服务器配置认证
你的服务器是哪方面的?如果是微软系统的,可以去学微软的相关认证课程,以前叫MCSE,现在应该叫其他名字了。如果是网络方面的,可以学思科的CCNA、CCNP等。
找家培训、认证公司咨询一下就行了,一般常见的都有培训班,考试拿证单算
在一台充当认证服务器上配置了两个认证域“Area1”和“Area2”,用户如果使用正确的用户名“huawei”和
选择题:
在一台充当认证服务器上配置了两个认证域“Area1”和“Area2”,用户如果使用正确的用户名和密码进行认证,则此用户会被分配到哪个认证域当中()。
A认证域“Area1”
B认证域“Area2”
C认证域“default domain”
D认证域“default_admindomain”
。
。
。
。
。
。
。
正确答案:
C
Portal服务器也就是接收Portal客户端认证请求的服务器端系统,其主要作用是提供免费的门户服务和基于Web认证的界面,以及接入设备交互认证客户端的认证信息。其中的Web认证方案首先需要给用户分配一个地址,用于访问门户网站。
PORTAL 基于浏览器,采用的是B/S构架, 对不同权限的用户下发不同的VLAN 访问不同的服务器资源,当通过认证后才能访问internet资源,Portal认证方式不需要安装认证客户端, 减少了客户端的维护工作量,便于运营。
可以在Portal页面上开展业务拓展,如展示商家广告, ****等基本信息。Portal广泛应用于运营商、学校等网络。
扩展资料:
Portal认证的设备要素
Portal服务器可分为内置Portal服务器和外置Portal服务器两种。通常交换机/AC会内置Portal服务器,帐号和密码保存在交换机/AC。受限于接入设备存储空间、功能和性能,内置Portal服务器只适合功能简单、接入人数少的场景。例如小型餐馆提供的连接Internet服务。
如果需要实现微信接入、短信接入等复杂的功能,考虑到接入设备性能和认证体验,内置Portal服务器恐怕难以胜任,需要具有独立于接入设备之外的硬件服务器来承载Portal认证业务。
认证客户端:运行HTTP协议的浏览器或运行Portal客户端软件的主机。
接入设备:交换机、路由器或AC(Access Controller)等宽带接入设备的统称。如果把网络看成一栋高楼,那接入设备就是门卫,要进屋必须由门卫放行。
接入设备主要有三方面的作用: 在认证之前,将认证网段内用户的所有HTTP请求都重定向到Portal服务器。 在认证过程中,与Portal服务器、AAA服务器交互,完成身份认证/授权的功能。 在认证通过后,允许用户访问被管理员授权的互联网资源。
Portal服务器:接收Portal客户端认证请求的服务器端系统,提供免费门户服务和基于Web认证的界面,与接入设备交互认证客户端的认证信息。
Portal作为网关服务于因特网的一种WEB站点。Portal是链路、内容和为用户可能找到的感兴趣的信息(如新闻、天气、娱乐、商业站点、聊天室等)的指南服务的集合。Yahoo、Excite、MSNcom和Netscape NetCenter都是Portal。
参考资料:
单向认证只要求站点部署了ssl证书就行,任何用户都可以去访问(IP被限制除外等),只是服务端提供了身份认证。而双向认证则是需要是服务端需要客户端提供身份认证,只能是服务端允许的客户能去访问,安全性相对于要高一些
双向认证SSL 协议的具体通讯过程,这种情况要求服务器和客户端双方都有证书。 单向认证SSL 协议不需要客户端拥有CA证书,以及在协商对称密码方案,对称通话密钥时,服务器发送给客户端的是没有加过密的(这并不影响SSL过程的安全性)密码方案。这样,双方具体的通讯内容,就是加密过的数据。如果有第三方攻击,获得的只是加密的数据,第三方要获得有用的信息,就需要对加密的数据进行解密,这时候的安全就依赖于密码方案的安全。而幸运的是,目前所用的密码方案,只要通讯密钥长度足够的长,就足够的安全。这也是我们强调要求使用128位加密通讯的原因。
一般Web应用都是采用单向认证的,原因很简单,用户数目广泛,且无需做在通讯层做用户身份验证,一般都在应用逻辑层来保证用户的合法登入。但如果是企业应用对接,情况就不一样,可能会要求对客户端(相对而言)做身份验证。这时就需要做双向认证。
如果能telnet不能ssh的话试试:
line
vty
0
4
transport
input
ssh
如果telnet也不行的话就检查aaa和radius配置了
配置radius服务器:
radius-server
host
xxxx
auth-port
xxx
acct-port
xxx
aaa配置:
aaa
authentication
login
xxx
group
radius
local
确保radius服务器上有添加cisco设备的地址
-网络认证失败 -和系统中心数据保护管理器(SCDPM)代理的沟通问题 -Exchange Server、Active Sync和Outlook Web Access(OWA)不可用 在很多情况中,服务器时间同步问题来源于Kerberos协议,它有一个安全功能专门查看Kerberos票据上的时间戳,这主要是为了保护它们不会被重复使用。如果一张票据上的时间距离现在超过了五分钟,这张票据会遭到拒绝。因此,如果时钟五分钟内没有同步,Kerberos会开始出现故障。 通常来讲,时间同步不会带来问题。例如,当Windows在活动目录(AD)环境中运行时,域内的所有计算机时钟都自动地与域控制器同步。但是,在域成员和工作组成员混合或是多个活动目录林存在的环境中,时钟同步就可能变成一个问题。 举个更具体的例子,我自己网络中的所有生产服务器都进行了虚拟化。因为这个原因,我的虚拟化主机服务器中没有域成员,且所有的域控制器都是虚拟机。由于虚拟机根本没有启动,所以主机服务器不能和域控制器沟通的情况就不可能出现。如此一来,我选择让主机操作系统作为工作组成员。 另外,我所有的虚拟化主机都运行Windows Server2008 R2上的Hyper-V这些服务器中的一些集群运行Windows 2008R2的虚拟机,其它的集群那些仍然运行Windows Server2003的虚拟机。但是虽然运行Windows 2008 R2的来宾机好像和主机服务器的时钟保持了同步,运行Windows 2003的机器有可能无法和其余网络保持同步。 在工作组环境中,你可以通过打开Command Prompt窗口然后键入如下命令来将机器链到时间来源: W32tm/config/syncfromflags:manual/manualpeerlist:W32tm/config/update 在这个例子中,你可以将替换成完全限定域名(FQDN)或是你想与之保持同步的服务器IP地址。你可以通过隔离每个有一个空间的地址来指定多个时间来源。 在域环境中,使用组策略设置来指定时间来源情况会更好些。时钟相关的组策略设置可以在Group Policy Editor里看见,位置是:Computer Settings Administrative Templates System Windows Time Service 有三个不同的组策略设置可供你使用,包括: -Configure Windows NTP Client-让你可以将计算机时钟和外部时间来源进行同步。 -Enable Windows NTP Client-允许计算机将时钟与其它Windows服务器进行同步。 -Enable Windows NTP Server-允许服务器向Windows NTP客户端提供时间同步。 注意,如果你打算和外部的时间来源进行同步,比如NIST,你就不能启用Windows NTP Client或是Windows NTP Server使用外部时间来源时,你可能还要打开一些防火墙端口。Windows服务器为时间协议运用UDP端口123,它在默认情况下就该打开。但如果你想要使用NIST,你还要打开TCP端口13,TCP端口37和UDP端口37 正如你所见,保持Windows Server时钟间的同步十分重要。尽管时钟一般会自动同步,准备好面对需要手动同步时钟的情况还是必要的。
摘自H3C官网:http://wwwh3ccom/cn/d_201803/1072475_30005_0htm
设备作为Stelnet 服务器配置举例(password认证)
1 组网需求
如 图1 所示,网络管理员需要通过Internet远程登录到校园网的网关设备(Device)上对其进行相关配置。为了提高对Device进行管理的安全性,可将Device配置为Stelnet服务器,并在Host上运行Stelnet客户端软件,在二者之间建立SSH连接。要求:
·Device通过SSH的password认证方式对客户端进行认证,认证过程在Device本地完成;
·网络管理员Host的登录用户名为client001,密码为aabbcc,登录设备后可以正常使用所有命令。
图1 设备作为Stelnet 服务器配置组网图
2 配置思路
·为了使SSH的版本协商和算法协商过程正常运行,且为了保证客户端对连接的服务器的认证正常进行,请在服务器端生成RSA和DSA密钥对。
·为了采用本地认证的方式认证用户,需要在本地服务器Device上创建相应的本地用户,并在本地用户视图下配置密码。
·Stelnet客户端通过VTY用户线访问设备。因此,需要配置登录用户线的认证方式为scheme方式。
·为了使Stelnet用户登录设备后能正常使用所有命令,将用户角色设置为network-admin,缺省情况下本地用户的用户角色为network-operator。
3 使用版本
本举例是在S5130EI_E-CMW710-R3106版本上进行配置和验证的。
4 配置步骤
# 生成RSA密钥对。
system-view
[Device] public-key local create rsa
The range of public key size is (512~ 2048)
If the key modulus is greater than 512, it will take a few minutes
Press CTRL+C to abort
Input the modulus length [default = 1024]:
Generating Keys
++++++
++++++
++++++++
++++++++
Create the key pair successfully
# 生成DSA密钥对。
[Device] public-key local create dsa
The range of public key size is (512~ 2048)
If the key modulus is greater than 512, it will take a few minutes
Press CTRL+C to abort
Input the modulus length [default = 1024]:
Generating Keys
++++++++++++++++++++++++++++++++++++++++++++++++++
++++
++++
Create the key pair successfully
# 使能SSH服务器功能。
[Device] ssh server enable
# 创建VLAN 2,并将GigabitEthernet1/0/2加入VLAN 2。
[Device] vlan 2
[Device-vlan2] port gigabitethernet 1/0/2
[Device-vlan2] quit
# 配置VLAN接口2的IP地址,客户端将通过该地址连接Stelnet服务器。
[Device] interface vlan-interface 2
[Device-Vlan-interface2] ip address 192168140 2552552550
[Device-Vlan-interface2] quit
# 设置Stelnet客户端登录用户界面的认证方式为scheme。
[Device] line vty 0 63
[Device-line-vty0-63] authentication-mode scheme
[Device-line-vty0-63] quit
# 创建本地用户client001,并设置用户密码、服务类型和用户角色。
[Device] local-user client001 class manage
New local user added
[Device-luser-manage-client001] password simple aabbcc
[Device-luser-manage-client001] service-type ssh
[Device-luser-manage-client001]authorization-attribute user-role network-admin
[Device-luser-manage-client001] quit
5 配置文件
#
vlan 2
#
interface Vlan-interface2
ip address 192168140 2552552550
#
interface GigabitEthernet1/0/2
port access vlan 2
#
line vty 0 63
authentication-mode scheme
#
ssh server enable
#
local-user client001 class manage
password hash
$h$6$CqMnWdX6LIW/hz2Z$4+0Pumk+A98VlGVgqN3n/mEi7hJka9fEZpRZIpSNi9b
cBEXhpvIqaYTvIVBf7ZUNGnovFsqW7nYxjoToRDvYBg==
service-type ssh
authorization-attribute user-role network-admin
authorization-attribute user-role network-operator
#
0条评论