API Guide
Identifier GUID-3955ED28-AF7F-4CC7-A7C5-14578F31BBD4
Version 14
Status Translation approved
安全性
身份验证、授权和核算 (AAA) 服务保护网络可防止未经授权的访问。除了本地身份验证,OS10 还支持远程身份验证拨号用户服务
(RADIUS) 和终端访问控制器访问控制系统 (TACACS+) 客户端/服务器身份验证系统。对于 RADIUS 和 TACACS+,OS10 交换机用作
客户端,并向包含所有用户身份验证和网络服务访问信息的服务器发送身份验证请求。
RADIUS 或 TACACS+ 服务器提供:用户凭据身份验证、使用基于角色的权限的授权和核算服务。您可以为不同的登录方法和用户配
置使用的安全协议。与 TACACS+ 相比,RADIUS 提供有限的授权和核算服务。如果您使用的是 RADIUS 或 TACACS+ 安全服务器,
请按照服务器说明文件中的步骤在服务器上配置所需的安全参数。
AAA 配置
在交换机上,AAA 配置包括设置访问控制和核算服务:
1. 配置用于允许访问交换机的身份验证方法。
2. 为经过身份验证的用户配置命令授权级别。
3. 为用户会话配置安全设置。
4. 启用 AAA 核算。
Identifier
GUID-3AA7700A-676D-4E6F-BD7B-AE3225FB6278
Version 1
Status Translation approved
AAA 身份验证
OS10 交换机使用一系列身份验证方法来定义身份验证类型及其应用顺序。默认情况下,OS10 仅使用 local 身份验证方法。
方法列表中的身份验证方法按配置的顺序执行。重新输入更改订单的方法。local 身份验证方法仍保持启用状态,即使您使用 no
aaa authentication login {console | default} 命令删除列表中的所有已配置方法。
注: 如果您在以 SmartFabric 模式工作的 Dell EMC PowerEdge MX7000 以太网模块(MX9116n 结构交换引擎和 MX5108n 以
太网交换机)上配置多个身份验证方法,则必须将本地身份验证配置为列表中的第一种方法。
• 在 CONFIGURATION 模式下配置 AAA 身份验证方法。
aaa authentication login {console | default} {local | group radius | group tacacs+}
• console — 配置控制台登录的身份验证方法。
• default — 配置非控制台身份验证方法,如 SSH 和 Telnet 登录。
• local — 使用通过 username password role 命令配置的本地用户名、密码和角色条目。
• group radius — 使用 radius-server host 命令配置 RADIUS 服务器。
• group tacacs+ — 使用 tacacs-server host 命令配置 TACACS+ 服务器。
在服务器上配置用户角色
如果控制台用户使用 RADIUS 或 TACACS+ 身份验证登录,则将应用在 RADIUS 或 TACACS+ 服务器上为用户配置的角色。如果身份
验证服务器上未配置任何角色,则用户身份验证失败。
此外,您必须使用特定于供应商的属性 (VSA) 配置 RADIUS 或 TACACS+ 服务器上的用户角色,否则身份验证将失败。Dell EMC 的
供应商 ID 为 674。使用 Name = Dell-group-name, OID = 2, Type = string 创建 VSA。Dell-group-name 的有效值为
sysadmin、secadmin、netadmin 和 netoperator。在 Radius 或 TACACS+ 服务器上创建用户时,请使用 VSA Dell-group-
name 值。
有关如何在 RADIUS 或 TACACS+ 服务器上配置特定于供应商的属性的详细信息,请参阅相应的 RADIUS 或 TACACS+ 服务器说明文
件。
18
安全性
955