Win2008NPS（radius）对交换机telne/ssh认证 认证过程：登录交换机后要求输入用户名和密码，交换机根据配置将用户名和密码发送到NPS服务器，服务器验证用户名和密码，验证通过可管理交换机，不通过则拒绝访问 配置主要分为两部分，window侧和交换机侧，以下将对Cisco、H3C两家厂商配置做详细介绍 一Cisco 交换机侧配置 首先创建enable密码 enablesecretxxxx usernamexxxsecretxxx 创建radius，启用aaa aaanew-model aaaauthenticationloginnpsgroupradiuslocal aaaauthorizationexecnpsgroupradiuslocal radius-serverhost10.0.2.89auth-port1812acct-port1813keyxxxx radiussource-interfaceVlan70 telnet认证 linevty015 authorizationexecnps loginauthenticationnps ssh2认证 ipdomain-nameyunda cryptokeygeneratersageneral-keysmodulus1024 ipsshversion2 linevty015 exec-timeout150 transportinputssh authorizationexecnps loginauthenticationnps linecon0 authorizationexecnps loginauthenticationnps 其中nps是自定义的认证列表名必须上下一致 Window配置 用户名、密码和组创建 本地创建用户名和密码，并将账号属性中的拨入方式勾选为NPS 创建组，将用户添加到该组 若是域账号NPS必须在AD中注册，步骤很简单，右击NPS选在在AD中注册即可 1安装NPS角色 打开服务器管理器—角色--添加角色—勾选安装网络策略和访问服务，角色服务中勾选网络策略服务器，完成后如下图 2新建radius客户端 右击radius客户端---新建，在友好名称中自定义交换机的名称，地址栏中输入交换机ip，共享密码方式选择手动，密码必须和交换机中指定的密码一致，否则认证无法通过。在高级选项卡中选择cisco 3新建连接请求策略 右击连接请求策略-新建，策略名自定义，条件中找到客户端好友名称，输入第2步中自定义交换机名称，身份验证方式选择如下，radius标准属性中选择login-service,属性值为telnet。其他默认 4新建网络策略（重点） 右击网络策略新建，策略名自定义其他默认，条件选择客户端好友名称，输入第2步中自定义的交换机名称，身份验证方式如下 Radius标准属性中名称选择service-type，值为login 供应商特定中名称选择cisco-av-pair供应商为cisco值为shell:priv-lvl=15 至此cisco配置完成 二H3C 交换机侧配置 radiusschemetest primaryauthentication192.168.100.233key123456 primaryaccounting192.168.100.233key123456 user-name-formatwithout-domain quit domaindev authenticationloginradius-schemetestlocal authorizationloginradius-schemetestlocal accountingloginnone quit domaindefaultenabledev telnet认证 user-interfacevty015 authentication-modescheme ssh2认证 public-keylocalcreatersa 1024 public-keylocalcreatedsa 1024 sshserverenable user-interfacevty04 protocolinboundssh authentication-modescheme 192.168.100.233为radius服务器ip user-name-formatwithout-domain改名领允许登录时可以不带域名 domaindefaultenabledev将dev设置为默认域名并且启用 Window配置 用户名、密码和组创建 本地创建用户名和密码，并将账号属性中的拨入方式勾选为NPS 创建组，将用户添加到该组 若是域账号NPS必须在AD中注册，步骤