关于ssh authentication-type default password命令的配置使用

关于ssh authentication-type default password命令的配置使用

最近遇到了一个奇怪的问题,设备在没有配置ssh user的情况下竟然还可以使用aaa用户通过ssh登录设备,难道是遇到BUG了?

带着这个疑问,我找了很多关于ssh的资料,最后发现是ssh authentication-type default password命令的事,下面就把我查找到的结果总结一下给大家一个参考。

一、关于SSH和AAA

在介绍这个命令的功能之前需要先解答一个疑问,我们在AAA视图下已经配置了用户并且配置和service-type为ssh,为什么还要配置ssh user呢?这里就需要对ssh和aaa之间的关系做一下解释。

SSH是一种网络协议,用于计算机之间的加密登录。SSH可以加密telnet成为stelnet,也可以加密ftp成为sftp。telnet和ftp都是网络服务,所以我们所指的SSH实际上包含stelnet和sftp两种服务,需要SSH登录设备执行命令时则是用stelnet服务,需要SSH登录设备传文件时则是用sftp服务,而以上的服务对应的配置是 ssh user username service-type { sftp | stelnet | all } 。SSH登录设备还可以选择不同的登录方式,可以使用密码登录,也可以使用公钥登录,而我们所说的登录方式对应的就是SSH的认证方式,对应的配置是 ssh user user-name authentication-type { password | rsa | password-rsa | all | dsa | password-dsa }

AAA是一个认证机构,主要做用户名密码的验证相关工作,和tacacs服务器、radius服务器的作用类似。AAA也支持保存各种协议类型的账户,如:telnet、ftp、pppoe、http、terminal、ssh(此处的ssh表示stelent/sftp的统称,在aaa里不做细分)。所以AAA视图下配置了 local-user xxx service-type ssh 之后还不行,因为AAA并不区分用户到底是stelnet还是sftp。

二、SSH(stelnet)登录设备的完整配置

确定了以上的概念之后,通过SSH(stelnet)登录设备的完整配置如下:

aaa 
 local-user root password cipher Root@123
 local-user root service-type telnet ssh 
 local-user root level 3
#
ssh user root
ssh user root authentication-type password
ssh user root service-type stelnet

此时就可以正常通过SSH(stelnet)登录设备了。

三、关于ssh authentication-type default password命令

如果嫌麻烦,不想配置ssh user的这三条配置,还可以使用 ssh authentication-type default password 命令来代替,这条命令的作用就是代替如下三条配置:

ssh user xxx
ssh user xxx authentication-type password
ssh user xxx service-type all

设备的逻辑顺序是:如果设备找不到ssh user xxx,则去找全局配置 ssh authentication-type default password ,如果能找到 ssh user xxx ,则会根据 ssh user 的配置进行校验。

四、V5与V8设备的区别

ssh authentication-type default password 命令在大多数V5版本中是需要手动配置的,在少数新版本V5设备和V8版本设备中是默认配置。

因此在V8版本的设备中,只需要在AAA视图下配置SSH用户即可实现SSH(stelnet)登录设备的功能,做成默认配置可防止漏配置ssh user导致的登录失败同时也可简化配置。


转载请注明来源,欢迎对文章中的引用来源进行考证,欢迎指出任何有错误或不够清晰的表达。可以在下面评论区评论,也可以邮件至 xumeng32@126.com

文章标题:关于ssh authentication-type default password命令的配置使用

文章字数:814

本文作者:F_numen

发布时间:2021-05-07, 23:21:55

最后更新:2021-05-19, 23:20:48

原始链接:https://netheroone.cn/archives/acf003c4.html

版权声明: "署名-非商用-相同方式共享 4.0" 转载请保留原文链接及作者。

目录
/*baidu统计*/