搜索
Juniper交换机AAA登录认证配置1.登录CiscoACS,添加交换机信息,使用RADIUS(Juniper)认证创建juniper_test组,并添加了E401#test主机,输入需要验证的主机IP及验证秘钥然后勾选juniper的radius模板2.在ACS的接口下导入模板,然后点击用户组将需要3A认证的用户加入juniper上相应权限的用户组在组里面里面添加Juniper交换机里面配置的超级管理员帐号,这样的目的是把Juniper交换机上具有超级管理员权限的gainet这个用户的权限关联到Group0这个组中,那么这个组中的用户(关联的域用户以及本地添加进去的本地用户)都具有超管的权限。如果希望某个组(如Group2)具有只读的权限,那么进入这个组的EditSettings,在Juniper-Local-User-Name里面添加Juniper里面的只读用户read即可。3.JuniperAAARadius配置:setsystemauthentication-orderradiussetsystemradius-server203.171.224.86secretzzidc.comsetsystemradius-server203.171.224.86timeout5setsystemradius-server203.171.224.86source-address172.31.4.1setsystemauthentication-orderpassword这条命令如果不删除,在AAA服务器正常通信情况下也能使用本地帐号登录;如果删除,在AAA服务器不能通信的情况下才能使用本地帐号登录。4.登录验证Juniper交换机TACACS+配置1.Juniper交换机上tacacs+配置如下:setgroupsglobalsystemauthentication-ordertacplussetgroupsglobalsystemtacplus-server203.171.224.86secretzzidc.comsetgroupsglobalsystemtacplus-server203.171.224.86timeout5setgroupsglobalsystemtacplus-server203.171.224.86source-address172.31.4.1setgroupsglobalsystemloginuserremoteuid2002setgroupsglobalsystemloginuserremoteclasssuper-usersetapply-groupsglobal不需要setsystemauthentication-order这条命令,因为setgroupsglobal已经指定了认证类型如果在AAA服务器不能通信的情况下才能使用本地帐号登录则添加如下命令:setgroupsglobalsystemauthentication-orderpassword或者setsystemauthentication-orderpassword2.ACS设置按照平时开机柜配置即可3.验证根据日志提示可得知用户有配置等权限