让AAA和local认证同时生效

本文探讨了在Cisco设备上配置AAA与Local认证时的顺序影响。通过实验发现,即使Local认证被设置在AAA之前,两种认证方式仍可同时工作。这表明实际行为可能与预期不同,强调了直接测试配置的重要性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一般在用AAA服务器进行用户授权访问管理的时候,local认证会作为一个备份策略使用。
一般配置为:
aaa authentication login TelnetManage group tacacs+ local,
同时在line vty下配置login authentication TelnetManage
其中TelnetMange为在acs sever上配置的用户组名。
此语句配置的功能:
aaa生效的时候不调用local,aaa不生效的时候,即acs server连接失效的时候才调用local认证。
由此反之理解,如果把local放置到tacacs+的前面,那么local将先于tacacs+生效,那么aaa只有在local失效的情况下可用。
实际情况则是在我们进行如下配置aaa authentication login TelnetManage local group tacacs+后,aaa和local的用户都可以对设备进行登陆!
个人感觉应该是line vty下既然调用了aaa,那么就一定能用。而又因为aaa配置中local放到了tacacs+的前面,导致local的调用不再取决于aaa。
在实验之前,我们的技术大拿10来年的IE也是觉得aaa不会生效,实际试验则证明可以用,可见不管我们对cisco的技术掌握的多深厚精通,我们不知道他开发的IOS源代码,主观臆断是不可以的。
为了实现基于radius协议的用户认证,华为交换机的AAA配置是关键步骤。《华为交换机AAA配置详解:认证、授权与计费管理》将为你提供全面的指南,通过下面的步骤,你可以轻松地在华为交换机上设置AAA服务。 参考资源链接:[华为交换机AAA配置详解:认证、授权与计费管理](https://wenku.youkuaiyun.com/doc/7sgyfabdck?spm=1055.2569.3001.10343) 首先,你需要配置radius服务器的IP地址共享密钥。这一步骤是为了确保交换机与radius服务器之间的通信安全。具体的配置命令如下: <Huawei> system-view [Huawei] aaa [Huawei-aaa] radius-server *.*.*.* key 7 Huawei@2023 接下来,创建一个本地用户账户,并为其分配认证模板,这里需要确保radius服务器已经添加到AAA服务器组中。命令如下: [Huawei-aaa] local-user user1 password cipher Huawei@2023 [Huawei-aaa] local-user user1 service-type ppp [Huawei-aaa] local-user user1 authentication-mode aaa 然后,配置NAS属性并绑定到相应的AAA服务器组。NAS属性的配置确保了用户在进行网络访问时的认证流程正确执行。示例配置如下: [Huawei] aaa [Huawei-aaa] nas-port 1 service-type ppp 最后,确认AAA服务已经启用,所有的配置都会在交换机重启后生效。配置完成后,使用radius协议认证的用户将通过radius服务器进行身份验证。 通过以上步骤,你将能够在华为交换机上配置基于radius协议的AAA认证服务。为了进一步深入了解AAA的授权计费配置,以及radiusHWTACACS协议的使用细节,建议参考《华为交换机AAA配置详解:认证、授权与计费管理》文档,该文档不仅提供了配置步骤,还提供了丰富的案例故障排查技巧,以帮助你全面掌握AAA配置与管理。 参考资源链接:[华为交换机AAA配置详解:认证、授权与计费管理](https://wenku.youkuaiyun.com/doc/7sgyfabdck?spm=1055.2569.3001.10343)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值