API Guide
配置 AAA 身份验证
OS10(config)# aaa authentication login default group radius local
OS10(config)# do show running-configuration aaa
aaa authentication login default group radius local
aaa authentication login console local
移除 AAA 身份验证方法
OS10(config)# no aaa authentication login default
OS10(config)# do show running-configuration aaa
aaa authentication login default local
aaa authentication login console local
Identifier GUID-9F5FC5A2-8C9B-46BB-9D2F-8B1BAE5FEFFC
Version 14
Status Translation approved
RADIUS 身份验证
要配置 RADIUS 服务器进行身份验证,请输入服务器的 IP 地址或主机名称,以及用于在 RADIUS 主机上验证 OS10 交换机的密钥。您
可以以纯文本或加密格式输入身份验证密钥。您可以在服务器上更改用户数据报协议 (UDP) 端口号。
• 在 CONFIGURATION 模式下配置 RADIUS 身份验证服务器。默认情况下,RADIUS 服务器使用 UDP 端口 1812。
radius-server host {hostname | ip-address} key {0 authentication-key | 9 authentication-
key | authentication-key} [auth-port port-number]
要配置多个 RADIUS 服务器,请多次重新输入 radius-server host 命令。如果配置多个 RADIUS 服务器,OS10 会按照配置的顺
序尝试连接。OS10 交换机一次连接一个配置的 RADIUS 服务器,直到 RADIUS 服务器通过接受或拒绝响应进行响应。交换机尝试在
配置的重新传输重试次数和超时期限内与服务器连接。
为 RADIUS 服务器上允许的超时和重新传输尝试配置全局设置。默认情况下,OS10 支持三重 RADIUS 身份验证尝试,并在五秒后超
时。未配置任何源接口。默认 VRF 实例用于联系 RADIUS 服务器。
注: 您不能同时为 RADIUS 身份验证同时配置非默认 VRF 实例和源接口。
注: 在非默认 VRF 上不支持使用主机名称配置的 RADIUS 服务器。
• 在 CONFIGURATION 模式下,配置 OS10 重新传输 RADIUS 身份验证请求的次数,重试次数可以为 0 到 100;默认值为 3。
radius-server retransmit retries
• 在 CONFIGURATION 模式下,配置用于等待来自 RADIUS 服务器的身份验证响应的超时期间,范围为 0 至 1000 秒;默认值为
5。
radius-server timeout seconds
• (可选)指定一个接口,其 IP 地址用作在 CONFIGURATION 模式中使用 RADIUS 服务器进行用户身份验证的源 IP 地址。默认情
况下,未配置任何源接口。OS10 选择将数据包发送到 RADIUS 服务器的任何接口的源 IP 地址。
一个接口可以有两个 IPv4 地址和多个 IPv6 地址。所选 OS10 源接口与 RADIUS 服务器 IP 地址(IPv4 或 IPv6)的版本相匹配。
• 对于 IPv4 RADIUS 服务器,使用主 IPv4 地址。
• 对于 IPv6 服务器,将使用在接口上配置的任何全局 IPv6 地址。
• 如果未配置与 RADIUS 服务器相同的 IP 版本的地址,则使用管理接口的 IP 地址执行 RADIUS 身份验证(不使用源接口)。管
理 IP 地址用作交换机上的 RADIUS 网络访问服务器 (NAS) IP 地址。
ip radius source-interface interface
在 RADIUS 服务器上,您必须使用 Linux 命令行更新配置的 IP 路由,以便源接口路由匹配 NAS IP 路由。
如果 OS10 使用 RADIUS 服务器 VRF 实例,则不支持 RADIUS 服务器源接口,因此无法进行配置。
安全性
961