【命令】
authentication-mode { none | password | scheme [ command-authorization ] }
【视图】
用户界面视图
【参数】
none:不认证。
password:进行本地口令认证。
scheme:进行本地或远端用户名和口令认证。
command-authorization:在TACACS认证服务器上进行命令行授权。
【描述】
authentication-mode命令用来设置登录用户的认证方式。authentication-mode命令部分参数解释
password
使用参数password表示需要进行本地口令认证。设置authentication-mode password后,只有通过set authentication password命令设置了登录口令,本地认证才算设置完成。否则:
l 户,无需输入密码即可成功登录交换机;
l 对于VTY用户,只有配置了登录口令,且输入正确密码方可成功登录交换机。
scheme
使用参数scheme表示需要进行本地或远端用户名和口令认证。具体采用本地认证还是远端认证视域的AAA方案配置而定。
scheme command-authorization
使用参数scheme command-authorization表示用户在执行命令时,首先要到TACACS认证服务器上进行命令行授权。TACACS认证服务器上对不同用户可以使用的命令进行了定义。只有通过了TACACS认证服务器上的命令授权,用户才能执行该命令,否则拒绝用户执行该命令。
缺省情况下,AUX用户认证方式为none,VTY用户认证方式为password。
-----------------------------------------------------------------------------------------------------
对于VTY用户界面,若配置登录用户的认证方式为none或password,请务必先确认相应用户界面支持的协议不能为SSH,否则配置将失败。相关配置请参考命令protocol inbound。
----------------------------------------------------------------------------------------------------------------------
说明:
为防止恶意用户对未使用SOCKET的攻击,提高交换机的安全性,Telnet及SSH服务对应的TCP 23及TCP 22端口会在进行相应的配置后开启/关闭:
l 当认证方式为none时,TCP 23端口打开,TCP 22端口关闭;
l 当认证方式为password且已经设置了相应的密码后,TCP 23端口打开,TCP 22端口关闭;
l 当认证方式为scheme时,如果支持的协议指定为telnet,则TCP 23端口打开;如果支持的协议指定为ssh,则TCP 22端口打开;如果支持的协议指定为all,则两端口全打开。
-------------------------------------------------------------------------------------------------------------------------
【举例】
# 配置Console口的认证方式为本地口令认证,且认证口令为明文aabbcc。
<H3C> system-view
System View: return to User View with Ctrl+Z.
[H3C] user-interface aux 0
[H3C-ui-aux0] authentication-mode password
[H3C-ui-aux0] set authentication password simple aabbcc
配置完成后,当用户使用Console口登录交换机时,只有输入正确的口令才能实现成功登录交换机