交换机对接IMC TAM组件：设备管理认证用户（hwtacacs）

iMC TAM基于TCP TACACS协议，功能丰富，只要设备支持TACACS协议即可，能实现命令行层次的授权控制。

一. 组网需求

本配置涉及“管理设备”和“被管理设备”两部分。管理设备为IMC服务器，需要安装iMC平台和TAM组件，被管理设备为网络设备H3C接入交换机。

二、组网拓扑

管理设备：IMC服务器192.168.100.100

被管理设备：交换机172.16.100.20

测试主机：PC 地址任意，与交换机互通即可

三、IMC 侧配置

1、划分设备区域：授权策略绑定不同区域，方便对不同区域的设备做授权，点击用户--设备用户管理--设备区域管理

创建设备区域，这里为测试区域

2、创建设备类型

3、创建授权时段（控制策略执行时间）

这里创建的为永久执行，没有进行详细的时间限制

可增加授权时段，创建详细的授权时段

4、创建shell profile

此处的shell prifile限制账号登录后默认处于的level级别，也就是默认权限级别（通过后面的命令集来限制用户不能使用哪些命令

此处创建的为15级，即最高权限

5、创建命令集（即配置拒绝或允许使用的命令）

注意此处缺省授权方式，建议为允许，只需要在添加拒接的命令即可。

6、设备管理（添加被管理交换机）

点击增加手动或从IMC所管理的设备内添加，选择好设备所处区域及类型，不同区域及类型的设备对应不同的授权策略

配置共享密钥要。本处配置为admin，添加被管理设备

7​、增加授权管理策略：关联区域、类型、时段、shell profile、命令集

点击增加

将上面步骤所配置的设备区域、设备类型、授权时段、shell profile、授权命令集关联起来，形成一条策略

8、创建设备登录账号

配置账号名（登录名）、登录密码以及关联用户授权策略

四、交换机侧配置

设备上需要配置TACACS方案、域、认证方式，使登录到设备上的用户到IMC TAM中进行身份认证。

1、配置端口及IP地址，保证交换机和IMC服务器，交换机和测试PC互通：略

2、创建本地用户：略

3、创建hwtacacs方案

TACACS方案中需要配置认证/授权/计费服务器为TAM，key和TAM中设备的配置保持一致（admin），用户名为不带域名格式（直接将用户名发给TAM）

[H3C]hwtacacs scheme hwtacacs /*创建名为hwtacacs的tacacs方案*/
[H3C-hwtacacs-hwtacacs]primary authentication 192.168.100.100 key simple admin  /*指定主认证服务器地址为IMC地址并配置共享密钥*/
[H3C-hwtacacs-hwtacacs]primary accounting 192.168.100.100 key simple admin  /*指定主授权服务器地址为IMC地址并配置共享密钥*/
[H3C-hwtacacs-hwtacacs]primary authorization 192.168.100.100 key simple admin  /*指定主计费服务器地址为IMC地址并配置共享密钥*/
[H3C-hwtacacs-hwtacacs]user-name-format without-domain   /*配置用户名为不带域名格式*/

4、创建domain

配置域引用的TACACS方案。配置登录认证和权限提升认证，配置登录授权和命令行授权，配置登录审计和命令行审计

[H3C]domain name hwtacacs  /*创建名为hwtacacs的域*/
[H3C-isp-hwtacacs]authentication login hwtacacs-scheme hwtacacs   /*指定登录时使用hwtacacs*/
[H3C-isp-hwtacacs]accounting login hwtacacs-scheme hwtacacs    
[H3C-isp-hwtacacs]authorization login hwtacacs-scheme hwtacacs  
[H3C-isp-hwtacacs]authorization command hwtacacs-scheme hwtacacs   /*配置命令行授权使用hwtacacs*/
[H3C]domain default enable hwtacacs   /*配置为默认域*/

5、开启telnet认证

开启Telnet开关，认证方式配置为AAA，登录后权限提升认证方式配置为AAA

[H3C] telnet server enable  
[H3C]line vty 0 63  
[H3C-line-vty0-63]authentication-mode scheme   /*配置为使用密码认证方式*/
[H3C-line-vty0-63]command authorization   /*开启命令授权功能*/
[H3C-line-vty0-63]command accounting

五、登录测试

使用软件telnet登录交换机，登录用户名：admin@hwtacacs

在IMC内可看到在线用户：

执行interface相关的命令：

提示Permission denied.没有权限

点击在线用户admin查看该用户的授权日志：

六、附权限提升，低级别提升

设备用户处启用权限提升密码

创建域时添加：

[H3C-isp-hwtacacs]authentication super hwtacacs-scheme hwtacacs    /*配置权限提升授权使用hwtacacs*/