http://www.h3c.com/cn/d_201512/903158_30005_0.htm
参考官方文档
本人按照公司的需求,要求有两层密码登录进去可以获得root权限。
telnet用户登录时进行本地认证,登录后被授予用户角色level-0,当切换到用户角色network-admin时,使用local认证,AAA配置。
配置思路
配置思路如下:
(1) 配置Telnet用户登录采用AAA认证方式(scheme),并且使用AAA中的本地认证。
· 创建ISP域bbb,配置Telnet用户登录时采用的login认证和授权方法为local。
· 创建本地用户,配置Telnet用户登录密码及登录后的用户角色。
(2) Telnet用户进行用户角色切换时,首先使用RADIUS认证,本地认证。
· 配置用户角色切换认证方式为scheme local。
· 配置采用本地认证方式时的用户角色切换密码。
配置步骤
(1) 配置H3C
配置接口GigabitEthernet2/0/1的IP地址,Telnet客户端将通过该地址连接H3C。
<H3C> system-view
[H3C] interface Vlan-interface 1
[[H3C-Vlan-interface1]] ip address 192.168.1.70 255.255.255.0
[[H3C-Vlan-interface1]] quit
开启Telnet服务器功能。
[H3C] telnet server enable
进入VTY0-4用户界面视图 配置Telnet用户登录采用AAA认证方式。
[H3C] user-interface vty 0 4
[H3C-line-vty0-4] authentication-mode scheme
设置VTY0-4用户界面支持Telnet协议。
[H3C-line-vty0-4]protocol inbound telnet
[H3C-line-vty0-4] quit
配置进行用户角色切换时的认证方式为scheme local。
[H3C] super authentication-mode scheme local
创建ISP域bbb。
[H3C] domain bbb
配置Telnet用户登录认证方法为本地认证。
[H3C-isp-bbb] authentication login local
配置Telnet用户登录授权方法为本地授权。
[H3C-isp-bbb] authorization login local
[H3C-isp-bbb] quit
创建并配置设备管理类本地Telnet用户test。
[H3C] local-user test class manage
[H3C-luser-manage-test] service-type telnet
[H3C-luser-manage-test] password simple aabbcc
指定Telnet用户登录系统后被授予的用户角色为level-0。
[H3C-luser-manage-test] authorization-attribute user-role level-0
为保证Telnet用户仅使用授权的用户角色level-0,删除用户test具有的缺省用户角色network-operator。
[H3C-luser-manage-test] undo authorization-attribute user-role network-operator
[H3C-luser-manage-test] quit
配置用户角色切换认证方式为本地认证时,切换到用户角色network-admin时使用的密码为abcdef654321。
[H3C] super password role network-admin simple abcdef654321
[H3C] quit
验证配置
(1) Telnet用户建立与交换机的连接
在Telnet客户端按照提示输入用户名test@bbb及密码aabbcc,即可成功登,且只能访问指定权限的命令。
image.png(2) 切换用户角色
在当前的用户线下执行切换到用户角色network-admin的命令,按照提示输入RADIUS用户角色切换认证密码123456,若认证成功即可将当前Telnet用户的角色切换到network-admin。
<Router> super network-admin
Change authentication mode to local.
Password: <——此处需输入本地用户角色切换认证密码
User privilege role is network-admin, and only those commands that authorized to the role can be used.
如果不切换到network-amin
image.png
到此验证成功
网友评论