背景信息

用户通过Telnet登录设备时,设备上必须配置验证方式,否则用户无法成功登录设备。设备支持不认证、密码认证和AAA认证三种用户界面的验证方式,其中AAA认证方式安全性最高。

采用AAA本地认证方式实现用户通过Telnet登录设备的身份认证,设备上需要开启Telnet服务,将用户界面(以VTY用户界面为例)的验证方式设为aaa,同时在AAA视图下创建本地用户,配置该用户的接入方式和用户级别。

<HUAWEI> system-view

[HUAWEI] telnet server enable  //开启Telnet服务

[HUAWEI] user-interface maximum-vty 15  //配置VTY用户界面的登录用户最大数目为15

[HUAWEI] user-interface vty 0 14  //进入0~14的VTY用户界面视图

[HUAWEI-ui-vty0-14] authentication-mode aaa  //配置VTY用户界面的验证方式为aaa

[HUAWEI-ui-vty0-14] protocol inbound telnet  //配置VTY用户界面支持的协议为Telnet,V200R006及之前版本缺省使用的协议为Telnet协议,可以不配置该项;V200R007及之后版本缺省使用的协议为SSH协议,必须配置。

[HUAWEI-ui-vty0-14] quit

[HUAWEI] aaa

[HUAWEI-aaa] local-user user1 password cipher Huawei@1234  //创建本地用户user1并配置密码

[HUAWEI-aaa] local-user user1 service-type telnet  //配置本地用户user1的接入类型为Telnet,该用户只能使用Telnet方式登录

[HUAWEI-aaa] local-user user1 privilege level 15  //配置本地用户user1的用户级别为15,该用户登录后可以执行0~15级的命令

[HUAWEI-aaa] quit

17.2  配置用户级别

背景信息

用户级别与命令级别相对应,用户登录设备后只能执行命令级别等于或低于自己用户级别的命令,如用户级别为2的用户只能执行命令级别为0,1和2的命令。

用户采用AAA本地认证方式登录设备时,设备上必须配置该用户的用户级别,否则该用户的用户级别为0级(参观级),即用户登录设备后只能执行命令级别为0的命令:pingtracert等网络诊断工具命令。

如果希望该用户登录设备后可以执行命令级别更高的命令,如监控级、配置级或管理级的命令,用户必须具有更高的用户级别。

当用户的认证方式为AAA本地认证时,可以采用以下方式配置用户级别,优先级由上到下依次降低:

  • 配置某个用户的用户级别。

    <HUAWEI> system-view
    
[HUAWEI] aaa
    
[HUAWEI-aaa] local-user user1 privilege level 15  //配置用户user1的用户级别为15
  • 配置某个域下所有用户的用户级别。 
    <HUAWEI> system-view
    
[HUAWEI] aaa
    
[HUAWEI-aaa] service-scheme sch1
    
[HUAWEI-aaa-service-sch1] admin-user privilege level 15  //配置某个域下所有用户的用户级别为15
  • 配置从某个用户界面登录的所有用户的用户级别(以VTY用户界面为例)。 
    <HUAWEI> system-view
    
[HUAWEI] user-interface maximum-vty 15
    
[HUAWEI] user-interface vty 0 14
    
[HUAWEI-ui-vty0-14] user privilege level 15  //配置VTY 0~VTY 14用户界面下用户级别为15

17.3  配置全局默认域

对于某部门用户,管理员规划其在域“huawei”中进行认证。由于用户认证时提供的用户名经常为不带域名格式,譬如“zhangsan”,这样就导致接入设备无法将用户名上送到在“huawei”域中配置的AAA服务器上进行认证,用户无法通过认证。针对这种情况,可将全局默认域配置为“huawei”。

<HUAWEI> system-view

[HUAWEI] aaa

[HUAWEI-aaa] domain huawei

[HUAWEI-aaa-domain-huawei] quit

[HUAWEI-aaa] quit

[HUAWEI] domain huawei

配置用户通过Telnet登录设备的身份认证(AAA本地认证)的更多相关文章

  1. 华为S5700系列交换机配置通过Telnet登录设备

    声明:不管什么服务,都需要交换机开启服务,创建对应权限的用户,在通道下允许协议通过,缺一不可,以telnet为例. 组网图形 图1 配置通过Telnet登录设备组网图 组网需求 如图一所示,PC与设备 ...

  2. Centos6.5搭建vsftpd,并配置用户和密码登录

    Centos6.5搭建vsftpd,并配置用户和密码登录 2017年05月11日 18:40:47 阅读数:6142 1)安装vsftpd yum install vsftpd 2)配置vsftpd配 ...

  3. 华为交换机S5700系列配置通过STelnet登录设备示例

    配置通过STelnet登录设备示例 组网图形 图1 配置用户通过STelnet登录设备组网图 在服务器端生成本地密钥对 <HUAWEI> system-view [HUAWEI] sysn ...

  4. 网络初级篇之配置telnet登录网络设备(实验)

    一.作用     在日常工作中,登录网络设备,对其进行配置主要有几种方式:console.Telnet与ssh.这样可以实现远程(只要网络可达)控制,极大的方便了工作.今天主要讲解一下配置Telnet ...

  5. 配置路由器/交换机的Telnet登录

    实验目的:给配置路由器/交换机管理IP地址.设置Telnet的登录帐号.密码. 第一步:配置路由器的名称.接口IP地址. Switch> Switch>en Switch# Switch# ...

  6. Jenkins 配置用户权限错误导致无法登录解决方案

    最初配置Jenkins的用户管理权限时,因为不熟悉很容易将用户角色配置错误,导致配置用户后无法登录系统: 登录系统时候提示"Access Denied": 解决办法: 进入Jenk ...

  7. H3C 交换机设置本地用户和telnet远程登录配置 v7 版本

    H3C 交换机设置本地用户和telnet远程登录配置   v7版本 一.配置远程用户密码与本地用户一致 [H3C]telnet server en //开启Telnet 服务 [H3C]local-u ...

  8. 华为交换机VRP用户界面配置及Telnet登录实验

    user privilege level level 设置使用以上用户界面登录后的用户级别 5 acl acl-number { inbound | outbound } (可选)在用户界面上应用AC ...

  9. HUAWEI交换机配置telnet登录

    Huawei交换机配置Telnet登录 一,交换机开启Telnet服务 <Huawei>system-view                                        ...

随机推荐

  1. 【LG5018】[NOIP2018pj]对称的二叉树

    [LG5018][NOIP2018pj]对称的二叉树 题面 洛谷 题解 看到这一题全都是用\(O(nlogn)\)的算法过的 考场上写\(O(n)\)算法的我很不开心 然后就发了此篇题解... 首先我 ...

  2. dotnet core在Task中使用依赖注入的Service/EFContext

    C#:在Task中使用依赖注入的Service/EFContext dotnet core时代,依赖注入基本已经成为标配了,这就不多说了. 前几天在做某个功能的时候遇到在Task中使用EF DbCon ...

  3. Python运维三十六式:用Python写一个简单的监控系统

    市面上有很多开源的监控系统:Cacti.Nagios.Zabbix.感觉都不符合我的需求,为什么不自己做一个呢? 用Python两个小时徒手撸了一个简易的监控系统,给大家分享一下,希望能对大家有所启发 ...

  4. 基于ejabberd实现各个客户端消息同步

    先上图再说(左侧是web端,右侧是ios端)              要实现上面的功能,如果所有设备都在线的话,那么carboncopy(xmpp xep-0280协议)这个模块是可以实现接收到的消 ...

  5. Linux 安装Zookeeper<集群版>(使用Mac远程访问)

    阅读本文需要先阅读安装Zookeeper<准备> 一 架构细节 zookeeper集群根据投票选举的机制 选出leader和follower zookeeper集群节点建议是奇数 这里我准 ...

  6. [C++]boost dijkstra获得两点间的最短路

    需求是只需要得到两点间的最短路,不需要求得单源对于全图的最短路,使用boost中的dijsktra_shortest_path,当得到目标点的最短路时直接throw exception. #inclu ...

  7. Ansible开发之路

    一.初识Ansible 链接:https://www.cnblogs.com/baishuchao/articles/9164083.html 二.Ansible的架构 链接:https://www. ...

  8. 基于Mininet测量路径的损耗率

    基于Mininet测量路径的损耗率 控制器采用POX,基于OVS仿真 Mininet脚本 创建Node mininet.node Node 创建链路连接 mininet.link TCLink 设置i ...

  9. 0428数字口袋精灵app优化

    "数字口袋精灵app"优化 目录: 一.项目github总仓库推送 二.开发成员 三.分工与合作 四.各模块成果 五.团队成员贡献分 内容: 一.项目github总仓库: http ...

  10. c# HttpListener拒绝访问

    直接记录解决步骤: 程序代码: HttpListener httpListener = new HttpListener(); httpListener.Prefixes.Add("http ...