树立发送给HWTACACS做事器的用户名样式和数据统计单元

可选

1.3.3  7.

树立发送HWTACACS报文使用的源地址

可选

1.3.3  8.

树立HWTACACS做事器的定时器

可选

1.3.3  9.

HWTACACS暴露和爱戴

可选

1.3.3  10.

 

2. 创建HWTACACS有打算

在进行HWTACACS的其它关连树立之前，必须先创建HWTACACS有打算并参预其视图。系统最多援手树立16个HWTACACS有打算。一个HWTACACS有打算不错同期被多个ISP域援用。

表1-29 创建HWTACACS有打算

操作

号召

说明

参预系统视图

system-view

-

创建HWTACACS有打算并参预其视图

hwtacacs scheme hwtacacs-scheme-name

缺省情况下，未界说HWTACACS有打算

 

3. 树立HWTACACS认证做事器

通过在HWTACACS有打算中树立HWTACACS认证做事器，指定开发对用户进行HWTACACS认证时与哪个做事器进行通讯。

一个HWTACACS有打算中最多允许树立一个主认证做事器和16个从认证做事器。当主做事器不可达时，开发把柄从做事器的树立法则由先到后查找景况为active的从做事器并与之交互。提议在不需要备份的情况下，只树立主HWTACACS认证做事器即可。

在本色组网环境中，不错指定一台做事器既动作某个HWTACACS有打算的主认证做事器，又动作另一个HWTACACS有打算的从认证做事器。

表1-30 树立HWTACACS认证做事器

操作

号召

说明

参预系统视图

system-view

-

参预HWTACACS有打算视图

hwtacacs scheme hwtacacs-scheme-name

-

树立主HWTACACS认证做事器

primary authentication { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | single-connection ] *

二者至少选其一

缺省情况下，未树立主/从认证做事器

在归并个有打算中指定的主认证做事器和从认证做事器的主机名、IP地址、端标语不可整个疏导，况兼各从认证做事器的主机名、IP地址、端标语也不可整个疏导

树立从HWTACACS认证做事器

secondary authentication { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | single-connection ] *

 

4. 树立HWTACACS授权做事器

通过在HWTACACS有打算中树立HWTACACS授权做事器，指定开发对用户进行HWTACACS授权时与哪个做事器进行通讯。

一个HWTACACS有打算中最多允许树立一个主授权做事器和16个从授权做事器。当主做事器不可达时，开发把柄从做事器的树立法则由先到后查找景况为active的从做事器并与之交互。提议在不需要备份的情况下，只树立主HWTACACS授权做事器即可。

在本色组网环境中，不错指定一台做事器既动作某个HWTACACS有打算的主授权做事器，又动作另一个HWTACACS有打算的从授权做事器。

表1-31 树立HWTACACS授权做事器

操作

号召

说明

参预系统视图

system-view

-

参预HWTACACS有打算视图

hwtacacs scheme hwtacacs-scheme-name

-

诞生主HWTACACS授权做事器

primary authorization { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | single-connection ] *

二者至少选其一

缺省情况下，未树立主/从授权做事器

在归并个有打算中指定的主授权做事器和从授权做事器的主机名、IP地址、端标语不可整个疏导，况兼各从授权做事器的主机名、IP地址、端标语也不可整个疏导

诞生从HWTACACS授权做事器

secondary authorization { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | single-connection ] *

 

5. 树立HWTACACS计费做事器

通过在HWTACACS有打算中树立HWTACACS计费做事器，指定开发对用户进行HWTACACS计费时与哪个做事器进行通讯。

一个HWTACACS有打算中最多允许树立一个主计费做事器和16个从计费做事器。当主做事器不可达时，开发把柄从做事器的树立法则由先到后查找景况为active的从做事器并与之交互。提议在不需要备份的情况下，只树立主HWTACACS计费做事器即可。

在本色组网环境中，不错指定一台做事器既动作某个HWTACACS有打算的主计费做事器，又动作另一个HWTACACS有打算的从计费做事器。

咫尺HWTACACS不援手对FTP/SFTP/SCP用户进行计费。

表1-32 树立HWTACACS计费做事器

操作

号召

说明

参预系统视图

system-view

-

参预HWTACACS有打算视图

hwtacacs scheme hwtacacs-scheme-name

-

诞生HWTACACS主计费做事器

primary accounting { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | single-connection ] *

二者至少选其一

缺省情况下，未树立主/从计费做事器

在归并个有打算中指定的主计费做事器和从计费做事器的主机名、IP地址、端标语不可整个疏导，况兼各从计费做事器的主机名、IP地址、端标语也不可整个疏导

诞生HWTACACS从计费做事器

secondary accounting { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | single-connection ] *

 

6. 树立HWTACACS报文的分享密钥

HWTACACS客户端与HWTACACS做事器使用MD5算法并在分享密钥的参与下加密HWTACACS报文。唯有在密钥一致的情况下，彼此才略继承对方发来的报文并作出反馈。

表1-33 树立HWTACACS报文的分享密钥

操作

号召

说明

参预系统视图

system-view

-

参预HWTACACS有打算视图

hwtacacs scheme hwtacacs-scheme-name

-

树立HWTACACS认证、授权、计费报文的分享密钥

key { accounting | authentication | authorization } { cipher | simple } string

缺省情况下，无分享密钥

必须保证开发上诞生的分享密钥与HWTACACS做事器上的统长入致

 

7. 树立发送给HWTACACS做事器的用户名样式和数据统计单元

接入用户粗造以“userid@isp-name”的样式定名，“@”背面的部分为ISP域名，开发通过该域名决定将用户归于哪个ISP域的。由于有些HWTACACS做事器不可接纳佩戴有ISP域名的用户名，因此就需要开发起头将用户名中佩戴的ISP域名去除后再传送给该类HWTACACS做事器。通过诞生发送给HWTACACS做事器的用户名样式，就不错遴荐发送HWTACACS做事器的用户名中是否要佩戴ISP域名。

开发通过发送计费报文，向HWTACACS做事器敷陈在线用户的数据流量统计值，该值的单元可配，为保证HWTACACS做事器计费的准确性，开发上诞生的发送给HWTACACS做事器的数据流或者数据包的单元应与HWTACACS做事器上的流量统计单元保持一致。

需要珍贵的是，如果要在两个乃至两个以上的ISP域中援用疏导的HWTACACS有打算，提议诞生该HWTACACS有打算允许用户名中佩戴ISP域名，使得HWTACACS做事器端不错把柄ISP域名来区分不同的用户。

表1-34 树立发送给HWTACACS做事器的用户名样式和数据统计单元

操作

号召

说明

参预系统视图

system-view

-

参预HWTACACS有打算视图

hwtacacs scheme hwtacacs-scheme-name

-

诞生发送给HWTACACS做事器的用户名样式

user-name-format { keep-original | with-domain | without-domain }

缺省情况下，发往HWTACACS做事器的用户名带域名

（可选）诞生发送给HWTACACS做事器的数据流或者数据包的单元

data-flow-format { data { byte | giga-byte | kilo-byte | mega-byte } | packet { giga-packet | kilo-packet | mega-packet | one-packet } } *

缺省情况下，数据流的单元为byte，数据包的单元为one-packet

 

8. 树立发送HWTACACS报文使用的源地址

HWTACACS做事器上通过IP地址来标记接入开发，并把柄收到的HWTACACS报文的源IP地址是否与做事器所接续的接入开发的IP地址匹配，来决定是否处理来自该接入开发的认证、授权或计费请求。若HWTACACS做事器收到的HWTACACS认证或计费报文的源地址在所接续的接入开发IP地址边界内，则会进行后续的认证或计费处理，不然径直丢弃该报文。因此，为保证认证、授权和计费报文可被做事器时时继承并处理，接入开发上发送HWTACACS报文使用的源地址必须与HWTACACS做事器上指定的接入开发的IP地址保持一致。

粗造，该地址为接入开发上与HWTACACS做事器路由可达的接口IP地址。

开发发送HWTACACS报文时，把柄以下法则查找使用的源地址：

·     若现时所使用的HWTACACS有打算中树立了发送HWTACACS报文使用源地址，则使用该地址。

·     不然，查找系统视图下通过hwtacacs nas-ip号召树立的源地址。

·     若系统视图下莫得树立相应的源地址，则使用通过路由查找到的报文出接口地址。

此树立不错在系统视图和HWTACACS有打算视图下进行，系统视图下的树立将对扫数HWTACACS有打算见效，HWTACACS有打算视图下的树立仅对本有打算有用，况兼具有高于前者的优先级。

表1-35 为扫数HWTACACS有打算树立发送HWTACACS报文使用的源地址

操作

号召

说明

参预系统视图

system-view

-

诞生开发发送HWTACACS报文使用的源地址

hwtacacs nas-ip { ipv4-address | ipv6 ipv6-address }

缺省情况下，未指定源地址，即以发送报文的接口地址动作源地址

 

表1-36 为HWTACACS有打算树立发送HWTACACS报文使用的源地址

操作

号召

说明

参预系统视图

system-view

-

参预HWTACACS有打算视图

hwtacacs scheme hwtacacs-scheme-name

-

诞生开发发送HWTACACS报文使用的源地址

nas-ip { ipv4-address | ipv6 ipv6-address }

缺省情况下，使用系统视图下由号召hwtacacs nas-ip指定的源地址，若系统视图下未指定源地址，则使用发送HWTACACS报文的接口地址

 

9. 树立HWTACACS做事器的定时器

在与HWTACACS做事器交互的过程中，开发上可启动的定时器包括以下几种：

·     做事器反馈超时定时器（response-timeout）：如果在HWTACACS请求报文传送出去一段技巧后，开发还莫得得到HWTACACS做事器的反馈，则会将该做事器的景况置为block，并向下一个HWTACACS做事器发起请求，以保证用户尽可能得到HWTACACS做事，这段技巧被称为HWTACACS做事器反馈超时时长。

·     及时计费间隔定时器（realtime-accounting）：为了对用户实施及时计费，有必要依期向做事器发送用户的及时计费信息，通过诞生及时计费的技巧间隔，开发会每隔设定的技巧向HWTACACS做事器发送一次在线用户的计费信息。

·     做事器归附激活景况定时器（quiet）：当做事器不可达时，开发将该做事器的景况置为block，并开启超时定时器，在设定的一定技巧间隔之后，再将该做事器的景况归附为active。这段技巧被称为做事器归附激活景况时长。

对于HWTACACS做事器的景况：

HWTACACS有打算中各做事器的景况（active、block）决定了开发向哪个做事器发送请求报文，以及开发在与现时做事器通讯中断的情况下，如何转而与另外一个做事器进行交互。在本色组网环境中，可指定一个主HWTACACS做事器和多个从HWTACACS做事器，由从做事器动作主做事器的备份。粗造情况下，开发上主从做事器的切换驯顺以下原则：

·     当主做事器景况为active时，开发起头尝试与主做事器通讯，若主做事器不可达，开发转换主做事器的景况为block，并启动该做事器的quiet定时器，然后按照从做事器的树立先后法则轮番查找景况为active的从做事器进行认证或者计费。如果景况为active的从做事器也不可达，则将该从做事器的景况置为block，同期启动该做事器的quiet定时器，并络续查找景况为active的从做事器。当做事器的quiet定时器超时，该做事器将归附为active景况。在一次认证或计费过程中，如果开发在尝试与从做事器通讯时，之前依然查找过的做事器景况由block归附为active，则开发并不会立即归附与该做事器的通讯，而是络续查找从做事器。如果扫数已树立的做事器王人不可达，则觉得本次认证或计费失败。

·     如果在认证或计费过程中删除了现时正在使用的做事器，则开发在与该做事器通讯超时后，将会立即从主做事器运转轮番查找景况为active的做事器并与之进行通讯。

·     当主/从做事器的景况均为block时，开发尝试与主做事器进行通讯。

·     只须存在景况为active的做事器，开发就仅与景况为active的做事器通讯，即使该做事器不可达，开发也不会尝试与景况为block的做事器通讯。

·     一朝做事器景况称心自动切换的条件，则扫数HWTACACS有打算视图下该做事器的景况王人会相应地变化。

需要珍贵的是：及时计费间隔的取值对开发和HWTACACS做事器的性能有一定的关连性要求，取值越小，对开发和HWTACACS做事器的性能要求越高。提议当用户量比拟大（大于等于1000）时，尽量把该间隔的值诞生得大一些。

表1-37 树立HWTACACS做事器的定时器

操作

号召

说明

参预系统视图

system-view

-

参预HWTACACS有打算视图

hwtacacs scheme hwtacacs-scheme-name

-

诞生HWTACACS做事器反馈超时时间

timer response-timeout seconds

缺省情况下，做事器反馈超时时间为5秒

诞生及时计费的技巧间隔

timer realtime-accounting minutes

缺省情况下，及时计费间隔为12分钟

诞生做事器归附激活景况的技巧

timer quiet minutes

缺省情况下，做事器归附激活景况前需要恭候5分钟

 

10. HWTACACS暴露和爱戴

完成上述树立后，在职意视图下扩充display号召不错暴露树立后HWTACACS的运行情况，通过检察暴露信息考证树立的后果。

在用户视图下，扩充reset号召不错断根关连统计信息。

表1-38 HWTACACS暴露和爱戴

操作

号召

检察扫数或指定HWTACACS有打算的树立信息或统计信息

display hwtacacs scheme [ hwtacacs-server-name [ statistics ] ]

断根HWTACACS契约的统计信息

reset hwtacacs statistics { accounting | all | authentication | authorization }

 

1.3.4  树立LDAP有打算 1. LDAP树立任务简介

表1-39 LDAP树立任务简介

树立任务

说明

详备树立

树立LDAP做事器

创建LDAP做事器

必选

1.3.4  2.

树立LDAP做事器IP地址

必选

1.3.4  3.

树立LDAP版块号

可选

1.3.4  4.

树立LDAP做事器的通顺超时时间

可选

1.3.4  5.

树立具有接续员权限的用户属性

必选

1.3.4  6.

树立LDAP用户属性参数

必选

1.3.4  7.

创建LDAP有打算

必选

1.3.4  8.

指定LDAP认证做事器

必选

1.3.4  9.

LDAP暴露和爱戴

可选

1.3.4  10.

 

2. 创建LDAP做事器

表1-40 创建LDAP做事器

操作

号召

说明

参预系统视图

system-view

-

创建LDAP做事器并参预LDAP做事器视图

ldap server server-name

缺省情况下，不存在LDAP做事器

 

3. 树立LDAP做事器IP地址

表1-41 树立LDAP做事器IP地址

操作

号召

说明

参预系统视图

system-view

-

参预LDAP做事器视图

ldap server server-name

-

树立LDAP做事器IP地址

{ ip ip-address | ipv6 ipv6-address } [ port port-number ]

缺省情况下，未树立LDAP做事器IP地址

LDAP做事器视图下仅能同期存在一个IPv4地址类型的LDAP做事器或一个IPv6地址类型的LDAP做事器。屡次树立，后树立的见效

 

4. 树立LDAP版块号

树立LDAP认证中所援手的LDAP契约的版块号，咫尺开发援手LDAPv2和LDAPv3两个契约版块。开发上树立的LDAP版块号需要与做事器援手的版块号保持一致。

表1-42 树立LDAP版块号

操作

号召

说明

参预系统视图

system-view

-

参预LDAP做事器视图

ldap server server-name

-

树立LDAP版块号

protocol-version { v2 | v3 }

缺省情况下，LDAP版块号为LDAPv3

Microsoft的LDAP做事器只援手LDAPv3版块

 

5. 树立LDAP做事器的通顺超时时间

开发向LDAP做事器发送绑定请求、查询请求，如果经过指定的技巧后未收到LDAP做事器的回报，则觉得本次认证、授权请求超时。若使用的ISP域中树立了备份的认证、授权有打算，则开发会络续尝试进行其他形状的认证、授权处理，不然本次认证、授权失败。

表1-43 树立LDAP做事器的通顺超时时间

操作

号召

说明

参预系统视图

system-view

-

参预LDAP做事器视图

ldap server server-name

-

树立LDAP做事器的通顺超时时间

server-timeout time-interval

缺省情况下，LDAP做事器的通顺超时时间为10秒

 

6. 树立具有接续员权限的用户属性

树立LDAP认证过程中绑定做事器所使用的用户DN和用户密码，该用户具有接续员权限。

表1-44 树立具有接续员权限的用户属性

操作

号召

说明

参预系统视图

system-view

-

参预LDAP做事器视图

ldap server server-name

-

树立具有接续员权限的用户DN

login-dn dn-string

缺省情况下，未树立具有接续员权限的用户DN

树立的接续员权限的用户DN必须与LDAP做事器上接续员的DN一致

树立具有接续员权限的用户密码

login-password { ciper | simple } password

缺省情况下，未树立具有接续权限的用户密码

 

7. 树立LDAP用户属性参数

要对用户进行身份认证，就需要以用户DN及密码为参数与LDAP做事器进行绑定，因此需要起头从LDAP做事器获取用户DN。LDAP提供了一套DN查询机制，在与LDAP做事器建立通顺的基础上，按照一定的查询战术向做事器发送查询请求。该查询战术由开发上指定的LDAP用户属性界说，具体包括以下几项：

·     用户DN查询的肇端节点（search-base-dn）

·     用户DN查询的边界（search-scope）

·     用户称号属性（user-name-attribute）

·     用户称号样式（user-name-format）

·     用户对象类型（user-object-class）

LDAP做事器上的目次结构可能具有很深的档次，如果从根目次进行用户DN的查找，破钞的技巧将会较长，因此必须树立用户查找的肇端点DN，以晋升查找遵循。

表1-45 树立LDAP用户属性参数

操作

号召

说明

参预系统视图

system-view

-

参预LDAP做事器视图

ldap server server-name

-

树立用户查询的肇端DN

search-base-dn base-dn

缺省情况下，未指定用户查询的肇端DN

（可选）树立用户查询的边界

search-scope { all-level | single-level }

缺省情况下，用户查询的边界为all-level

（可选）树立用户查询的用户名属性

user-parameters user-name-attribute { name-attribute | cn | uid }

缺省情况下，用户查询的用户名属性为cn

（可选）树立用户查询的用户名样式

user-parameters user-name-format { with-domain | without-domain }

缺省情况下，用户查询的用户名样式为without-domain

（可选）树立用户查询的自界说用户对象类型

user-parameters user-object-class object-class-name

缺省情况下，未指定自界说用户对象类型，把柄使用的LDAP做事器的类型使用各做事器缺省的用户对象类型

 

8. 创建LDAP有打算

系统最多援手树立16个LDAP有打算。一个LDAP有打算不错同期被多个ISP域援用。

表1-46 创建LDAP有打算

操作

号召

说明

参预系统视图

system-view

-

创建LDAP有打算并参预其视图

ldap scheme ldap-scheme-name

缺省情况下，未界说LDAP有打算

 

9. 指定LDAP认证做事器

表1-47 指定LDAP认证做事器

操作

号召

说明

参预系统视图

system-view

-

参预LDAP有打算视图

ldap scheme ldap-scheme-name

-

指定LDAP认证做事器

authentication-server server-name

缺省情况下，未指定LDAP认证做事器

 

10. LDAP暴露和爱戴

完成上述树立后，在职意视图下扩充display号召不错暴露树立后LDAP的运行情况，通过检察暴露信息考证树立的后果。

表1-48 LDAP暴露和爱戴

操作

号召

检察扫数或指定LDAP有打算的树立信息

display ldap scheme [ scheme-name ]

 

1.4  在ISP域中树立扫尾AAA的措施

通过在ISP域视图下援用事先树立的认证、授权、计费有打算来扫尾对用户的认证、授权和计费。如果用户所属的ISP域下未应用任何认证、授权、计费措施，系统将使用缺省的认证、授权、计费措施，分别为腹地认证、腹地授权和腹地计费。

1.4.1  树立准备

·     若给与腹地认证有打算，则请先完资腹地用户的树立。关联腹地用户的树立请参见“1.3.1  树立腹地用户”。

·     若给与远端认证、授权或计费有打算，则请提前创建RADIUS有打算、HWTACACS有打算或LDAP有打算。关联RADIUS有打算的树立请参见“1.3.2  树立RADIUS有打算”。关联HWTACACS有打算的树立请参见“1.3.3  树立HWTACACS有打算”。关联LDAP有打算的树立请参见“1.3.4  树立LDAP有打算”。

1.4.2  创建ISP域

在多ISP的应用环境中，不同ISP域的用户有可能接入归并台开发。而且各ISP用户的用户属性（例如用户名及密码组成、做事类型/权限等）有可能不疏导，因此有必要通过诞生ISP域把它们区分开，并为每个ISP域单独树立一套AAA措施及ISP域的关连属性。

对于开发来说，每个接入用户王人属于一个ISP域。系统中最多不错树立16个ISP域，包括一个系统缺省存在的称号为system的ISP域。如果某个用户在登录时莫得提供ISP域名，系统将把它归于缺省的ISP域。系统缺省的ISP域不错手工修改为一个指定的ISP域。

一个ISP域被树立为缺省的ISP域后将不大致被删除，必须起头使用号召undo domain default enable将其修改为非缺省ISP域，然后才不错被删除。其中，系统缺省存在的system域只可被修改，不可被删除。

表1-49 创建ISP域

操作

号召

说明

参预系统视图

system-view

-

创建ISP域并参预其视图

domain isp-name

-

复返系统视图

quit

-

（可选）手工树立缺省的ISP域

domain default enable isp-name

缺省情况下，系统缺省的ISP域为system

 

1.4.3  树立ISP域的属性

一个ISP域中可树立以下属性，这些属性对于接入该域的扫数用户均见效：

·     域的景况：通过域的景况（active、block）限定是否允许该域中的用户请求集聚做事。

·     用户授权属性：用户认证得手之后，优先给与ISP域下树立的idle-cut授权属性，其次给与做事器下发的属性值。

表1-50 树立ISP域的属性

操作

号召

说明

参预系统视图

system-view

-

参预ISP域视图

domain isp-name

-

诞生ISP域的景况

state { active | block }

缺省情况下，当一个ISP域被创建以后，其景况为active，即允许任何属于该域的用户请求集聚做事

诞生现时ISP域下的用户授权属性

authorization-attribute { idle-cut minute [ flow ] | user-profile profile-name }

未对现时ISP域下的用户诞生任何授权属性，其顶用户闲置切换功能处于关闭景况

 

1.4.4  树立ISP域的AAA认证措施

树立ISP域的AAA认证措施时，需要珍贵的是：

·     当遴荐了RADIUS契约的认证有打算以及非RADIUS契约的授权有打算时，AAA只接纳RADIUS做事器的认证远离，RADIUS授权的信息固然在认证得手回报的报文中佩戴，但在认证回报的处理经过中不会被处理。

·     咫尺，汉典有打算只可援手对称号为level-n的用户扮装之间的切换进行认证。当使用HWTACACS有打算进行用户扮装切换认证时，系统使用用户输入的用户扮装切换用户名进行扮装切换认证；当使用RADIUS有打算进行用户扮装切换认证时，系统使用RADIUS做事器上树立的“$enabn$”体式的用户名进行用户扮装切换认证，其中n为用户但愿切换到的用户扮装level-n中的n。

·     FIPS模式下不援手none认证措施。

树立前的准备使命：

(1)     详情要树立的接入形状或者做事类型。AAA不错对不同的接入形状和做事类型树立不同的认证有打算。

(2)     详情是否为扫数的接入形状或做事类型树立缺省的认证措施，缺省的认证措施对扫数接入用户王人起作用，但其优先级低于为具体接入形状或做事类型树立的认证措施。

表1-51 树立ISP域的AAA认证措施

操作

号召

说明

参预系统视图

system-view

-

参预ISP域视图

domain isp-name

-

为现时ISP域树立缺省的认证措施

authentication default { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | ldap-scheme ldap-scheme-name [ local ] [ none ] | local [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }

缺省情况下，现时ISP域的缺省认证措施为local

为lan-access用户树立认证措施

authentication lan-access { ldap-scheme ldap-scheme-name [ local ] [ none ] | local [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }

缺省情况下，lan-access用户给与缺省的认证措施

为login用户树立认证措施

authentication login { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | ldap-scheme ldap-scheme-name [ local ] [ none ] | local [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }

缺省情况下，login用户给与缺省的认证措施

为Portal用户树立认证措施

authentication portal { ldap-scheme ldap-scheme-name [ local ] [ none ] | local [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }

缺省情况下，Portal用户给与缺省的认证措施

树立用户扮装切换认证措施

authentication super { hwtacacs-scheme hwtacacs-scheme-name | radius-scheme radius-scheme-name } *

缺省情况下，用户扮装切换认证给与缺省的认证措施

 

1.4.5  树立ISP域的AAA授权措施

树立ISP域的AAA授权措施时，需要珍贵的是：

·     咫尺开发暂不援手使用LDAP进行授权。

·     在一个ISP域中，唯有RADIUS授权措施和RADIUS认证措施援用了疏导的RADIUS有打算，RADIUS授权才略见效。若RADIUS授权未见效或者RADIUS授权失败，则用户认证会失败。

·     FIPS模式下不援手none授权措施。

树立前的准备使命：

(1)     详情要树立的接入形状或者做事类型，AAA不错按照不同的接入形状和做事类型进行AAA授权的树立。

(2)     详情是否为扫数的接入形状或做事类型树立缺省的授权措施，缺省的授权措施对扫数接入用户王人起作用，但其优先级低于为具体接入形状或做事类型树立的授权措施。

表1-52 树立ISP域的AAA授权措施

操作

号召

说明

参预系统视图

system-view

-

参预ISP域视图

domain isp-name

-

为现时ISP域树立缺省的授权措施

authorization default { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | local [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }

缺省情况下，现时ISP域的缺省授权措施为local

树立号召行授权措施

authorization command { hwtacacs-scheme hwtacacs-scheme-name [ local [ none ] | local [ none ] | none }

缺省情况下，号召行授权给与缺省的授权措施

为lan-access用户树立授权措施

authorization lan-access { local [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }

缺省情况下，lan-access用户给与缺省的授权措施

为login用户树立授权措施

authorization login { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | local [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }

缺省情况下，login用户给与缺省的授权措施

为Portal用户树立授权措施

authorization portal { local [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }

缺省情况下，Portal用户给与缺省的授权措施

 

1.4.6  树立ISP域的AAA计费措施

树立ISP域的AAA认证措施时，需要珍贵的是：

·     不援手对FTP/SFTP/SCP类型login用户进行计费。

·     腹地计费仅用于合作腹地用户视图下的access-limit号召来扫尾对腹地用户通顺数的限定功能。

·     FIPS模式下不援手none计费措施。

树立前的准备使命：

(1)     详情要树立的接入形状或者做事类型，AAA不错按照不同的接入形状和做事类型进行AAA计费的树立。

(2)     详情是否为扫数的接入形状或做事类型树立缺省的计费措施，缺省的计费措施对扫数接入用户王人起作用，但其优先级低于为具体接入形状或做事类型树立的计费措施。

表1-53 树立ISP域的AAA计费措施

操作

号召

说明

参预系统视图

system-view

-

参预ISP域视图

domain isp-name

-

为现时ISP域树立缺省的计费措施

accounting default { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | local [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }

缺省情况下，现时ISP域的缺省计费措施为local

树立号召行计费措施

accounting command hwtacacs-scheme hwtacacs-scheme-name

缺省情况下，号召行计费给与缺省的计费措施

为lan-access用户树立计费措施

accounting lan-access { local [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }

缺省情况下，lan-access用户给与缺省的计费措施

为login用户树立计费措施

accounting login { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | local [ none ] | none | radius-scheme radius-scheme-name  [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }

缺省情况下，login用户给与缺省的计费措施

为Portal用户树立授权措施

accounting portal { local [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }

缺省情况下，Portal用户给与缺省的计费措施

 

1.5  树立RADIUS session control功能

H3C的IMC RADIUS做事器使用session control报文向开发发送授权信息的动态修改请求以及断敞开顺请求。使能RADIUS session control功能后，开发会大开着名UDP端口1812来监听并继承RADIUS做事器发送的session control报文。

需要珍贵的是，该功能仅能和H3C的IMC RADIUS做事器合作使用。

表1-54 使能RADIUS session control做事

操作

号召

说明

参预系统视图

system-view

-

使能RADIUS session control功能

radius session-control enable

缺省情况下，RADIUS session control功能处于关闭景况

 

1.6  限定同期在线的最大用户通顺数

通过树立同期在线的最大用户通顺数，不错限定给与指定登录形状（FTP、SSH、Telnet等）同期接入开发的在线用户数。

该树立对于通过任何一种认证形状（none、password或者scheme）接入开发的用户王人见效。

表1-55 树立同期在线的最大用户通顺数

操作

号召

说明

参预系统视图

system-view

-

树立同期在线的最大用户通顺数

非FIPS模式下：

aaa session-limit { ftp | http | https | ssh | telnet } max-sessions

FIPS模式下：

aaa session-limit { https | ssh } max-sessions

种种型用户缺省的最大用户通顺数均为32

 

1.7  树立NAS-ID与VLAN的绑定

用户的接入VLAN可标记用户的接入位置，而在某些应用环境中，集聚运营商需要使用接入开发发送给RADIUS做事器的NAS-Identifier属性值来标记用户的接入位置，因此接入开发上需要建立用户接入VLAN与指定的NAS-ID之间的绑定关系。这么，当用户上线时，开发会将与用户接入VLAN匹配的NAS-ID填充在RADIUS请求报文中的NAS-Identifier属性中发送给RADIUS做事器。

表1-56 树立NAS-ID与VLAN的绑定

操作

号召

说明

参预系统视图

system-view

-

创建NAS-ID Profile，并参预NAS-ID-Profile视图

aaa nas-id profile profile-name

必选

本NAS-ID Profile将被使能Portal或端口安全相应特质进行援用，具体应用请参见“安全树立指导”中的“Portal”或“端口安全”

诞生NAS-ID 与VLAN的绑定关系

nas-id nas-identifier bind vlan vlan-id

必选

缺省情况下，未诞生任何绑定关系

 

1.8  AAA暴露和爱戴

完成上述树立后，在职意视图下扩充display号召不错暴露树立后AAA的运行情况，通过检察暴露信息考证树立的后果。

表1-57 AAA暴露和爱戴

操作

号召

暴露扫数或指定ISP域的树立信息

display domain [ isp-name ]

 

1.9  AAA典型树立例如 1.9.1  SSH用户的HWTACACS认证、授权、计费树立 1. 组网需求

通过树立Switch扫尾使用HWTACACS做事器对SSH登录Switch的用户进行认证、授权、计费。

·     由一台HWTACACS做事器担当认证、授权、计费做事器的职责，做事器IP地址为10.1.1.1/24。

·     Switch与认证、授权、计费HWTACACS做事器交互报文时的分享密钥均为expert，向HWTACACS做事器发送的用户名中不带域名。

·     SSH用户登录Switch时使用HWTACACS做事器上树立的用户名以及密码进行认证，认证通事后具有缺省的用户扮装network-operator。

2. 组网图

图1-10 SSH用户HWTACACS认证、授权和计费树立组网图

 

 

3. 树立武艺

(1)     树立HWTACACS做事器

# 在HWTACACS做事器上诞生与Switch交互报文时的分享密钥为expert；添加SSH用户名及密码。（略）

(2)     树立Switch

# 树立各接口的IP地址（略）。

# 创建HWTACACS有打算hwtac。

<Switch> system-view

[Switch] hwtacacs scheme hwtac

# 树立主认证做事器的IP地址为10.1.1.1，认证端标语为49。

[Switch-hwtacacs-hwtac] primary authentication 10.1.1.1 49

# 树立主授权做事器的IP地址为10.1.1.1，授权端标语为49。

[Switch-hwtacacs-hwtac] primary authorization 10.1.1.1 49

# 树立主计费做事器的IP地址为10.1.1.1，计费端标语为49。

[Switch-hwtacacs-hwtac] primary accounting 10.1.1.1 49

# 树立与认证、授权、计费做事器交互报文时的分享密钥均为明文expert。

[Switch-hwtacacs-hwtac] key authentication simple expert

[Switch-hwtacacs-hwtac] key authorization simple expert

[Switch-hwtacacs-hwtac] key accounting simple expert

# 树立向HWTACACS做事器发送的用户名不佩戴域名。

[Switch-hwtacacs-hwtac] user-name-format without-domain

[Switch-hwtacacs-hwtac] quit

# 创建ISP域bbb，为login用户树立AAA认证措施为HWTACACS认证/授权/计费。

[Switch] domain bbb

[Switch-isp-bbb] authentication login hwtacacs-scheme hwtac

[Switch-isp-bbb] authorization login hwtacacs-scheme hwtac

[Switch-isp-bbb] accounting login hwtacacs-scheme hwtac

[Switch-isp-bbb] quit

# 创建腹地RSA及DSA密钥对。

[Switch] public-key local create rsa

[Switch] public-key local create dsa

# 使能SSH做事器功能。

[Switch] ssh server enable

# 诞生SSH用户登委用户线的认证形状为AAA认证。

[Switch] line vty 0 63

[Switch-line-vty0-63] authentication-mode scheme

[Switch-line-vty0-63] quit

# 使能缺省用户扮装授权功能，使得认证通事后的SSH用户具有缺省的用户扮装network-operator。

[Switch] role default-role enable

4. 考证树立

用户向Switch发起SSH通顺，按照领导输入正确用户名及密码后，可得手登录Switch，并具有用户扮装network-operator所领有的号召行扩充权限。

1.9.2  SSH用户的local认证、HWTACACS授权、RADIUS计费树立 1. 组网需求

通过树立Switch扫尾local认证，HWTACACS授权和RADIUS计费。SSH用户的用户名和密码为hello。

·     一台HWTACACS做事器（担当授权做事器的职责）与Switch衔接，做事器IP地址为10.1.1.2。Switch与授权HWTACACS做事器交互报文时的分享密钥均为expert，发送给HWTACACS做事器的用户名中不带域名。

·     一台RADIUS做事器（担当计费做事器的职责）与Switch衔接，做事器IP地址为10.1.1.1。Switch与计费RADIUS做事器交互报文时的分享密钥为expert。

·     认证通事后的SSH用户具有缺省的用户扮装network-operator。

2. 组网图

图1-11 SSH用户local认证、HWTACACS授权和RADIUS计费树立组网图

 

3. 树立武艺

(1)     树立HWTACACS做事器（略）

(2)     树立RADIUS做事器（略）

(3)     树立Switch

# 树立各接口的IP地址（略）。

# 创建腹地RSA及DSA密钥对。

<Switch> system-view

[Switch] public-key local create rsa

[Switch] public-key local create dsa

# 使能SSH做事器功能。

[Switch] ssh server enable

# 诞生SSH用户登委用户线的认证形状为AAA认证。

[Switch] line vty 0 63

[Switch-line-vty0-63] authentication-mode scheme

[Switch-line-vty0-63] quit

# 树立HWTACACS有打算。

[Switch] hwtacacs scheme hwtac

[Switch-hwtacacs-hwtac] primary authorization 10.1.1.2 49

[Switch-hwtacacs-hwtac] key authorization simple expert

[Switch-hwtacacs-hwtac] user-name-format without-domain

[Switch-hwtacacs-hwtac] quit

# 树立RADIUS有打算。

[Switch] radius scheme rd

[Switch-radius-rd] primary accounting 10.1.1.1 1813

[Switch-radius-rd] key accounting simple expert

[Switch-radius-rd] user-name-format without-domain

[Switch-radius-rd] quit

# 创建立备接续类腹地用户hello。

[Switch] local-user hello class manage

# 树立该腹地用户的做事类型为SSH。

[Switch-luser-manage-hello] service-type ssh

# 树立该腹地用户密码为明文123456TESTplat&!。（如果FIPS模式下，只可使用交互式形状诞生）。

[Switch-luser-manage-hello] password simple 123456TESTplat&!

[Switch-luser-manage-hello] quit

# 创建ISP域bbb，为login用户树立AAA认证措施为腹地认证、HWTACACS授权、RADIUS计费。

[Switch] domain bbb

[Switch-isp-bbb] authentication login local

[Switch-isp-bbb] authorization login hwtacacs-scheme hwtac

[Switch-isp-bbb] accounting login radius-scheme rd

[Switch-isp-bbb] quit

# 使能缺省用户扮装授权功能，使得认证通事后的SSH用户具有缺省的用户扮装network-operator。

[Switch] role default-role enable

4. 考证树立

用户向Switch发起SSH通顺，按照领导输入用户名hello@bbb及正确的密码后，可得手登录Switch，并具有用户扮装network-operator领有的号召行扩充权限。

1.9.3  SSH用户的RADIUS认证和授权树立 1. 组网需求

如图1-12所示，树立Switch扫尾使用RADIUS做事器对登录Switch的SSH用户进行认证和授权。

·     由一台iMC做事器担当认证/授权RADIUS做事器的职责，做事器IP地址为10.1.1.1/24。

·     Switch与RADIUS做事器交互报文时使用的分享密钥为expert，向RADIUS做事器发送的用户名带域名。做事器把柄用户名佩戴的域名来区分提供给用户的做事。

·     SSH用户登录Switch时使用RADIUS做事器上树立的用户名hello@bbb以及密码进行认证，认证通事后具有缺省的用户扮装network-operator。

2. 组网图

图1-12 SSH用户RADIUS认证/授权树立组网图

 

3. 树立武艺

(1)     树立RADIUS做事器（iMC PLAT 5.0）

 

# 加多接入开发。

登录参预iMC接续平台，遴荐“业务”页签，单击导航树中的[接入业务/接入开发接续/接入开发树立]菜单项，参预接入开发树立页面，在该页面中单击“加多”按钮，参预加多接入开发页面。

·     诞生与Switch交互报文时使用的认证、计费分享密钥为“expert”；

·     诞生认证及计费的端标语分别为“1812”和“1813”；

·     遴荐业务类型为“开发接续业务”；

·     遴荐接入开发类型为“H3C”；

·     遴荐或手工加多接入开发，添加IP地址为10.1.1.2的接入开发；

·     其它参数给与缺省值，并单击<详情>按钮完成操作。

 

图1-13 加多接入开发

 

# 加多开发接续用户。

遴荐“用户”页签，单击导航树中的[接入用户视图/开发接续用户]菜单项，参预开发接续用户列表页面，在该页面中单击<加多>按钮，参预加多开发接续用户页面。

·     输入用户名“hello@bbb”和密码；

·     遴荐做事类型为“SSH”；

·     添加所接续开发的IP地址，IP地址边界为“10.1.1.0～10.1.1.255”；

·     单击<详情>按钮完成操作。

 

图1-14 加多开发接续用户

 

(2)     树立Switch

# 树立VLAN接口2的IP地址，SSH客户端将通过该地址通顺SSH做事器。

<Switch> system-view

[Switch] interface vlan-interface 2

[Switch-Vlan-interface2] ip address 192.168.1.70 255.255.255.0

[Switch-Vlan-interface2] quit

# 树立VLAN接口3的IP地址，Switch将通过该地址与做事器通讯。

[Switch] interface vlan-interface 3

[Switch-Vlan-interface3] ip address 10.1.1.2 255.255.255.0

[Switch-Vlan-interface3] quit

# 生成RSA及DSA密钥对。

[Switch] public-key local create rsa

[Switch] public-key local create dsa

# 使能SSH做事器功能。

[Switch] ssh server enable

# 诞生SSH用户登委用户线的认证形状为AAA认证。

[Switch] line vty 0 63

[Switch-line-vty0-63] authentication-mode scheme

[Switch-line-vty0-63] quit

# 使能缺省用户扮装授权功能，使得认证通事后的SSH用户具有缺省的用户扮装network-operator。

[Switch] role default-role enable

# 创建RADIUS有打算rad。

[Switch] radius scheme rad

# 树立主认证做事器的IP地址为10.1.1.1，认证端标语为1812。

[Switch-radius-rad] primary authentication 10.1.1.1 1812

# 树立与认证做事器交互报文时的分享密钥为明文expert。

[Switch-radius-rad] key authentication simple expert

# 树立向RADIUS做事器发送的用户名要佩戴域名。

[Switch-radius-rad] user-name-format with-domain

[Switch-radius-rad] quit

# 创建ISP域bbb，为login用户树立AAA认证措施为RADIUS认证/授权、不计费。

[Switch] domain bbb

[Switch-isp-bbb] authentication login radius-scheme rad

[Switch-isp-bbb] authorization login radius-scheme rad

[Switch-isp-bbb] accounting login none

[Switch-isp-bbb] quit

4. 考证树立

用户向Switch发起SSH通顺，按照领导输入用户名hello@bbb及正确的密码后，可得手登录Switch，并具有用户扮装network-operator所领有的号召行扩充权限。

1.9.4  SSH用户的LDAP认证树立 1. 组网需求

如图1-15所示，树立Switch扫尾使用LDAP做事器对登录Switch的SSH用户进行认证，且认证通事后具有缺省的用户扮装network-operator。

·     一台LDAP认证做事器与Switch衔接，做事器IP地址为10.1.1.1。做事器域名为ldap.com。

·     在LDAP做事器上诞生接续员administrator的密码为admin!123456；并添加用户名为aaa的用户，密码为ldap!123456。

2. 组网图

图1-15 SSH用户LDAP认证树立组网图

 

3. 树立武艺

(1)     树立LDAP做事器

 

# 添加用户aaa。

·     在LDAP做事器上，遴荐[运转/接续器具]中的[Active Directory用户和计划机]，大开Active Directory用户接续界面；

·     在Active Directory用户接续界面的左侧导航树中，点击ldap.com节点下的“Users”按钮；

·     遴荐[操作/新建/用户]，大开[新建对象-用户]对话框；

·     在对话框中输入用户登录名aaa，并单击<下一步>按钮。

图1-16 新建用户aaa

 

·     在弹出的对话框的“密码”区域框内输入用户密码ldap!123456，并单击<下一步>按钮。用户帐户的其它属性（密码的转换形状、密码的生活形状、是否禁用帐户）请把柄本色情况遴荐树立，图中仅为示例。

图1-17 诞生用户密码

 

·     单击<完成>按钮，创建新用户aaa。

# 将用户aaa加入Users组。

·     在Active Directory用户接续界面的左侧导航树中，点击ldap.com节点下的“Users”按钮；

·     在右侧的Users信息框中右键单击用户aaa，遴荐“属性”项；

·     在弹出的[aaa属性]对话框中遴荐“从属于”页签，并单击<添加(D)...>按钮。

图1-18 修改用户属性

 

·     在弹出的[遴荐组]对话框的可裁剪区域框中输入对象称号“Users”，单击<详情>，完成用户aaa添加到Users组。

图1-19 添加用户aaa到用户组Users

 

# 完成用户aaa的添加之后，还需要树立接续员用户administrator的密码为admin!123456。

·     在右侧的Users信息框中右键单击接续员用户administrator，遴荐“诞生密码(S)...”项；

·     在弹出的密码添加对话框中诞生接续员密码，详备过程略。

(2)     树立Switch

# 树立VLAN接口2的IP地址，SSH用户将通过该地址通顺Switch。

<Switch> system-view

[Switch] interface vlan-interface 2

[Switch-Vlan-interface2] ip address 192.168.1.70 24

[Switch-Vlan-interface2] quit

# 树立VLAN接口3的IP地址，Switch将通过该地址与LDAP做事器通讯。

[Switch] interface vlan-interface 3

[Switch-Vlan-interface3] ip address 10.1.1.2 24

[Switch-Vlan-interface3] quit

# 生资腹地RSA及DSA密钥对。

[Switch] public-key local create rsa

[Switch] public-key local create dsa

# 使能SSH做事器功能。

[Switch] ssh server enable

# 诞生SSH用户登委用户线的认证形状为AAA认证。

[Switch] line vty 0 63

[Switch-line-vty0-63] authentication-mode scheme

[Switch-line-vty0-63] quit

# 使能缺省用户扮装授权功能，使得认证通事后的SSH用户具有缺省的用户扮装network-operator。

[Switch] role default-role enable

# 创建LDAP做事器。

[Switch] ldap server ldap1

# 树立LDAP认证做事器的IP地址。

[Switch-ldap-server-ldap1] ip 10.1.1.1

# 树立具有接续员权限的用户DN。

[Switch-ldap-server-ldap1] login-dn cn=administrator，cn=users，dc=ldap，dc=com

# 树立具有接续员权限的用户密码。

[Switch-ldap-server-ldap1] login-password simple admin!123456

# 树立查询用户的肇端目次。

[Switch-ldap-server-ldap1] search-base-dn dc=ldap，dc=com

[Switch-ldap-server-ldap1] quit

# 创建LDAP有打算。

[Switch] ldap scheme ldap-shm1

# 树立LDAP认证做事器。

[Switch-ldap-ldap-shm1] authentication-server ldap1

[Switch-ldap-ldap-shm1] quit

# 创建ISP域bbb，为login用户树立AAA认证措施为LDAP认证、不授权、不计费。

[Switch] domain bbb

[Switch-isp-bbb] authentication login ldap-scheme ldap-shm1

[Switch-isp-bbb] authorization login none

[Switch-isp-bbb] accounting login none

[Switch-isp-bbb] quit

4. 考证树立

用户向Switch发起SSH通顺，按照领导输入用户名aaa@bbb及正确的密码ldap!123456后，可得手登录Switch，并具有用户扮装network-operator所领有的号召行扩充权限。

1.10  AAA常见树立失实例如 1.10.1  RADIUS认证/授权失败 1. 故障风景

用户认证/授权老是失败。

2. 故障分析

(1)     开发与RADIUS做事器之间存在通讯故障。

(2)     用户名不是“userid@isp-name”的体式，或开发上莫得正确树立用于认证该用户的ISP域。

(3)     RADIUS做事器的数据库中莫得树立该用户。

(4)     用户侧输入的密码不正确。

(5)     RADIUS做事器和开发的报文分享密钥不同。

3. 处理过程

(1)     使用ping号召检查开发与RADIUS做事器是否可达。

(2)     使用正确体式的用户名或在开发上确保正确树立了用于该用户认证的ISP域。

(3)     检查RADIUS做事器的数据库以保证该用户的树立信息如实存在。

(4)     确保接入用户输入正确的密码。

(5)     检查两头的分享密钥，并确保两头一致。

1.10.2  RADIUS报文传送失败 1. 故障风景

RADIUS报文无法传送到RADIUS做事器。

2. 故障分析

(1)     开发与RADIUS做事器之间的通讯存在故障。

(2)     开发上莫得诞生相应的RADIUS做事器IP地址。

(3)     认证/授权和计费做事的UDP端口诞生不正确。

(4)     RADIUS做事器的认证/授权和计费端口被其它应用程序占用。

3. 处理过程

(1)     确保默契通顺。

(2)     确保正确诞生RADIUS做事器的IP地址。

(3)     确保与RADIUS做事器提供做事的端标语一致。

(4)     确保RADIUS做事器上的认证/授权和计费端口可用。

1.10.3  RADIUS计费功能极端 1. 故障风景

用户认证通过并赢得授权，然则计费功能出现极端。

2. 故障分析

(1)     计费端标语诞生不正确。

(2)     计费做事器和认证做事器不是归并台机器，开发却要求认证和计费功能属于归并个做事器（IP地址疏导）。

3. 处理过程

(1)     正确诞生RADIUS计费端标语。

(2)     确保开发的认证做事器和计费做事器的诞生与本色情况疏导。

1.10.4  HWTACACS常见树立失实例如

HWTACACS的常见树立失实例如与RADIUS基本同样，不错参考以上内容。

1.10.5  LDAP常见树立失实例如 1. 故障风景

用户认证失败。

2. 故障分析

(1)     开发与LDAP做事器之间存在通讯故障。

(2)     树立的认证/授权做事器IP地址或端标语不正确。

(3)     用户名不是“userid@isp-name”的体式，或开发上莫得正确树立用于认证该用户的ISP域。

(4)     LDAP做事器目次中莫得树立该用户。

(5)     用户输入的密码不正确。

(6)     具有接续员权限的用户DN或密码莫得树立。

(7)     开发上树立的用户参数（如用户名属性）与做事器上的树立分歧应。

(8)     认证操作时，莫得树立LDAP有打算用户查询的肇端DN。

3. 处理过程

(1)     使用ping号召检查开发与LDAP做事器是否可达。

(2)     确保树立的认证做事器IP地址与端标语与LDAP做事器本色使用的IP地址和端标语相符。

(3)     使用正确体式的用户名或在开发上确保正确树立了用于该用户认证的ISP域。

(4)     检查LDAP做事器目次以保证该用户的树立信息如实存在。

(5)     确保输入用户密码正确。

(6)     确保树立了正确的接续员用户DN和密码。

(7)     确保开发上的用户参数（如用户名属性）树立与LDAP做事器上的树立疏导。

(8)     认证操作时，确保树立了用户查询的肇端DN。

 

• 杨超越 ai换脸
• H3C
• S5560