aaa认证配置ssh

44

AAA配置

访问控制是用来控制哪些人可以访问网络服务器以及用户在网络上可以访问哪些服务的。身份认证、授权

和记账（AAA）是进行访问控制的一种主要的安全机制。

44.1 AAA基本原理

AAA是Authentication Authorization and Accounting（认证、授权和记账）的简称，它提供了对认证、授

权和记账功能进行配置的一致性框架，锐捷网络设备产品支持使用AAA。 AAA以模块方式提供以下服务：

? 认证：验证用户是否可获得访问权，可选择使用RADIUS协议、TACACS+协议或Local

（本地）等。身份认证是在允许用户访问网络和网络服务之前对其身份进行识别

的一种方法。

? 授权：授权用户可使用哪些服务。AAA授权通过定义一系列的属性对来实现，这

些属性对描述了用户被授权执行的操作。这些属性对可以存放在网络设备上，也可以远程存放在安全服务器上。

? 记账：记录用户使用网络资源的情况。当AAA记账被启用时，网络设备便开始以

统计记录的方式向安全服务器发送用户使用网络资源的情况。每个记账记录都是以属性对的方式组成，并存放在安全服务器上，这些记录可以通过专门软件进

44

AAA配置

访问控制是用来控制哪些人可以访问网络服务器以及用户在网络上可以访问哪些服务的。身份认证、授权

和记账（AAA）是进行访问控制的一种主要的安全机制。

44.1 AAA基本原理

AAA是Authentication Authorization and Accounting（认证、授权和记账）的简称，它提供了对认证、授

权和记账功能进行配置的一致性框架，锐捷网络设备产品支持使用AAA。 AAA以模块方式提供以下服务：

? 认证：验证用户是否可获得访问权，可选择使用RADIUS协议、TACACS+协议或Local

（本地）等。身份认证是在允许用户访问网络和网络服务之前对其身份进行识别

的一种方法。

? 授权：授权用户可使用哪些服务。AAA授权通过定义一系列的属性对来实现，这

些属性对描述了用户被授权执行的操作。这些属性对可以存放在网络设备上，也可以远程存放在安全服务器上。

? 记账：记录用户使用网络资源的情况。当AAA记账被启用时，网络设备便开始以

统计记录的方式向安全服务器发送用户使用网络资源的情况。每个记账记录都是以属性对的方式组成，并存放在安全服务器上，这些记录可以通过专门软件进

44

AAA配置

访问控制是用来控制哪些人可以访问网络服务器以及用户在网络上可以访问哪些服务的。身份认证、授权

和记账（AAA）是进行访问控制的一种主要的安全机制。

44.1 AAA基本原理

AAA是Authentication Authorization and Accounting（认证、授权和记账）的简称，它提供了对认证、授

权和记账功能进行配置的一致性框架，锐捷网络设备产品支持使用AAA。 AAA以模块方式提供以下服务：

? 认证：验证用户是否可获得访问权，可选择使用RADIUS协议、TACACS+协议或Local

（本地）等。身份认证是在允许用户访问网络和网络服务之前对其身份进行识别

的一种方法。

? 授权：授权用户可使用哪些服务。AAA授权通过定义一系列的属性对来实现，这

些属性对描述了用户被授权执行的操作。这些属性对可以存放在网络设备上，也可以远程存放在安全服务器上。

? 记账：记录用户使用网络资源的情况。当AAA记账被启用时，网络设备便开始以

统计记录的方式向安全服务器发送用户使用网络资源的情况。每个记账记录都是以属性对的方式组成，并存放在安全服务器上，这些记录可以通过专门软件进

44

AAA配置

访问控制是用来控制哪些人可以访问网络服务器以及用户在网络上可以访问哪些服务的。身份认证、授权

和记账（AAA）是进行访问控制的一种主要的安全机制。

44.1 AAA基本原理

AAA是Authentication Authorization and Accounting（认证、授权和记账）的简称，它提供了对认证、授

权和记账功能进行配置的一致性框架，锐捷网络设备产品支持使用AAA。 AAA以模块方式提供以下服务：

? 认证：验证用户是否可获得访问权，可选择使用RADIUS协议、TACACS+协议或Local

（本地）等。身份认证是在允许用户访问网络和网络服务之前对其身份进行识别

的一种方法。

? 授权：授权用户可使用哪些服务。AAA授权通过定义一系列的属性对来实现，这

些属性对描述了用户被授权执行的操作。这些属性对可以存放在网络设备上，也可以远程存放在安全服务器上。

? 记账：记录用户使用网络资源的情况。当AAA记账被启用时，网络设备便开始以

统计记录的方式向安全服务器发送用户使用网络资源的情况。每个记账记录都是以属性对的方式组成，并存放在安全服务器上，这些记录可以通过专门软件进

SSH配置详解

Struts配置 .................................................................. 3

一、struts.config.xml .................................................... 3

1、struts-config ..................................................... 3 2、action-Mappings ................................................... 3 2、1 action（struts 1.x） ............................................ 3 3、controller ........................................................ 4 4、data-sources ...................................................... 5 5、form-bea

基本概念

? linux自带的ssh为OpenSSH ? ssh协议提供两种用户认证方式

1、 基于口令的安全认证：使用用户名、密码的方式对登录用户进行认证 2、 基于密钥的安全认证：使用公钥和私钥对的方式对登录用户进行认证 ? OpenSSH的rpm包由四部分组成（默认已安装）

openssh-4.3p2-26.el5.i386.rpm（一定要先安装这个rpm包） openssh-server-4.3p2-26.el5.i386.rpm openssh-clients-4.3p2-26.el5.i386.rpm

openssh-askpass-4.3p2-26.el5.i386.rpm （在图形界面下使用ssh服务时才需要） ? openssh的主配置文件为：

/etc/ssh/sshd_config #ssh服务器的配置文件 /etc/ssh/ssh_config #ssh客户端的配置文件

? openssh支持使用scp（加密的拷贝）和sftp（加密的ftp）等客户端程序进行远程主机

的文件复制 OpenSSH服务器端配置实例1：基于用户名密码的登录方式

1、vi /etc/ssh/sshd_config （以下列出的是常用配置）

Web认证配置

21.1 理解Web认证

21.1.1 Web认证概述

Web认证是一种基于端口对用户访问网络的权限进行控制的认证方法，这种认证方式不需要用户安装专用的客户端认证软件，使用普通的浏览器软件就可以进行接入认证。 未认证用户上网时，接入设备强制用户登录到特定站点，用户可以免费访问其中的服务。当用户需要使用互联网中的其它信息时，必须在Web认证服务器进行认证，只有认证通过后才可以使用互联网资源。 如果用户试图通过HTTP 访问其他外网，将被强制访问Web认证网站，从而开始Web认证过程，这种方式称作强制认证。 Web认证可以为用户提供方便的管理功能，门户网站可以开展广告、社区服务、个性化的业务等。

21.1.2 Web认证基本概念

Web认证的基本概念主要有HTTP拦截、HTTP重定向。

21.1.2.1HTTP拦截

HTTP拦截指接入设备将原本需要转发的HTTP报文拦截下来，不进行转发。这些HTTP报文是连接在接入设备的端口下的用户所发出的，但目的并不是接入设备本身。例如，某用户通过IE浏览器上网，接入设备本应该将这些HTTP请求报文转发到网关的，但如果启动HTTP拦截，这些报文可以不被转发。 HTTP拦截之后，

H3C SSH配置示例

配置Router作为SSH服务器 1] 生成RSA及DSA密钥对，并启动SSH服务器。 system-view

[Router] public-key local create rsa [Router] public-key local create dsa [Router] ssh server enable

2] 配置接口Ethernet1/1的IP地址，客户端将通过该地址连接SSH服务器。 [Router] interface GigabitEthernet0/3

[Router-GigabitEthernet0/3] ip address 172.21.33.253 255.255.255.128 [Router-GigabitEthernet0/3] quit

3] 设置SSH客户端登录用户界面的认证方式为AAA认证。 [Router] user-interface vty 0 4

[Router-ui-vty0-4] authentication-mode scheme [Router-ui-vty0-4] protocol inbound ssh [Router-

Linux下Telnet、ssh服务的配置和使用

来源：互联网 时间：2009-05-13

西部数码-全国虚拟主机10强！40余项虚拟主机管理功能,全国领先!双线多线虚拟主机南北访问畅通无阻!免费赠送企业邮局,.CN域名,自助建站480元起,免费试用7天,满意再付款! VPS主机租用266元/月(1G内存)!

Telnet服务的配置步骤如下:

一、安装telnet软件包(通常要两个）。

1、telnet-client(或telnet)，这个软件包提供的是telnet客户端程序；

2、是telnet-server软件包，这个才是真正的Telnetserver软件包！

安装之前先检测是否这些软件包已安装，方法如下：

[root@wljsroot]#rpm–qtelnet

[root@wljsroot]#rpm–qtelnet-client

[root@wljsroot]#rpm–qtelnet-server

如果没有检测到软件包，需要进行安装，redhatlinux9默认已安装了client软件包，一般只要安装telnet-server软件包即可:

1、到我的ftp上下载软件包,方法如下:

在虚拟控制台下依次输入:

[root@wljsroot]#ftp210.45.160

h3c交换机SSH配置方法

1、生成密钥

rsa local-key-pair create

2、创建SSH用户 local-user ssh

password cipher h3c_^*)!!^% service-type ssh level 3 quit

3、指定SSH用户认证方式及服务类型

ssh user ssh authentication-type password ssh user ssh service-type stelnet

4、在VTY接口下指定用SSH协议登陆 user-interface vty 0

authentication-mode scheme protocol inbound ssh quit

3. 配置步骤

(1) 配置SSH服务器Switch

# 生成RSA密钥对，并启动SSH服务器。 system-view

[Switch] public-key local create rsa [Switch] ssh server enable

# 配置VLAN接口1的IP地址，客户端将通过该地址连接SSH服务器。 [Switch]