windowNPS对telnet_ssh认证

Win2008NPS（radius）对交换机telne/ssh认证认证过程：登录交换机后要求输入用户名和密码，交换机根据配置将用户名和密码发送到NPS服务器，服务器验证用户名和密码，验证通过可管理交换机，不通过则拒绝访问配置主要分为两部分，window侧和交换机侧，以下将对Cisco、H3C两家厂商配置做详细介绍一Cisco交换机侧配置首先创建enable密码enablesecretxxxxusernamexxxsecretxxx创建radius，启用aaaaaanew-modelaaaauthenticationloginnpsgroupradiuslocalaaaauthorizationexecnpsgroupradiuslocalradius-serverhost10.0.2.89auth-port1812acct-port1813keyxxxxradiussource-interfaceVlan70telnet认证linevty015authorizationexecnpsloginauthenticationnpsssh2认证ipdomain-nameyundacryptokeygeneratersageneral-keysmodulus1024ipsshversion2linevty015exec-timeout150transportinputsshauthorizationexecnpsloginauthenticationnpslinecon0authorizationexecnpsloginauthenticationnps其中nps是自定义的认证列表名必须上下一致Window配置用户名、密码和组创建本地创建用户名和密码，并将账号属性中的拨入方式勾选为NPS创建组，将用户添加到该组若是域账号NPS必须在AD中注册，步骤很简单，右击NPS选在在AD中注册即可1安装NPS角色打开服务器管理器—角色--添加角色—勾选安装网络策略和访问服务，角色服务中勾选网络策略服务器，完成后如下图2新建radius客户端右击radius客户端---新建，在友好名称中自定义交换机的名称，地址栏中输入交换机ip，共享密码方式选择手动，密码必须和交换机中指定的密码一致，否则认证无法通过。在高级选项卡中选择cisco3新建连接请求策略右击连接请求策略-新建，策略名自定义，条件中找到客户端好友名称，输入第2步中自定义交换机名称，身份验证方式选择如下，radius标准属性中选择login-service,属性值为telnet。其他默认4新建网络策略（重点）右击网络策略新建，策略名自定义其他默认，条件选择客户端好友名称，输入第2步中自定义的交换机名称，身份验证方式如下Radius标准属性中名称选择service-type，值为login供应商特定中名称选择cisco-av-pair供应商为cisco值为shell:priv-lvl=15至此cisco配置完成二H3C交换机侧配置radiusschemetestprimaryauthentication192.168.100.233key123456primaryaccounting192.168.100.233key123456user-name-formatwithout-domainquitdomaindevauthenticationloginradius-schemetestlocalauthorizationloginradius-schemetestlocalaccountingloginnonequitdomaindefaultenabledevtelnet认证user-interfacevty015authentication-modeschemessh2认证public-keylocalcreatersa1024public-keylocalcreatedsa1024sshserverenableuser-interfacevty04protocolinboundsshauthentication-modescheme192.168.100.233为radius服务器ipuser-name-formatwithout-domain改名领允许登录时可以不带域名domaindefaultenabledev将dev设置为默认域名并且启用Window配置用户名、密码和组创建本地创建用户名和密码，并将账号属性中的拨入方式勾选为NPS创建组，将用户添加到该组若是域账号NPS必须在AD中注册，步骤很简单，右击NPS选在在AD中注册即可NPS配置步骤1安装NPS角色（同上）2新建radius客户端（同上）3新建连接请求策略（同上）4新建网络策略右击网络策略新建，策略名自定义其他默认，条件选择window用户组，添加新建的组。身份验证方式如下Radius标准属性中名称选择login-service，值为telnet供应商特定中名称选择vendor-specific供应商为radiusstandard,供应商代码为2011，供应商分配属性好为29，属性格式选择十进制，属性值为3注意：vendor-specific是厂商的radius扩展编码，常用有2011和25506两种，具体可查询厂商官网