第1步,先建立一个aaa验证用户admin
[SW1]aaa
[SW1-aaa]local-user admin password cipher 123456 #设置aaa用户名和密码
[SW1-aaa]local-user admin privilege level 15 #设置用户级别[SW1-aaa]local-user admin service-type ssh terminal http
#设置服务类型,开启ssh,终端,和http访问第2步,设置用户界面视图
[SW1]user-interface vty 0 4
[SW1-ui-vty0-4]authentication-mode aaa #使用aaa验证方式
[SW1-ui-vty0-4]protocol inbound all #允许连入的协议(all包括ssh和telnet)
[SW1-ui-vty0-4]user privilege level 15 #设置用户级别第3步,配置服务器端rsa秘钥对
[SW1]rsa local-key-pair create #长度采用默认第4步,新建ssh用户,必须和aaa验证用户同名
[SW1]ssh user admin authentication-type password
#新建ssh用户admin,这里使用passwod方式验证[SW1]ssh user admin service-type all #服务类型all包括stelnet和sftp
[SW1]dis ssh user-information #显示ssh用户信息第5步,开启stelnet服务
[SW1]stelnet server enable第6步,设置sftp根目录
[SW1]ssh user admin sftp-directory flash:/ 第7步,开启sftp功能
[SW1]sftp server enable第8步,查看服务状态
[SW1]dis ssh sever status第9步,客户端远程连接
[R1]ssh client first-time enable
#使用路由器作为客户端,需要先做此设置[R1]stelnet 192.168.1.1
#第一次连接需要按两次y保存公钥,然后再输入密码登录
sftp连接可以使用SecureFX工具,stelnet连接也可以使用SecureCrt工具
额外说明:
[SW1]ssh server port 10022 #可以设置监听端口号,默认22
[SW1]display ssh server status #查看ssh服务状态
[SW1]display ssh server session #查看ssh服务会话
SSH用户认证方式分六种:
1)rsa (需配置ssh用户)
2)dsa (需配置ssh用户)
3)password (需同时配置aaa验证用户和ssh用户,而且必须同名,服务器端不需要保存客户端的rsa或dsa公钥,其他方式必须要保存)
4)password-rsa (需同时配置aaa验证用户和ssh用户,而且必须同名)
5)password-dsa (需同时配置aaa验证用户和ssh用户,而且必须同名)
6)all (只需满足其中一种验证即可)
当用户使用Password认证方式时,SSH用户是与AAA视图下配置的本地用户同名的用户。
当用户使用RSA或DSA认证方式时,需要在SSH服务器上输入SSH客户端生成的密钥中的公钥部分。这样当客户端登录服务器时,自己的私钥如果与输入的公钥匹配成功,则认证通过。
如果SSH用户认证方式为all认证,且存在一个同名AAA用户,那通过Password认证、RSA和DSA认证接入时用户优先级可能不同,请根据需要进行部署。如果用户界面下配置的命令级别访问权限与用户名本身对应的操作权限冲突,以用户名本身对应的级别为准。
问题描述:S5700 无法通过ssh方式登录
分析原因:
ssh authentication-type default password 这条命令是全局模式下默认配置但是只有未配置ssh user 时才生效。而现在配置了ssh user导致ssh authentication-type default password 这条命令不生效,也就导致用户无法通过SSH方式登录。
解决方案:
增加一条命令:ssh user admin authentication-type password。使配置了ssh user的情况下指定认证方式为password。
参考:https://support.huawei.com/enterprise/zh/knowledge/EKB1001955385
