Aruba2930F可以針對各種協定去設定認證伺服器群組,像是Telnet走一種,SSH走另外一種。一般來說,預設是先看Local,第二順位是None。
往常都走CPPM,本篇以Windows Server NPS為例。在設定測試過程中,反覆去看認證紀錄,可以知道認證對應的服務原則是否有符合預期的項目,這部分就不贅述。
今天想要針對不同群組的使用者做權限分級,擁有管理權限的登入為Manager權限,次管理權限的登入為Operator權限,其餘無法登入。因為Aruba 2930F透過Radius或是Tacacs認證只支援Manager跟Operator兩種等級,並無法細分LeveL-1到Level-15。
使用者資訊放在Radius Server上,如果使用者群組來自IT,對應權限是Manager,在Server-Type回傳數值6,如果像是NPS,就選擇Administrative。如果對應權限是Operator,在Server-Type回傳數值7,在NPS上選擇NAS Prompt。
回到2930F上,以下是針對telnet設定的範例,請自行修改。
radius-server host <Radius IP>
radius-server host <Radius IP> key <Secret Key>
aaa server-group radius "NPS" host <Radius IP>
aaa authentication login privilege-mode
aaa authentication telnet login peap-mschapv2 server-group "Radius1" none
aaa authentication telnet enable peap-mschapv2 server-group "Radius1" none
這部分起了兩個原則,使用者來自特定群組會符合NetworkMgmt然後擁有Manager權限,其他使用者會符合NetworkOperator擁有Operator權限。
接下來拿兩個使用者為例:jn、jn-it。在規劃上,jn-it有Manager的權限、jn有Operator的權限。
以telnet連線,用jn-it登入,會直接進入「#」模式。
以telnet連線,用jn登入,會先進入「>」模式,輸入enable,重新輸入帳號,會發現無法進入「#」模式。
這時候如果輸入jn-it,就能夠進入「#」模式。
