01-AAA命令
本章节下载: 01-AAA命令 (461.47 KB)
目 录
1.1.9 authentication lan-access
1.1.15 authorization lan-access
1.1.18 authorization-attribute(ISP domain view)
1.2.2 authorization-attribute(Local user view/user group view)
1.3.3 data-flow-format (RADIUS scheme view)
1.3.5 display radius statistics
1.3.6 key (RADIUS scheme view)
1.3.7 nas-ip (RADIUS scheme view)
1.3.8 primary accounting (RADIUS scheme view)
1.3.9 primary authentication (RADIUS scheme view)
1.3.12 radius session-control enable
1.3.13 reset radius statistics
1.3.15 retry realtime-accounting
1.3.16 secondary accounting (RADIUS scheme view)
1.3.17 secondary authentication (RADIUS scheme view)
1.3.19 snmp-agent trap enable radius
1.3.22 timer quiet (RADIUS scheme view)
1.3.23 timer realtime-accounting (RADIUS scheme view)
1.3.24 timer response-timeout (RADIUS scheme view)
1.3.25 user-name-format (RADIUS scheme view)
1.4.1 data-flow-format (HWTACACS scheme view)
1.4.5 key (HWTACACS scheme view)
1.4.6 nas-ip (HWTACACS scheme view)
1.4.7 primary accounting (HWTACACS scheme view)
1.4.8 primary authentication (HWTACACS scheme view)
1.4.10 reset hwtacacs statistics
1.4.11 secondary accounting (HWTACACS scheme view)
1.4.12 secondary authentication (HWTACACS scheme view)
1.4.13 secondary authorization
1.4.14 timer quiet (HWTACACS scheme view)
1.4.15 timer realtime-accounting (HWTACACS scheme view)
1.4.16 timer response-timeout (HWTACACS scheme view)
设备运行于FIPS模式时,本特性部分配置相对于非FIPS模式有所变化,具体差异请见本文相关描述。有关FIPS模式的详细介绍请参见“安全配置指导”中的“FIPS”。
aaa nas-id profile命令用来创建NAS-ID Profile,并进入NAS-ID-Profile视图。
undo aaa nas-id profile命令用来删除指定的NAS-ID Profile。
aaa nas-id profile profile-name
undo aaa nas-id profile profile-name
profile-name:Profile名称,为1~31个字符的字符串,不区分大小写。该Profile用于保存NAS-ID与VLAN的绑定关系。
用户的接入VLAN可标识用户的接入位置,而在某些应用环境中,网络运营商需要使用接入设备发送给RADIUS服务器的NAS-Identifier属性值来标识用户的接入位置,因此接入设备上需要建立用户接入VLAN与指定的NAS-ID之间的绑定关系。NAS-ID Profile用于保存NAS-ID和VLAN的绑定关系。这样,当用户上线时,设备会将与用户接入VLAN匹配的NAS-ID填充在RADIUS请求报文中的NAS-Identifier属性中发送给RADIUS服务器。
# 创建一个名字为aaa的NAS-ID Profile。
[Sysname] aaa nas-id profile aaa
[Sysname-nas-id-prof-aaa]
· portal nas-id-profile(安全命令参考/Portal)
· port-security nas-id-profile(安全命令参考/端口安全)
aaa session-limit命令用来配置同时在线的最大用户连接数,即采用指定登录方式登录设备并同时在线的用户数。
undo aaa session-limit命令用来恢复缺省情况。
非FIPS模式下:
aaa session-limit { ftp | http | https | ssh | telnet } max-sessions
undo aaa session-limit { ftp | http | https | ssh | telnet }
FIPS模式下:
aaa session-limit { https | ssh } max-sessions
undo aaa session-limit { https | ssh }
ftp:表示FTP用户。
http:表示HTTP用户。
https:表示HTTPS用户。
ssh:表示SSH用户。
telnet:表示Telnet用户。
max-sessions:允许同时在线的最大用户连接数,取值范围为1~32。
配置本命令后,当指定类型的接入用户的用户数超过当前配置的最大连接数后,新的接入请求将被拒绝。
# 设置同时在线的最大FTP用户连接数为4。
[Sysname] aaa session-limit ftp 4
accounting command命令用来配置命令行计费方法。
undo accounting command命令用来恢复缺省情况。
accounting command hwtacacs-scheme hwtacacs-scheme-name
命令行计费采用当前ISP域的缺省计费方法。
ISP域视图
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
命令行计费是指,用户执行过的所有命令或被成功授权执行的命令,会被计费服务器进行记录。
目前,仅支持使用远程HWTACACS服务器完成命令行计费功能。
# 在ISP域test下,配置使用HWTACACS计费方案hwtac进行命令行计费。
[Sysname] domain test
[Sysname-isp-test] accounting command hwtacacs-scheme hwtac
· command accounting(基础命令参考/登录设备)
accounting default命令用来为当前ISP域配置缺省的计费方法。
undo accounting default命令用来恢复缺省情况。
非FIPS模式下:
FIPS模式下:
当前ISP域的缺省计费方法为local。
ISP域视图
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
local:本地计费。
none:不计费。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
当前ISP域的缺省计费方法对于该域中未指定具体计费方法的所有接入用户都起作用,但是如果某类型的用户不支持指定的计费方法,则该计费方法对于这类用户不能生效。
本地计费只是为了支持本地用户的连接数管理,没有实际的计费相关的统计功能。
可以指定一个或多个备选的计费方法,在当前的计费方法无效时按照配置顺序尝试使用备选的方法完成计费。例如,radius-scheme radius-scheme-name local none表示,先进行RADIUS计费,若RADIUS计费无效则进行本地计费,若本地计费也无效则不进行计费。
# 在ISP域test下,配置缺省计费方法为使用RADIUS方案rd进行计费,并且使用local作为备选计费方法。
[Sysname] domain test
[Sysname-isp-test] accounting default radius-scheme rd local
accounting lan-access命令用来为lan-access用户配置计费方法。
undo accounting lan-access命令用来恢复缺省情况。
非FIPS模式下:
FIPS模式下:
accounting lan-access { local | radius-scheme radius-scheme-name [ local ] }
lan-access用户采用当前ISP域的缺省计费方法。
ISP域视图
local:本地计费。
none:不计费。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
可以指定一个或多个备选的计费方法,在当前的计费方法无效时按照配置顺序尝试使用备选的方法完成计费。例如,radius-scheme radius-scheme-name local none表示,先进行RADIUS计费,若RADIUS计费无效则进行本地计费,若本地计费也无效则不进行计费。
# 在ISP域test下,为lan-access用户配置计费方法为local。
[Sysname] domain test
[Sysname-isp-test] accounting lan-access local
# 在ISP域test下,配置lan-access用户使用RADIUS方案rd进行计费,并且使用local作为备选计费方法。
[Sysname] domain test
[Sysname-isp-test] accounting lan-access radius-scheme rd local
accounting login命令用来为login用户配置计费方法。
undo accounting login命令用来恢复缺省情况。
非FIPS模式下:
FIPS模式下:
login用户采用当前ISP域的缺省计费方法。
ISP域视图
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
local:本地计费。
none:不计费。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
不支持对FTP类型的login用户进行计费。
可以指定一个或多个备选的计费方法,在当前的计费方法无效时按照配置顺序尝试使用备选的方法完成计费。例如,radius-scheme radius-scheme-name local none表示,先进行RADIUS计费,若RADIUS计费无效则进行本地计费,若本地计费也无效则不进行计费。
# 在ISP域test下,为login用户配置计费方法为local。
[Sysname] domain test
[Sysname-isp-test] accounting login local
# 在ISP域test下,配置login用户使用RADIUS方案rd进行计费,并且使用local作为备选计费方法。
[Sysname] domain test
[Sysname-isp-test] accounting login radius-scheme rd local
accounting portal命令用来为Portal用户配置计费方法。
undo accounting portal命令用来恢复缺省情况。
非FIPS模式下:
accounting portal { local [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }
FIPS模式下:
accounting portal { local | radius-scheme radius-scheme-name [ local ] }
Portal用户采用当前ISP域的缺省计费方法。
ISP域视图
local:本地计费。
none:不计费。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
可以指定一个或多个备选的计费方法,在当前的计费方法无效时按照配置顺序尝试使用备选的方法完成计费。例如,radius-scheme radius-scheme-name local none表示,先进行RADIUS计费,若RADIUS计费无效则进行本地计费,若本地计费也无效则不进行计费。
# 在ISP域test下,为Portal用户配置计费方法为local。
[Sysname] domain test
[Sysname-isp-test] accounting portal local
# 在ISP域test下,配置Portal用户使用RADIUS方案rd进行计费,并且使用local作为备选计费方法。
[Sysname] domain test
[Sysname-isp-test] accounting portal radius-scheme rd local
authentication default命令用来为当前ISP域配置缺省的认证方法。
undo authentication default命令用来为恢复缺省情况。
非FIPS模式下:
FIPS模式下:
当前ISP域的缺省认证方法为local。
ISP域视图
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
ldap-scheme ldap-scheme-name:指定LDAP方案。其中ldap-scheme-name表示LDAP方案名,为1~32个字符的字符串,不区分大小写。
local:本地认证。
none:不进行认证。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
当前ISP域的缺省的认证方法对于该域中未指定具体认证方法的所有接入用户都起作用,但是如果某类型的用户不支持指定的认证方法,则该认证方法对于这类用户不能生效。
可以指定一个或多个备选的认证方法,在当前的认证方法无效时按照配置顺序尝试使用备选的方法完成认证。例如,radius-scheme radius-scheme-name local none表示,先进行RADIUS认证,若RADIUS认证无效则进行本地认证,若本地认证也无效则不进行认证。
# 在ISP域test下,配置缺省认证方法为使用RADIUS方案rd进行认证,并且使用local作为备选认证方法。
[Sysname] domain test
[Sysname-isp-test] authentication default radius-scheme rd local
authentication lan-access命令用来为lan-access用户配置认证方法。
undo authentication lan-access命令用来恢复缺省情况。
非FIPS模式下:
authentication lan-access { ldap-scheme ldap-scheme-name [ local ] [ none ] | local [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }
undo authentication lan-access
FIPS模式下:
authentication lan-access { ldap-scheme ldap-scheme-name [ local ] | local | radius-scheme radius-scheme-name [ local ] }
undo authentication lan-access
lan-access用户采用当前ISP域的缺省认证方法。
ISP域视图
ldap-scheme ldap-scheme-name:指定LDAP方案。其中ldap-scheme-name表示LDAP方案名,为1~32个字符的字符串,不区分大小写。
local:本地认证。
none:不进行认证。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
可以指定一个或多个备选的认证方法,在当前的认证方法无效时按照配置顺序尝试使用备选的方法完成认证。例如,radius-scheme radius-scheme-name local none表示,先进行RADIUS认证,若RADIUS认证无效则进行本地认证,若本地认证也无效则不进行认证。
# 在ISP域test下,为lan-access用户配置认证方法为local。
[Sysname] domain test
[Sysname-isp-test] authentication lan-access local
# 在ISP域test下,配置lan-access用户使用RADIUS方案rd进行认证,并且使用local作为备选认证方法。
[Sysname] domain test
[Sysname-isp-test] authentication lan-access radius-scheme rd local
authentication login命令用来为login用户配置认证方法。
undo authentication login命令用来恢复缺省情况。
非FIPS模式下:
FIPS模式下:
login用户采用当前ISP域的缺省认证方法。
ISP域视图
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
ldap-scheme ldap-scheme-name:指定LDAP方案。其中ldap-scheme-name表示LDAP方案名,为1~32个字符的字符串,不区分大小写。
local:本地认证。
none:不进行认证。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
可以指定一个或多个备选的认证方法,在当前的认证方法无效时按照配置顺序尝试使用备选的方法完成认证。例如,radius-scheme radius-scheme-name local none表示,先进行RADIUS认证,若RADIUS认证无效则进行本地认证,若本地认证也无效则不进行认证。
# 在ISP域test下,为login用户配置认证方法为local。
[Sysname] domain test
[Sysname-isp-test] authentication login local
# 在ISP域test下,配置login用户使用RADIUS方案rd进行认证,并且使用local作为备选认证方法。
[Sysname] domain test
[Sysname-isp-test] authentication login radius-scheme rd local
authentication portal命令用来为Portal用户配置认证方法。
undo authentication portal命令用来恢复缺省情况。
非FIPS模式下:
FIPS模式下:
Portal用户采用当前ISP域的缺省认证方法。
ISP域视图
ldap-scheme ldap-scheme-name:指定LDAP方案。其中ldap-scheme-name表示LDAP方案名,为1~32个字符的字符串,不区分大小写。
local:本地认证。
none:不进行认证。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
可以指定一个或多个备选的认证方法,在当前的认证方法无效时按照配置顺序尝试使用备选的方法完成认证。例如,radius-scheme radius-scheme-name local none表示,先进行RADIUS认证,若RADIUS认证无效则进行本地认证,若本地认证也无效则不进行认证。
# 在ISP域test下,为Portal用户配置认证方法为local。
[Sysname] domain test
[Sysname-isp-test] authentication portal local
# 在ISP域test下,配置Portal用户使用RADIUS方案rd进行认证,并且使用local作为备选认证方法。
[Sysname] domain test
[Sysname-isp-test] authentication portal radius-scheme rd local
authentication super命令用来配置用户角色切换认证方法。
undo authentication super命令用来恢复缺省情况。
authentication super { hwtacacs-scheme hwtacacs-scheme-name | radius-scheme radius-scheme-name } *
用户角色切换认证采用当前ISP域的缺省认证方法。
ISP域视图
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
可以指定一个备选的认证方法,在当前的认证方法无效时尝试使用备选的方法完成认证。
目前,远程方案只能支持对名称为level-n的用户角色之间的切换进行认证。
· 当使用HWTACACS方案进行用户角色切换认证时,系统使用用户输入的用户角色切换用户名进行角色切换认证,HWTACACS服务器上也必须存在相应的用户名,该用户名代表了能够切换到的最大级别。例如,用户希望切换到用户角色level-3,输入的用户名为“test”,在要求携带域名认证的情况下,系统使用用户名“test@domain-name”进行用户角色切换认证;在要求不携带域名认证的情况下使用“test”进行用户角色切换认证。
· 当使用RADIUS方案进行用户角色切换认证时,系统使用“$enabn$”形式的用户名进行用户角色切换认证,其中n为用户希望切换到的用户角色level-n中的n,RADIUS服务器上也必须存在相同形式的用户名。例如,用户希望切换到用户角色level-3,输入任意用户名,系统忽略用户输入的用户名,使用“$enab3$@domain-name”或“$enab3$”形式的用户名进行用户角色切换认证(是否携带域名由user-name-format命令决定)。
# 在ISP域test下,配置使用HWTACACS方案tac进行用户角色切换认证。
[Sysname] super authentication-mode scheme
[Sysname] domain test
[Sysname-domain-test] authentication super hwtacacs-scheme tac
authorization command命令用来配置命令行授权方法。
undo authorization command命令用来恢复缺省情况。
非FIPS模式下:
FIPS模式下:
authorization command { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local }
命令行授权采用当前ISP域的缺省授权方法。
ISP域视图
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
local:本地授权。
none:不授权。用户执行角色所允许的命令时,无须接受授权服务器的检查。
对用户采用本地命令行授权时,设备将根据用户登录设备时输入的用户名对应的本地用户配置来对用户输入的命令进行检查,只有本地用户中配置的授权用户角色所允许的命令才被允许执行。
可以指定一个或多个备选的命令行授权方法,在当前的授权方法无效时按照配置顺序尝试使用备选的方法完成命令授权。例如,hwtacacs-scheme hwtacacs-scheme-name local none表示,先进行HWTACACS授权,若HWTACACS授权无效则进行本地授权,若本地授权也无效则不进行授权。
# 在ISP域test下,配置命令行授权方法为local。
[Sysname] domain test
[Sysname-isp-test] authorization command local
# 在ISP域test下,配置使用HWTACACS方案hwtac进行命令行授权,并且使用local作为备选授权方法。
[Sysname] domain test
[Sysname-isp-test] authorization command hwtacacs-scheme hwtac local
· authorization accounting(基础命令参考/登录设备)
authorization default命令用来为当前ISP域配置缺省的授权方法。
undo authorization default命令用来恢复缺省情况。
非FIPS模式下:
FIPS模式下:
当前ISP域的缺省授权方法为local。
ISP域视图
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
local:本地授权。
none:不授权。接入设备不请求授权信息,不对用户可以使用的操作以及用户允许使用的网络服务进行授权。此时,认证通过的Login用户(通过Console口或者Telnet、FTP/SFTP/SCP访问设备的用户)只有系统所给予的缺省用户角色,其中FTP/SFTP/SCP用户的工作目录是设备的根目录,但并无访问权限;认证通过的非Login用户可直接访问网络。关于缺省用户角色的详细介绍请参见“基础配置指导”中的“RBAC”。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
当前ISP域的缺省的授权方法对于该域中未指定具体授权方法的所有接入用户都起作用,但是如果某类型的用户不支持指定的授权方法,则该授权方法对于这类用户不能生效。
在一个ISP域中,只有配置的认证和授权方法中引用了相同的RADIUS方案时,RADIUS授权过程才能生效。
可以指定一个或多个备选的授权方法,在当前的授权方法无效时按照配置顺序尝试使用备选的方法完成授权。例如,radius-scheme radius-scheme-name local none表示,先进行RADIUS授权,若RADIUS授权无效则进行本地授权,若本地授权也无效则不进行授权。
# 在ISP域test下,配置缺省授权方法为使用RADIUS方案rd进行授权,并且使用local作为备选授权方法。
[Sysname] domain test
[Sysname-isp-test] authorization default radius-scheme rd local
authorization lan-access命令用来为lan-access用户配置授权方法。
undo authorization lan-access命令用来恢复缺省情况。
非FIPS模式下:
FIPS模式下:
authorization lan-access { local | radius-scheme radius-scheme-name [ local ] }
lan-access用户采用当前ISP域的缺省授权方法。
ISP域视图
local:本地授权。
none:不授权。接入设备不请求授权信息,不对用户可以使用的操作以及用户允许使用的网络服务进行授权,认证通过的lan-access用户可直接访问网络。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
在一个ISP域中,只有配置的认证和授权方法中引用了相同的RADIUS方案时,RADIUS授权过程才能生效。
可以指定一个或多个备选的授权方法,在当前的授权方法无效时按照配置顺序尝试使用备选的方法完成授权。例如,radius-scheme radius-scheme-name local none表示,先进行RADIUS授权,若RADIUS授权无效则进行本地授权,若本地授权也无效则不进行授权。
# 在ISP域test下,为lan-access用户配置授权方法为local。
[Sysname] domain test
[Sysname-isp-test] authorization lan-access local
# 在ISP域test下,配置lan-access用户使用RADIUS方案rd进行授权,并且使用local作为备选授权方法。
[Sysname] domain test
[Sysname-isp-test] authorization lan-access radius-scheme rd local
authorization login命令用来为login用户配置授权方法。
undo authorization login命令用来恢复缺省情况。
非FIPS模式下:
FIPS模式下:
login用户采用当前ISP域的缺省授权方法。
ISP域视图
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
local:本地授权。
none:不授权。接入设备不请求授权信息,不对用户可以使用的操作以及用户允许使用的网络服务进行授权。此时,认证通过的Login用户(通过Console口或者Telnet、FTP/SFTP/SCP访问设备的用户)只有系统所给予的缺省用户角色,其中FTP/SFTP/SCP用户的工作目录是设备的根目录,但并无访问权限。关于缺省用户角色的详细介绍请参见“基础配置指导”中的“RBAC”。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
在一个ISP域中,只有配置的认证和授权方法中引用了相同的RADIUS方案时,RADIUS授权过程才能生效。
可以指定一个或多个备选的授权方法,在当前的授权方法无效时按照配置顺序尝试使用备选的方法完成授权。例如,radius-scheme radius-scheme-name local none表示,先进行RADIUS授权,若RADIUS授权无效则进行本地授权,若本地授权也无效则不进行授权。
# 在ISP域test下,为login用户配置授权方法为local。
[Sysname] domain test
[Sysname-isp-test] authorization login local
# 在ISP域test下,配置login用户使用RADIUS方案rd进行授权,并且使用local作为备选授权方法。
[Sysname] domain test
[Sysname-isp-test] authorization login radius-scheme rd local
authorization portal命令用来为Portal用户配置授权方法。
undo authorization portal命令用来恢复缺省情况。
非FIPS模式下:
authorization portal { local [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }
FIPS模式下:
authorization portal { local | radius-scheme radius-scheme-name [ local ] }
Portal用户采用当前ISP域的缺省授权方法。
ISP域视图
local:本地授权。
none:不授权。接入设备不请求授权信息,不对用户可以使用的操作以及用户允许使用的网络服务进行授权,认证通过的Portal用户可直接访问网络。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
在一个ISP域中,只有配置的认证和授权方法中引用了相同的RADIUS方案时,RADIUS授权过程才能生效。
可以指定一个或多个备选的授权方法,在当前的授权方法无效时按照配置顺序尝试使用备选的方法完成授权。例如,radius-scheme radius-scheme-name local none表示,先进行RADIUS授权,若RADIUS授权无效则进行本地授权,若本地授权也无效则不进行授权。
# 在ISP域test下,为Portal用户配置授权方法为local。
[Sysname] domain test
[Sysname-isp-test] authorization portal local
# 在ISP域test下,配置Portal用户使用RADIUS方案rd进行授权,并且使用local作为备选授权方法。
[Sysname] domain test
[Sysname-isp-test] authorization portal radius-scheme rd local
authorization-attribute命令用来设置当前ISP域下的用户授权属性。
undo authorization-attribute命令用来删除配置的授权属性,恢复用户具有的缺省访问权限。
authoritization-attribute user-profile profile-name
undo authorization-attribute user-profile
未对当前ISP域下的用户设置任何授权属性。
ISP域视图
user-profile profile-name:指定用户的授权User Profile。其中,profile-name为User Profile名称,为1~31个字符的字符串,区分大小写。
如果当前ISP域的用户认证成功,但认证服务器(包括本地认证下的接入设备)未对该ISP域下发授权属性,则系统使用当前ISP下指定的授权属性为用户授权。
# 为ISP域test下的用户授权名称为profile1的User Profile。
[Sysname] domain test
[Sysname-isp-test] authorization-attribute user-profile profile1
display domain命令用来显示所有或指定ISP域的配置信息。
isp-name:指定ISP域名,为1~24个字符的字符串,不区分大小写。
如果不指定ISP域,则显示系统中所有ISP域的配置信息。
# 显示系统中所有ISP域的配置信息。
Total 2 domain(s)
Domain: system
State: Active
default Authentication Scheme: local
default Authorization Scheme: local
default Accounting Scheme: local
Authorzation attributes :
Idle-cut : Disable
Domain: dm
State: Active
login Authentication Scheme: radius: rad
login Authorization Scheme: tacacs: hw
default Authentication Scheme: radius: rad, local, none
default Authorization Scheme: local
default Accounting Scheme: none
Authorzation attributes :
Idle-cut : Disable
User profile: test
Default Domain Name: system
表1-1 display domain命令显示信息描述表
总计2个ISP域 |
|
ISP域名 |
|
ISP域的状态 |
|
Login用户的认证方案 |
|
Login用户的授权方案 |
|
Login用户的计费方案 |
|
ISP的用户授权属性 |
|
用户闲置切断功能,仅支持“Disable”:表示处于关闭状态,不对用户进行闲置切断控制,它为缺省状态 |
|
RADIUS方案 |
|
HWTACACS方案 |
|
LDAP方案 |
|
缺省ISP域名 |
domain命令用来创建ISP域并进入其视图。
undo domain命令用来删除指定的ISP域。
系统存在一个名称为system的ISP域。
isp-name:ISP域名,为1~24个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、“””、“:”、“*”、“?”、“<”、“>”以及“@”等字符。
· 所有的ISP域在创建后即处于active状态。
· 不能删除系统中预定义的ISP域system,只能修改该域的配置。
· 不能删除系统缺省的ISP域,除非先恢复要删除的域为非缺省域,系统缺省的ISP域的配置请参考domain default enable命令。
# 创建一个新的ISP域test,并进入其视图。
[Sysname] domain test
domain default enable命令用来配置系统缺省的ISP域,所有在登录时没有提供ISP域名的用户都属于这个域。
undo domain default enable命令用来恢复缺省情况。
domain default enable isp-name
系统缺省的ISP域为system。
isp-name:ISP域名,为1~24个字符的字符串,不区分大小写。
· 缺省的ISP域有且只有一个。
· 指定的缺省ISP域必须已经存在。
· 配置为缺省的ISP域不能被删除,除非先恢复要删除的域为非缺省域。
# 创建一个新的ISP域test,并设置为系统缺省的ISP域。
[Sysname] domain test
[Sysname-isp-test] quit
[Sysname] domain default enable test
nas-id bind vlan命令用来设置NAS-ID与VLAN的绑定关系。
undo nas-id bind vlan命令用来删除指定的NAS-ID和VLAN的绑定关系。
nas-id nas-identifier bind vlan vlan-id
undo nas-id nas-identifier bind vlan vlan-id
nas-identifier:NAS-ID名称,为1~31个字符的字符串,区分大小写。
vlan-id:与NAS-ID绑定的VLAN ID,取值范围为1~4094。
一个NAS-ID Profile视图下,可以指定多个NAS-ID与VLAN的绑定关系。
一个NAS-ID可以与多个VLAN绑定,但是一个VLAN只能与一个NAS-ID绑定。若多次将一个VLAN与不同的NAS-ID进行绑定,则最后的绑定关系生效。
# 在名称为aaa的NAS-ID Profile视图下,配置NAS-ID 222与VLAN 2的绑定关系。
[Sysname] aaa nas-id profile aaa
[Sysname-nas-id-prof-aaa] nas-id 222 bind vlan 2
state命令用来设置当前ISP域的状态。
undo state命令用来恢复缺省情况。
当一个ISP域被创建以后,其状态为active。
ISP域视图
active:指定当前ISP域处于活动状态,即系统允许该域下的用户请求网络服务。
block:指定当前ISP域处于“阻塞”状态,即系统不允许该域下的用户请求网络服务。
当指定某个ISP域处于block状态时,不允许该域下的用户请求网络服务,但是不影响已经在线的用户。
# 设置当前ISP域test处于“阻塞”状态,域下的接入用户不能再请求网络服务。
[Sysname] domain test
[Sysname-isp-test] state block
access-limit命令用来设置使用当前本地用户名接入设备的最大用户数。
undo access-limit命令用来恢复缺省情况。
max-user-number:表示使用当前本地用户名接入设备的最大用户数,取值范围为1~1024。
本地用户视图下的access-limit命令只在该用户采用了本地计费方法的情况下生效。
由于FTP/SFTP/SCP用户不支持计费,因此FTP/SFTP/SCP用户不受此属性限制。
# 允许同时以本地用户名abc在线的用户数为5。
[Sysname] local-user abc
[Sysname-luser-manage-abc] access-limit 5
authorization-attribute命令用来设置本地用户或用户组的授权属性,该属性在本地用户认证通过之后,由设备下发给用户。
undo authorization-attribute命令用来删除配置的授权属性,恢复用户具有的缺省访问权限。
授权FTP/SFTP/SCP用户可以访问的目录为设备的根目录,但无访问权限。由用户角色为network-admin或level-15的用户创建的本地用户被授权用户角色network-operator。
本地用户视图/用户组视图
acl acl-number:指定本地用户的授权ACL。其中,acl-number为授权ACL的编号,取值范围为2000~5999。本地用户认证成功后,将被授权仅可以访问符合指定ACL规则的网络资源。
idle-cut minute:设置本地用户的闲置切断时间。其中,minute为设定的闲置切断时间,取值范围为1~120,单位为分钟。如果用户在线后连续闲置的时长超过该值,设备会强制该用户下线。
user-profile profile-name:指定本地用户的授权User Profile。其中,profile-name表示User Profile名称,为1~31个字符的字符串,区分大小写。当用户认证成功后,其访问行为将受到User Profile中的预设配置的限制。关于User Profile的详细介绍请参见“安全配置指导”中的“User Profile”。
user-role role-name:指定本地用户的授权用户角色。其中,role-name为1~63个字符的字符串,区分大小写。可以为每个用户最多指定64个用户角色。本地用户角色的相关命令请参见“基础命令参考”中的“RBAC”。该授权属性只能在本地用户视图下配置,不能在本地用户组视图下配置。
vlan vlan-id:指定本地用户的授权VLAN。其中,vlan-id为VLAN编号,取值范围为1~4094。本地用户认证成功后,将被授权仅可以访问指定VLAN内的网络资源。
work-directory directory-name:授权FTP/SFTP/SCP用户可以访问的目录。其中,directory-name表示FTP/SFTP/SCP用户可以访问的目录,为1~255个字符的字符串,不区分大小写,且该目录必须已经存在。缺省情况下,FTP/SFTP/SCP用户可访问设备的根目录,可通过本参数来修改用户可以访问的目录。
可配置的授权属性都有其明确的使用环境和用途,请针对用户的服务类型配置对应的授权属性:
· 对于lan-access、Portal用户,仅授权属性acl、user-profile和vlan有效;
· 对于telnet、terminal用户,仅授权属性idle-cut和user-role有效;
· 对于http、https用户,仅授权属性user-role有效;
· 对于ssh用户,仅授权属性idle-cut、user-role和work-directory有效;
· 对于ftp用户,仅授权属性user-role和work-directory有效;
· 用户组的授权属性对于组内的所有本地用户生效,因此具有相同属性的用户可通过加入相同的用户组来统一配置和管理。
· 本地用户视图下未配置的授权属性继承所属用户组的授权属性配置,但是如果本地用户视图与所属的用户组视图下都配置了某授权属性,则本地用户视图下的授权属性生效。
· 如果希望本地用户仅使用本命令授权的用户角色,建议使用undo authorization-attribute user-role命令删除该用户已有的缺省用户角色。
· 被授权安全日志管理员的本地用户登录设备后,仅可执行安全日志文件管理相关的命令以及安全日志文件操作相关的命令,具体命令可通过display role name security-audit命令查看。安全日志文件管理相关命令的介绍,请参见“网络管理与监控”中的“信息中心”。文件系统管理相关命令的介绍,请参见“基础配置命令参考”中的“文件系统管理”。
· 系统中的最后一个安全日志管理员角色的本地用户不可被删除。
# 配置网络接入类本地用户abc的授权VLAN为VLAN 2。
[Sysname] local-user abc class network
[Sysname-luser-network-abc] authorization-attribute vlan 2
# 配置用户组abc的授权VLAN为VLAN 3。
[Sysname] user-group abc
[Sysname-ugroup-abc] authorization-attribute vlan 3
# 配置设备管理类本地用户xyz的授权用户角色为security-audit(安全日志管理员)。
[Sysname] local-user xyz class manage
[Sysname-luser-manage-xyz]authorization-attribute user-role security-audit
This operation will delete all other roles of the user. Are you sure? [Y/N]:y
bind-attribute命令用来设置用户的绑定属性。
undo bind-attribute命令用来删除配置的用户绑定属性。
undo bind-attribute { ip | location | mac | vlan } *
ip ip-address:指定用户的IP地址。
location interface interface-type interface-number:指定用户绑定的接口。其中interface-type interface-number表示接口类型和接口编号。如果用户接入的接口与此处绑定的接口不一致,则认证失败。
mac mac-address:指定用户的MAC地址。其中,mac-address为H-H-H格式。
vlan vlan-id:指定用户所属于的VLAN。其中,vlan-id为VLAN编号,取值范围为1~4094。
需要注意的是,当对本地用户进行认证时,如果配置了绑定属性,则会检查用户的实际属性与配置的绑定属性是否一致,如果不一致或用户未携带该绑定属性则认证失败。而且,由于认证检测时不区分用户的接入服务类型,即会对所有类型的用户都进行已配置绑定属性的认证检测,因此在配置绑定属性时要考虑某类型的用户是否需要绑定某些属性。例如,只有支持IP地址上传功能的802.1X认证用户才可以配置绑定IP地址;对于不支持IP地址上传功能的MAC地址认证用户,如果配置了绑定IP地址,则会导致该用户的本地认证失败。
· 绑定属性ip仅适用于lan-access类型中的802.1X用户;
· 绑定属性location、mac和vlan仅适用于lan-access和Portal类型的用户
在绑定接口属性时要考虑绑定接口类型是否合理。对于不同接入类型的用户,请按照如下方式进行绑定接口属性的配置:
· 802.1X用户:配置绑定的接口为使能802.1X的二层以太网接口;
· MAC地址认证用户:配置绑定的接口为使能MAC地址认证的二层以太网接口;
· Portal用户:若使能Portal的接口为VLAN接口,且没有通过portal roaming enable命令配置Portal用户漫游功能,则配置绑定的接口为用户实际接入的二层以太网接口;其它情况下,配置绑定的接口均为使能Portal的接口。
# 配置网络接入类本地用户abc的绑定IP为3.3.3.3。
[Sysname] local-user abc class network
[Sysname-luser-network-abc] bind-attribute ip 3.3.3.3
display local-user命令用来显示本地用户的配置信息和在线用户数的统计信息。
class:显示指定用户类别的本地用户信息。
· manage:设备管理类用户。
· network:网络接入类用户。
idle-cut { disable | enable }:显示使能或未使能闲置切断功能的本地用户信息。其中,disable表示未启用闲置切断功能的本地用户;enable表示启用了闲置切断功能并配置了闲置切断时间的本地用户。
service-type:显示指定用户类型的本地用户信息。
· ftp:FTP用户。
· http:HTTP用户。
· https:HTTPS用户。
· lan-access:lan-access类型用户(主要指以太网接入用户,比如802.1X用户)。
· portal:Portal用户。
· ssh:SSH用户。
· telnet:Telnet用户。
· terminal:从Console口登录的终端用户。
state { active | block }:显示处于指定状态的本地用户信息。其中,active表示用户处于活动状态,即系统允许该用户请求网络服务;block表示用户处于阻塞状态,即系统禁止当前本地用户进行新的认证、授权、计费请求,但是可以接收已经成功计费用户的停止计费请求。
user-name user-name:显示指定用户名的本地用户信息。其中,user-name表示本地用户名,为1~55个字符的字符串,区分大小写,不能携带域名。
vlan vlan-id:显示指定VLAN内的所有本地用户信息。其中,vlan-id为VLAN编号,取值范围为1~4094。
# 显示所有本地用户的相关信息。
Total 2 local users matched.
Device management user root:
State: Active
Service Type: SSH/Telnet/Terminal
Access limit: Enabled Max access number: 3
Current access number: 1
User Group: system
Bind Attributes:
Authorization attributes:
Work Directory: flash:
User Role List: network-admin
Password control configurations:
Password aging: Enabled (3 days)
Network access user jj:
State: Active
Service Type: Lan-access
User Group: system
Bind Attributes:
IP Address: 2.2.2.2
Location Bound: GigabitEthernet1/0/1
MAC Address: 0001-0001-0001
VLAN ID: 2
Authorization attributes:
Work Directory: flash:
ACL number: 2000
User profile: test
User Role List: network-operator, level-0, level-3
表1-2 display local-user命令显示信息描述表
总计有2个本地用户匹配 |
|
· Active:活动状态 · Block:阻塞状态 |
|
本地用户使用的服务类型,取值包括FTP、HTTP、HTTPS、Lan-access、Portal、SSH、Telnet和Terminal |
|
本地用户的IP地址 |
|
本地用户的MAC地址 |
|
FTP/SFTP/SCP用户可以访问的目录 |
|
display user-group命令用来显示用户组的相关配置。
display user-group [ group-name ]
group-name:显示指定用户组的配置。group-name表示用户组名称,为1~32个字符的字符串,不区分大小写。
# 显示所有用户组的相关配置。
Total 2 user groups matched.
The contents of user group system:
Authorization Attributes:
Work Directory: flash:
The contents of user group jj:
Authorization attributes:
Work Directory: flash:/
ACL Number: 2000
VLAN ID: 2
Password control configurations:
Password aging: Enabled (2 days)
表1-3 display user-group命令显示信息描述表
总计有2个用户组匹配 |
|
FTP/SFTP/SCP用户可以访问的目录 |
|
group命令用来设置本地用户所属的用户组。
undo group命令用来恢复缺省配置。
group-name:用户组名称,为1~32个字符的字符串,不区分大小写。
# 设置设备管理类本地用户111所属的用户组为abc。
[Sysname] local-user 111 class manage
[Sysname-luser-manage-111] group abc
local-user命令用来添加本地用户,并进入本地用户视图。
undo local-user命令用来删除指定的本地用户。
local-user user-name [ class { manage | network } ]
user-name:表示本地用户名,为1~55个字符的字符串,区分大小写。用户名不能携带域名,不能包括符号“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”和“@”,且不能为“a”、“al”或“all”。
class:指定本地用户的类别。若不指定本参数,则表示设备管理类用户。
· manage:设备管理类用户,用于登录设备,对设备进行配置和监控。此类用户可以提供ftp、http、https、telnet、ssh和terminal服务。
· network:网络接入类用户,用于通过设备接入网络,访问网络资源。此类用户可以提供lan-access和portal服务。
all:所有的用户。
service-type:指定用户的类型。
· ftp:表示FTP类型用户。
· http:表示HTTP类型用户。
· https:表示HTTPS类型用户。
· lan-access:表示lan-access类型用户(主要指以太网接入用户,比如802.1X用户)。
· portal:表示Portal用户。
· ssh:表示SSH用户。
· telnet:表示Telnet用户。
· terminal:表示从Console口登录的终端用户。
# 添加名称为user1的设备管理类本地用户。
[Sysname] local-user user1 class manage
[Sysname-luser-manage-user1]
# 添加名称为user2的网络接入类本地用户。
[Sysname] local-user user2 class network
[Sysname-luser-network-user2]
password命令用来设置本地用户的密码。
undo password命令用来删除本地用户的密码。
非FIPS模式下:
password [ { cipher | hash | simple } password ]
FIPS模式下:
非FIPS模式下:
不存在本地用户密码,即本地用户认证时无需输入密码,只要用户名有效且其它属性验证通过即可认证成功。
FIPS模式下:
cipher:表示以密文方式设置用户密码。
hash:表示以哈希方式设置用户密码。
simple:表示以明文方式设置用户密码。
password:设置的明文密码或密文密码,区分大小写。非FIPS模式下,明文密码为1~63个字符的字符串;哈希密码为1~110个字符的字符串;密文密码为1~117个字符的字符串;FIPS模式下,明文密码为15~63个字符的字符串,密码元素的最少组合类型为4(必须包括数字、大写字母、小写字母以及特殊字符)。
如果不指定任何参数,则表示以交互式方式设置本地用户密码,涵义与指定simple关键字相同。若不设置本地用户密码,则本地用户认证时无需输入密码,只要用户名有效且其它属性验证通过即可认证成功。因此为提高用户帐户的安全性,建议设置本地用户密码。
· 对于设备管理类本地用户,可以使用交互式方式、明文或哈希方式设置用户密码,设置的明文密码将以哈希计算后生成的密文形式保存在配置文件中,设置的哈希密码将以设置的原始形式保存在配置文件中。FIPS模式下,只支持交互式方式设置本地用户密码,且必须设置本地用户密码,否则用户的本地认证不能成功。
· 对于网络接入类本地用户,可以使用明文或密文方式设置用户密码,设置的明文密码将以加密后生成的密文形式保存在配置文件中,设置的密文密码将以设置的原始形式保存在配置文件中。
# 设置设备管理类本地用户user1的密码为明文123456TESTplat&!。
[Sysname] local-user user1 class manage
[Sysname-luser-manage-user1] password simple 123456TESTplat&!
# 以交互式方式设置设备管理类本地用户test的密码。
[Sysname] local-user test class manage
[Sysname-luser-manage-test] password
Password:
Confirm :
# 设置网络接入类本地用户user2的密码为明文123456TESTuser&!。
[Sysname] local-user user1 class network
[Sysname-luser-network-user1] password simple 123456TESTuser&!
service-type命令用来设置用户可以使用的服务类型。
undo service-type命令用来删除用户可以使用的服务类型。
非FIPS模式下:
service-type { ftp | lan-access | { http | https | ssh | telnet | terminal } * | portal }
undo service-type { ftp | lan-access | { http | https | ssh | telnet | terminal } * | portal }
FIPS模式下:
service-type { lan-access | { https | ssh | terminal } * | portal }
undo service-type { lan-access | { https | ssh | terminal } * | portal }
ftp:指定用户可以使用FTP服务。若授权FTP服务,缺省授权FTP用户可访问设备的根目录,授权目录可以通过authorization-attribute work-directory命令来修改。
http:指定用户可以使用HTTP服务。
https:指定用户可以使用HTTPS服务。
lan-access:指定用户可以使用lan-access服务。主要指以太网接入,比如用户可以通过802.1X认证接入。
ssh:指定用户可以使用SSH服务。
telnet:指定用户可以使用Telnet服务。
terminal:指定用户可以使用terminal服务(即从Console口登录)。
portal:指定用户可以使用Portal服务。
# 指定设备管理类用户可以使用Telnet服务和FTP服务。
[Sysname] local-user user1 class manage
[Sysname-luser-manage-user1] service-type telnet
[Sysname-luser-manage-user1] service-type ftp
state命令用来设置当前本地用户的状态。
undo state命令用来恢复缺省情况。
active:指定当前本地用户处于活动状态,即系统允许当前本地用户请求网络服务。
block:指定当前本地用户处于“阻塞”状态,即系统禁止当前本地用户进行新的认证、授权、计费请求,但是可以接收已经成功计费用户的停止计费请求。
# 设置设备管理类本地用户user1处于“阻塞”状态。
[Sysname] local-user user1 class manage
[Sysname-luser-manage-user1] state block
user-group命令用来创建用户组,并进入其视图。
undo user-group命令用来删除指定的用户组。
存在一个名称为system的用户组。
group-name:用户组名称,为1~32个字符的字符串,不区分大小写。
用户组是一个本地用户的集合,某些需要集中管理的属性可在用户组中统一配置和管理。目前,用户组中可配置的内容为本地用户的授权属性。
· 当用户组中有本地用户时,不允许使用undo user-group删除该用户组。
· 不能删除系统中存在的默认用户组system,但可以修改该用户组的配置。
# 创建名称为abc的用户组并进入其视图。
[Sysname] user-group abc
[Sysname-ugroup-abc]
accounting-on enable命令用来配置accounting-on功能。
undo accounting-on enable命令用来恢复缺省情况。
accounting-on enable [ interval seconds | send send-times ] *
accounting-on功能处于关闭状态。
RADIUS方案视图
interval seconds:指定accounting-on报文重发时间间隔,取值范围为1~15,单位为秒,缺省值为3。
send send-times:指定accounting-on报文的最大发送次数,取值范围为1~255,缺省值为50。
在accounting-on功能处于使能的情况下,若设备重启,则设备会在重启之后发送accounting-on报文通知该方案所使用的RADIUS计费服务器,要求RADIUS服务器停止计费且强制该设备的用户下线。
· 执行完该命令后,请执行save操作,以保证设备重启后accounting-on功能生效。
· 在执行accounting-on功能的过程中,使用该命令重新设置的报文重发间隔时间以及报文最大发送次数会立即生效。
# 使能RADIUS认证方案radius1的accounting-on功能,并配置accounting-on报文重发时间间隔为5秒、accounting-on报文的最大发送次数为15次。
[Sysname] radius scheme radius1
[Sysname-radius-radius1] accounting-on enable interval 5 send 15
attribute 15 check-mode命令用来配置RADIUS Attribute 15的检查方式。
undo attribute 15 check-mode命令用来恢复缺省情况。
attribute 15 check-mode { loose | strict }
RADIUS Attribute 15的检查方式为strict方式。
RADIUS方案视图
loose:松散检查方式。设备使用RADIUS Attribute 15的标准属性值对用户业务类型进行检查,对于SSH、FTP、Terminal用户,在RADIUS服务器下发的Login-Service属性值为0(表示用户业务类型为Telnet)时,这类用户才能够通过认证。
strict:严格检查方式。设备使用RADIUS Attribute 15的标准属性值以及扩展属性值对用户业务类型进行检查,对于SSH、FTP、Terminal用户,当RADIUS服务器下发的Login-Service属性值为对应的扩展取值50、51、52时,这类用户才能够通过认证。
由于某些RADIUS服务器不支持自定义的属性,无法下发扩展的Login-Service属性,若要使用这类RADIUS服务器对SSH、FTP、Terminal用户进行认证,建议设备上对RADIUS 15号属性值采用松散检查方式。
# 在RADIUS方案视图radius1下,配置RADIUS Attribute 15的检查方式为loose方式。
[Sysname] radius scheme radius1
[Sysname-radius-radius1] attribute 15 check-mode loose
data-flow-format命令用来配置发送到RADIUS服务器的数据流及数据包的单位。
undo data-flow-format命令用来恢复缺省情况。
undo data-flow-format { data | packet }
数据流的单位为byte,数据包的单位为one-packet。
RADIUS方案视图
data:设置数据流的单位。
· byte:数据流的单位为字节。
· giga-byte:数据流的单位千兆字节。
· kilo-byte:数据流的单位为千字节。
· mega-byte:数据流的单位为兆字节。
packet:设置数据包的单位。
· giga-packet:数据包的单位为千兆包。
· kilo-packet:数据包的单位为千包。
· mega-packet:数据包的单位为兆包。
· one-packet:数据包的单位为包。
设备上配置的发送给RADIUS服务器的数据流单位及数据包单位应与RADUIS服务器上的流量统计单位保持一致,否则无法正确计费。
# 在RADIUS方案radius1中,设置发往RADIUS服务器的数据流单位为千字节、数据包单位为千包。
[Sysname] radius scheme radius1
[Sysname-radius-radius1] data-flow-format data kilo-byte packet kilo-packet
display radius scheme命令用来显示所有或指定RADIUS方案的配置信息。
display radius scheme [ radius-scheme-name ]
radius-scheme-name:显示指定的RADIUS方案的配置信息。radius-scheme-name为RADIUS方案名,为1~32个字符的字符串,不区分大小写。
如果不指定RADIUS方案名,则显示所有RADIUS方案的配置信息。
# 显示所有RADIUS方案的配置信息。
<Sysname> display radius scheme
Total 2 RADIUS schemes
------------------------------------------------------------------
RADIUS Scheme Name : rad
Index : 0
Primary Auth Server:
Host name: radius.com
IP : 82.0.0.37 Port: 1812 State: Active
VPN : Not configured
Primary Acct Server:
Host name: radius.com
IP : 82.0.0.37 Port: 1813 State: Active
VPN : Not configured
Accounting-On function : Disabled
retransmission times : 50
retransmission interval(seconds) : 3
Timeout Interval(seconds) : 3
Retransmission Times : 3
Retransmission Times for Accounting Update : 5
Server Quiet Period(minutes) : 5
Realtime Accounting Interval(minutes) : 12
NAS IP Address : Not configured
VPN : Not configured
User Name Format : without-domain
------------------------------------------------------------------
RADIUS Scheme Name : rad2
Index : 1
Primary Auth Server:
Host name: radius.com
IP : 82.0.0.37 Port: 1812 State: Active
VPN : Not configured
Primary Acct Server:
Host name: radius.com
IP : 82.0.0.37 Port: 1813 State: Active
VPN : Not configured
Accounting-On function : Disabled
retransmission times : 50
retransmission interval(seconds) : 3
Timeout Interval(seconds) : 3
Retransmission Times : 3
Retransmission Times for Accounting Update : 5
Server Quiet Period(minutes) : 5
Realtime Accounting Interval(minutes) : 12
NAS IP Address : Not configured
VPN : Not configured
User Name Format : without-domain
Attribute 15 check-mode : Strict
------------------------------------------------------------------
表1-4 display radius scheme命令显示信息描述表
共计1个RADIUS方案 |
|
RADIUS方案的名称 |
|
RADIUS方案的索引号 |
|
主RADIUS认证服务器 |
|
主RADIUS计费服务器 |
|
从RADIUS认证服务器 |
|
从RADIUS计费服务器 |
|
RADIUS认证/计费服务器主机名 |
|
RADIUS认证/计费服务器IP地址 |
|
RADIUS认证/计费服务器接入端口号 |
|
RADIUS认证/计费服务器目前状态 · Active:激活状态 · Block:静默状态 |
|
RADIUS认证/计费服务器所在的VPN |
|
accounting-on功能的使能情况 |
|
accounting-on报文的发送尝试次数 |
|
accounting-on报文的重发间隔(单位为秒) |
|
RADIUS服务器超时时间(单位为秒) |
|
发送RADIUS报文的最大尝试次数 |
|
RADIUS服务器恢复激活状态的时间(单位为分钟) |
|
发送RADIUS报文的源IP地址 |
|
RADIUS方案所属的VPN名称 |
|
发送给RADIUS服务器的用户名格式 · with-domain:携带域名 · without-domain:不携带域名 · keep-original:与用户输入保持一致 |
|
对RADIUS Attribute 15的检查方式,包括以下两种取值: · Strict:表示使用RADIUS标准属性值和私有扩展的属性值进行检查 · Loose:表示使用RADIUS标准属性值进行检查 |
display radius statistics命令用来显示RADIUS报文的统计信息。
# 显示RADIUS报文的统计信息。
<Sysname> display radius statistics
Auth. Acct. SessCtrl.
Request Packet: 0 0 0
Retry Packet: 0 0 -
Timeout Packet: 0 0 -
Access Challenge: 0 - -
Account Start: - 0 -
Account Update: - 0 -
Account Stop: - 0 -
Terminate Request: - - 0
Set Policy: - - 0
Packet With Response: 0 0 0
Packet Without Response: 0 0 -
Access Rejects: 0 - -
Dropped Packet: 0 0 0
Check Failures: 0 0 0
表1-5 display radius statistics命令显示信息描述表
key命令用来配置RADIUS报文的共享密钥。
undo key命令用来删除RADIUS报文的共享密钥。
key { accounting | authentication } { cipher | simple } string
undo key { accounting | authentication }
RADIUS方案视图
accounting:指定RADIUS计费报文的共享密钥。
authentication:指定RADIUS认证报文的共享密钥。
cipher:表示以密文方式设置共享密钥。
simple:表示以明文方式设置共享密钥。
string:设置的明文密钥或密文密钥,区分大小写。非FIPS模式下,明文密钥为1~64个字符的字符串;密文密钥为1~117个字符的字符串;FIPS模式下,明文密钥为15~64个字符的字符串,密钥元素的最少组合类型为4(必须包括数字、大写字母、小写字母以及特殊字符);密文密钥为15~117个字符的字符串。
· 设备优先采用配置RADIUS认证/计费服务器时指定的报文共享密钥,本配置中指定的报文共享密钥仅在配置RADIUS认证/计费服务器时未指定相应密钥的情况下使用。
· 必须保证设备上设置的共享密钥与RADIUS服务器上的完全一致。
· 以明文或密文方式设置的共享密钥,均以密文的方式保存在配置文件中。
# 将RADIUS方案radius1的计费报文的共享密钥设置为明文ok。
[Sysname] radius scheme radius1
[Sysname-radius-radius1] key accounting simple ok
nas-ip命令用来设置设备发送RADIUS报文使用的源IP地址。
undo nas-ip命令用来删除指定的源IP地址。
nas-ip { ipv4-address | ipv6 ipv6-address }
undo nas-ip [ ipv6 ]
使用系统视图下由命令radius nas-ip指定的源地址,若系统视图下未指定源地址,则使用发送RADIUS报文的接口的主IP地址。
RADIUS方案视图
ipv4-address:指定的源IPv4地址,应该为本机的地址,禁止配置全0地址、全1地址、D类地址、E类地址和环回地址。
ipv6 ipv6-address:指定的源IPv6地址,应该为本机的地址,必须是单播地址,不能为环回地址与本地链路地址。
RADIUS服务器上通过IP地址来标识接入设备,并根据收到的RADIUS报文的源IP地址是否与服务器所管理的接入设备的IP地址匹配,来决定是否处理来自该接入设备的认证或计费请求。因此,为保证认证和计费报文可被服务器正常接收并处理,接入设备上发送RADIUS报文使用的源地址必须与RADIUS服务器上指定的接入设备的IP地址保持一致。
· RADIUS方案视图下的命令nas-ip只对本RADIUS方案有效,系统视图下的命令radius nas-ip对所有RADIUS方案有效。RADIUS方案视图下的设置具有更高的优先级。
· 指定发送RADIUS报文使用的源地址,可以避免物理接口故障时从服务器返回的报文不可达。一般推荐使用Loopback接口地址。
· 如果重复执行此命令,新配置的IPv4/IPv6源地址会覆盖原有的IPv4/IPv6源地址。
# 配置设备发送RADIUS报文使用的源IP地址为10.1.1.1。
[Sysname] radius scheme radius1
[Sysname-radius-radius1] nas-ip 10.1.1.1
primary accounting命令用来配置主RADIUS计费服务器。
undo primary accounting命令用来删除设置的主RADIUS计费服务器。
primary accounting { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string ] *
未配置主RADIUS计费服务器。
RADIUS方案视图
host-name:主RADIUS计费服务器的主机名,为1~253个字符的字符串,不区分大小写。
ipv4-address:主RADIUS计费服务器的IPv4地址。
ipv6 ipv6-address:主RADIUS计费服务器的IPv6地址。
port-number:主RADIUS计费服务器的UDP端口号,缺省为1813,取值范围为1~65535。此端口号必须与服务器提供计费服务的端口号保持一致。
key { cipher | simple } string:与主RADIUS计费服务器交互的计费报文的共享密钥。此共享密钥必须与服务器上配置的共享密钥保持一致。
· cipher string:以密文方式设置共享密钥。非FIPS模式下,string为1~117个字符的密文字符串,区分大小写;FIPS模式下,string为15~117个字符的密文字符串,区分大小写。
· simple string:以明文方式设置共享密钥。非FIPS模式下,string为1~64个字符的明文字符串,区分大小写;FIPS模式下,string为15~64个字符的明文字符串,区分大小写,密钥元素的最少组合类型为4(必须包括数字、大写字母、小写字母以及特殊字符)。
在同一个方案中指定的主计费服务器和从计费服务器的主机名、IP地址、端口号参数不能完全相同。
设备与主计费服务器通信时优先使用本命令设置的共享密钥,如果此处未设置,则使用key accounting命令设置的共享密钥。
如果计费开始请求过程中使用本命令修改或删除了正在使用的主计费服务器,则设备在与当前服务器通信超时后,将会重新按照优先级顺序开始依次查找状态为active的服务器进行通信。
如果在线用户正在使用的计费服务器被删除,则设备将无法发送用户的实时计费请求和停止计费请求,且停止计费报文不会被缓存到本地,这将造成对用户计费的不准确。
以明文或密文方式设置的共享密钥,均以密文的方式保存在配置文件中。
当主机名解析出IPv4和IPv6地址时,优先使用IPv4地址作为服务器IP地址。
# 设置RADIUS方案radius1的主计费服务器的IP地址为10.110.1.2,使用UDP端口1813提供RADIUS计费服务,计费报文的共享密钥为明文123456TESTacct&!。
[Sysname] radius scheme radius1
[Sysname-radius-radius1] primary accounting 10.110.1.2 1813 key simple 123456TESTacct&!
primary authentication命令用来配置主RADIUS认证服务器。
undo primary authentication命令用来删除设置的主RADIUS认证服务器。
primary authentication { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string ] *
未配置RADIUS主认证服务器。
RADIUS方案视图
host-name:主RADIUS认证服务器的主机名,为1~253个字符的字符串,不区分大小写。
ipv4-address:主RADIUS认证服务器的IPv4地址。
ipv6 ipv6-address:主RADIUS认证服务器的IPv6地址。
port-number:主RADIUS认证服务器的UDP端口号,取值范围为1~65535,缺省为1812。此端口号必须与服务器提供认证服务的端口号保持一致。
key { cipher | simple } string:与主RADIUS认证服务器交互的认证报文的共享密钥。此共享密钥必须与服务器上配置的共享密钥保持一致。
· cipher string:以密文方式设置共享密钥。非FIPS模式下,string为1~117个字符的密文字符串,区分大小写; FIPS模式下,string为15~117个字符的密文字符串,区分大小写。
· simple string:以明文方式设置共享密钥。非FIPS模式下,string为1~64个字符的明文字符串,区分大小写;FIPS模式下,string为15~64个字符的明文字符串,区分大小写,密钥元素的最少组合类型为4(必须包括数字、大写字母、小写字母以及特殊字符)。
在同一个方案中指定的主认证服务器和从认证服务器的主机名、IP地址、端口号参数不能完全相同。
设备与主认证服务器通信时优先使用本命令设置的共享密钥,如果本命令中未设置,则使用key authenticaiton命令设置的共享密钥。
如果在认证过程中使用本命令修改或删除了正在使用的主认证服务器,则设备在与当前服务器通信超时后,将会重新按照优先级顺序开始依次查找状态为active的服务器进行通信。
以明文或密文方式设置的共享密钥,均以密文的方式保存在配置文件中。
当主机名解析出IPv4和IPv6地址时,优先使用IPv4地址作为服务器IP地址。
# 设置RADIUS方案radius1的主认证服务器的IP地址为10.110.1.1,使用UDP端口1812提供RADIUS认证/授权服务,认证报文的共享密钥为明文123456TESTauth&!。
[Sysname] radius scheme radius1
[Sysname-radius-radius1] primary authentication 10.110.1.1 1812 key simple 123456TESTauth&!
radius nas-ip命令用来指定设备发送RADIUS报文使用的源地址。
undo radius nas-ip命令用来删除指定的源地址。
radius nas-ip { ipv4-address | ipv6 ipv6-address }
undo radius nas-ip { ipv4-address | ipv6 ipv6-address }
不指定源地址,即以发送报文的接口的主IP地址作为源地址。
ipv4-address:指定的源IPv4地址,应该为本机的地址,不能为全0地址、全1地址、D类地址、E类地址和环回地址。
ipv6 ipv6-address:指定的源IPv6地址,应该为本机的地址,必须是单播地址,不能为环回地址与本地链路地址。
RADIUS服务器上通过IP地址来标识接入设备,并根据收到的RADIUS报文的源IP地址是否与服务器所管理的接入设备的IP地址匹配,来决定是否处理来自该接入设备的认证或计费请求。指定发送RADIUS报文使用的源地址,可以避免物理接口故障时从服务器返回的报文不可达。
· 系统最多允许指定16个源地址,其中,最多包括一个IPv4公网源地址和一个IPv6公网源地址,其余为IPv4或IPv6私网源地址。新配置的IPv4/IPv6公网源地址会覆盖原有的IPv4/IPv6公网源地址。
· 为保证认证和计费报文可被服务器正常接收并处理,接入设备上发送RADIUS报文使用的源地址必须与RADIUS服务器上指定的接入设备的IP地址保持一致。
· RADIUS方案视图下的命令nas-ip只对本RADIUS方案有效,系统视图下的命令radius nas-ip对所有RADIUS方案有效。RADIUS方案视图下的设置具有更高的优先级。
# 配置设备发送RADIUS报文使用的源地址为129.10.10.1。
[Sysname] radius nas-ip 129.10.10.1
radius scheme命令用来创建RADIUS方案,并进入RADIUS方案视图。
undo radius scheme命令用来删除指定的RADIUS方案。
radius scheme radius-scheme-name
undo radius scheme radius-scheme-name
空配置启动时,使用软件功能缺省值,不存在任何RADIUS方案。
缺省配置启动时,使用软件功能出厂值,存在一个名称为system的RADIUS方案。
关于空配置启动和缺省配置启动,请参见“基础配置指导”中的“配置文件管理”。
radius-scheme-name:RADIUS方案名,为1~32个字符的字符串,不区分大小写。
一个RADIUS方案可以同时被多个ISP域引用。
系统最多支持配置16个RADIUS方案。
# 创建名为radius1的RADIUS方案并进入其视图。
[Sysname] radius scheme radius1
[Sysname-radius-radius1]
radius session-control enable命令用来使能RADIUS session control功能,即打开知名UDP端口1812。
undo radius session-control enable命令恢复缺省情况。
undo radius session-control enable
RADIUS session control功能处于关闭状态,即知名UDP端口1812处于关闭状态。
H3C的IMC RADIUS服务器使用session control报文向设备发送授权信息的动态修改请求以及断开连接请求。使能RADIUS session control功能后,设备会打开知名UDP端口1812来监听并接收RADIUS服务器发送的session control报文。
需要注意的是,该功能仅能和H3C IMC的RADIUS服务器配合使用。
# 使能RADIUS session control功能。
[Sysname] radius session-control enable
reset radius statistics命令用来清除RADIUS协议的统计信息。
# 清除RADIUS协议的统计信息。
<Sysname> reset radius statistics
retry命令用来设置发送RADIUS报文的最大尝试次数,即如果某RADIUS服务器在指定的时间内未响应或未及时响应设备发送的RAIUDS报文,设备尝试向该服务器发送RADIUS报文的最大次数。
undo retry命令用来恢复缺省情况。
发送RADIUS报文的最大尝试次数为3次。
RADIUS方案视图
retry-times:发送RAIUDS报文的最大尝试次数,取值范围为1~20。
由于RADIUS协议采用UDP报文来承载数据,因此其通信过程是不可靠的。如果设备在应答超时定时器规定的时长内(由timer response-timeout命令配置)没有收到RADIUS服务器的响应,则设备有必要向RADIUS服务器重传RADIUS请求报文。如果累计的传送次数已达到最大传送次数而RADIUS服务器仍旧没有响应,则设备将认为本次请求失败。
发送RADIUS报文的最大尝试次数与RADIUS服务器应答超时时间的乘积不能超过300秒。
# 设置在RADIUS方案radius1下,发送RAIUDS报文的最大尝试次数为5次。
[Sysname] radius scheme radius1
[Sysname-radius-radius1] retry 5
retry realtime-accounting命令用来设置允许发起实时计费请求的最大尝试次数。
undo retry realtime-accounting命令用来恢复缺省情况。
retry realtime-accounting retry-times
undo retry realtime-accounting
设备最多允许5次实时计费请求无响应,之后将切断用户连接。
RADIUS方案视图
retry-times:允许发起实时计费请求的最大尝试次数,取值范围为1~255。
RADIUS服务器通常通过连接超时定时器来判断用户是否在线。如果RADIUS服务器在连接超时时间之内一直收不到设备传来的实时计费报文,它会认为线路或设备故障并停止对用户记帐。为了配合RADIUS服务器的这种特性,有必要在不可预见的故障条件下,尽量保持设备端与RADIUS服务器同步切断用户连接。设备提供对实时计费请求连续无响应次数限制的设置,保证设备尽可能得在RADIUS服务器的连接超时时长内向RADIUS服务器尝试发出实时计费请求。如果设备没有收到响应的次数超过了设定的限度,才会切断用户连接。
假设RADIUS服务器的应答超时时长(timer response-timeout命令设置)为3秒,发送RADIUS报文的最大尝试次数(retry命令设置)为3,设备的实时计费间隔(timer realtime-accounting命令设置)为12分钟,设备允许实时计费无响应的最大次数为5次(retry realtime-accounting命令设置),则其含义为:设备每隔12分钟发起一次计费请求,如果3秒钟得不到回应就重新发起一次请求,如果3次发送都没有得到回应就认为该次实时计费失败,然后每隔12分钟再发送一次,5次均失败以后,设备将切断用户连接。
# 设置RADIUS方案radius1最多允许10次实时计费请求无响应。
[Sysname] radius scheme radius1
[Sysname-radius-radius1] retry realtime-accounting 10
secondary accounting命令用来配置从RADIUS计费服务器。
undo secondary accounting命令用来删除指定的从RADIUS计费服务器。
secondary accounting { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string ] *
undo secondary accounting [ { host-name | ipv4-address | ipv6 ipv6-address } [ port-number ] ]
未配置从RADIUS计费服务器
RADIUS方案视图
host-name:从RADIUS计费服务器的主机名,为1~253个字符的字符串,不区分大小写。
ipv4-address:从RADIUS计费服务器的IPv4地址。
ipv6 ipv6-address:从RADIUS计费服务器的IPv6地址。
port-number:从RADIUS计费服务器的UDP端口号,缺省为1813,取值范围为1~65535。此端口号必须与服务器提供计费服务的端口号保持一致。
key { cipher | simple } string:与从RADIUS计费服务器交互的计费报文的共享密钥。此共享密钥必须与服务器上配置的共享密钥保持一致。
· cipher string:以密文方式设置共享密钥。非FIPS模式下,string为1~117个字符的密文字符串,区分大小写;FIPS模式下,string为15~117个字符的密文字符串,区分大小写。
· simple string:以明文方式设置共享密钥。非FIPS模式下,string为1~64个字符的明文字符串,区分大小写;FIPS模式下,string为15~64个字符的明文字符串,区分大小写,密钥元素的最少组合类型为4(必须包括数字、大写字母、小写字母以及特殊字符)。
可通过多次执行本命令,配置多个从RADIUS计费服务器。当主服务器不可达时,设备根据从服务器的配置顺序由先到后查找状态为active的从服务器并与之交互。每个RADIUS方案中最多支持配置16个从RADIUS计费服务器。
· 在同一个方案中指定的主计费服务器和从计费服务器的主机名、IP地址、端口号参数不能完全相同,并且各从计费服务器的主机名、IP地址、端口号参数也不能完全相同。
· 设备与从计费服务器通信时优先使用本命令设置的共享密钥,如果此处未设置,则使用命令key accounting命令设置的共享密钥。
· 如果在发送计费开始请求过程中使用本命令删除了正在使用的从服务器,则设备在与当前服务器通信超时后,将会重新按照优先级顺序开始依次查找状态为active的服务器进行通信。
· 如果在线用户正在使用的计费服务器被删除,则设备将无法发送用户的实时计费请求和停止计费请求,且停止计费报文不会被缓存到本地。
· 以明文或密文方式设置的共享密钥,均以密文的方式保存在配置文件中。
# 设置RADIUS方案radius1的从计费服务器的IP地址为10.110.1.1,使用UDP端口1813提供RADIUS计费服务。
[Sysname] radius scheme radius1
[Sysname-radius-radius1] secondary accounting 10.110.1.1 1813
# 设置RADIUS方案radius2的从计费服务器:IP地址分别为10.110.1.1,10.110.1.2,均使用UDP端口1813提供RADIUS计费服务。
[Sysname] radius scheme radius2
[Sysname-radius-radius2] secondary accounting 10.110.1.1 1813
[Sysname-radius-radius2] secondary accounting 10.110.1.2 1813
secondary authentication命令用来配置从RADIUS认证服务器。
undo secondary authentication命令用来删除指定的从RADIUS认证服务器。
secondary authentication { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string ] *
undo secondary authentication [ { host-name | ipv4-address | ipv6 ipv6-address } [ port-number ] ]
未配置从RADIUS认证服务器。
RADIUS方案视图
host-name:从RADIUS认证服务器的主机名,为1~253个字符的字符串,不区分大小写。
ipv4-address:从RADIUS认证服务器的IPv4地址。
ipv6 ipv6-address:从RADIUS认证服务器的IPv6地址。
port-number:从RADIUS认证服务器的UDP端口号,取值范围为1~65535,缺省为1812。此端口号必须与服务器提供认证服务的端口号保持一致。
key { cipher | simple } string:与从RADIUS认证服务器交互的认证报文的共享密钥。此共享密钥必须与服务器上配置的共享密钥保持一致。
· cipher string:以密文方式设置共享密钥。非FIPS模式下,string为1~117个字符的密文字符串,区分大小写;FIPS模式下,string为15~117个字符的密文字符串,区分大小写。
· simple string:以明文方式设置共享密钥。非FIPS模式下,string为1~64个字符的明文字符串,区分大小写;FIPS模式下,string为15~64个字符的明文字符串,区分大小写,密钥元素的最少组合类型为4(必须包括数字、大写字母、小写字母以及特殊字符)。
可通过多次执行本命令,配置多个从RADIUS认证服务器。当主服务器不可达时,设备根据从服务器的配置顺序由先到后查找状态为active的从服务器并与之交互。每个RADIUS方案中最多支持配置16个从RADIUS认证服务器。
· 在同一个方案中指定的主认证服务器和从认证服务器的主机名、IP地址、端口号参数不能完全相同,并且各从认证服务器的主机名、IP地址、端口号参数也不能完全相同。
· 设备与从认证服务器通信时优先使用本命令设置的共享密钥,如果此处未设置,则使用命令key authentication命令设置的共享密钥。
· 如果在认证过程中使用本命令删除了正在使用的从服务器,则设备在与当前服务器通信超时后,将会重新按照优先级顺序开始依次查找状态为active的服务器进行通信。
· 以明文或密文方式设置的共享密钥,均以密文的方式保存在配置文件中。
# 设置RADIUS方案radius1的从认证服务器的IP地址为10.110.1.2,使用UDP端口1812提供RADIUS认证/授权服务。
[Sysname] radius scheme radius1
[Sysname-radius-radius1] secondary authentication 10.110.1.2 1812
# 设置RADIUS方案radius2的从认证服务器:IP地址分别为10.110.1.1,10.110.1.2,均使用UDP端口1812提供RADIUS认证/授权服务。
[Sysname] radius scheme radius2
[Sysname-radius-radius2] secondary authentication 10.110.1.1 1812
[Sysname-radius-radius2] secondary authentication 10.110.1.2 1812
security-policy-server命令用来指定安全策略服务器。
undo security-policy-server命令用来删除指定的安全策略服务器。
security-policy-server { ipv4-address | ipv6 ipv6-address }
undo security-policy-server { { ipv4-address | ipv6 ipv6-address } | all }
RADIUS方案视图
ipv4-address:安全策略服务器IPv4地址。
ipv6 ipv6-address:安全策略服务器的IPv6地址。
all:所有安全策略服务器。
一个RADIUS方案中最多可以指定8个安全策略服务器。
# 指定RADIUS方案radius1的安全策略服务器IP地址为10.110.1.2。
[Sysname] radius scheme radius1
[Sysname-radius-radius1] security-policy-server 10.110.1.2
snmp-agent trap enable radius命令用来开启RADIUS的Trap功能。
undo snmp-agent trap enable radius命令用来关闭指定的RADIUS Trap功能。
所有类型的RADIUS Trap功能处于开启状态。
accounting-server-down:表示RADIUS计费服务器可达状态变为down时发送告警信息。
accounting-server-up:表示RADIUS计费服务器可达状态变为up时发送告警信息。
authentication-error-threshold:表示认证失败次数超过阈值时发送告警信息。该阈值为认证失败次数占认证请求总数的百分比数值,目前仅能通过MIB方式配置,取值范围为1~100,缺省为30。
authentication-server-down:表示RADIUS认证服务器可达状态变为down时发送告警信息。
authentication-server-up:表示RADIUS认证服务器可达状态变为up时发送告警信息。
不指定可选参数时,表示开启/关闭所有类型的RADIUS Trap开关。
开启RADIUS服务器可达状态改变时的Trap功能后,告警信息的发送包括以下两种情况:
· 当NAS向RADIUS服务器发送计费或认证请求没有收到响应时,会重传请求,当重传次数达到最大传送次数时仍然没有收到响应时,NAS认为该服务器不可达,并发送表示RADIUS服务器不可达的告警信息。
· 当timer quiet定时器设定的时间到达后,NAS将服务器的状态置为激活状态并发送表示RADIUS服务器可达的告警信息。
· 当NAS发现认证失败次数与认证请求总数的百分比超过阈值时,会发送表示认证失败次数超过阈值的告警信息。
开启认证失败次数超过阈值时的Trap功能后,当NAS发现认证失败次数与认证请求总数的百分比超过阈值时,会发送表示认证失败次数超过阈值的告警信息。
# 开启RADIUS计费服务器可达状态变为down时的Trap功能。
[Sysname] snmp-agent trap enable radius accounting-server-down
state primary命令用来设置主RADIUS服务器的状态。
state primary { accounting | authentication } { active | block }
RADIUS方案中配置了IP地址的主RADIUS服务器状态为active。
RADIUS方案视图
accounting:设置主RADIUS计费服务器的状态。
authentication:设置主RADIUS认证服务器的状态。
active:设置主RADIUS服务器的状态为active,即处于正常工作状态。
block:设置主RADIUS服务器的状态为block,即处于通信中断状态。
每次用户发起认证或计费,如果主服务器状态为active,则设备都会首先尝试与主服务器进行通信,如果主服务器不可达,则将主服务器的状态置为block,同时启动主服务器的timer quiet定时器,然后设备会严格按照从服务器的配置先后顺序依次查找状态为active的从服务器。在timer quiet定时器设定的时间到达之后,主服务器状态将由block恢复为active。若该定时器超时之前,通过本命令将主服务器的状态手工设置为block,则定时器超时之后主服务器状态不会自动恢复为active,除非通过本命令手工将其设置为active。
如果主服务器与所有从服务器状态都是block,则认证或计费失败。
# 将RADIUS方案radius1的主认证服务器的状态设置为block。
[Sysname] radius scheme radius1
[Sysname-radius-radius1] state primary authentication block
state secondary命令用来设置从RADIUS服务器的状态。
state secondary { accounting | authentication } [ { host-name | ipv4-address | ipv6 ipv6-address } [ port-number ] ] { active | block }
RADIUS方案中配置了IP地址的各从RADIUS服务器状态为active。
RADIUS方案视图
host-name:从RADIUS服务器的主机名,为1~253个字符的字符串,不区分大小写。
accounting:设置从RADIUS计费服务器的状态。
authentication:设置从RADIUS认证服务器的状态。
ipv4-address:指定从RADIUS服务器的IPv4地址。
ipv6 ipv6-address:指定从RADIUS服务器的IPv6地址。
port-number:指定从RADIUS服务器的UDP端口号,取值范围为1~65535,从RADIUS计费服务器的缺省UDP端口号为1813,从RADIUS认证服务器的缺省UDP端口号为1812。
active:设置从RADIUS服务器的状态为active,即处于正常工作状态。
block:设置从RADIUS服务器的状态为block,即处于通信中断状态。
如果不指定从服务器IP地址,那么本命令将会修改所有已配置的从认证服务器或从计费服务器的状态。
如果设备查找到的状态为active的从服务器不可达,则设备会将该从服务器的状态置为block,同时启动该服务器的timer quiet定时器,并继续查找下一个状态为active的从服务器。在timer quiet定时器设定的时间到达之后,从服务器状态将由block恢复为active。若该定时器超时之前,通过本命令将从服务器的状态手工设置为block,则定时器超时之后从服务器状态不会自动恢复为active,除非通过本命令手工将其设置为active。如果所有已配置的从服务器都不可达,则本次认证或计费失败。
# 将RADIUS方案radius1的从认证服务器的状态设置为block。
[Sysname] radius scheme radius1
[Sysname-radius-radius1] state secondary authentication block
timer quiet命令用来设置服务器恢复激活状态的时间。
undo timer quiet命令用来恢复缺省情况。
RADIUS方案视图
minutes:恢复激活状态的时间,取值范围为1~255,单位为分钟。
建议根据配置的从服务器数量合理设置服务器恢复激活状态的时间。如果服务器恢复激活状态时间设置的过短,就会出现设备反复尝试与状态active但实际不可达的服务器通信而导致的认证或计费频繁失败的问题。
# 设置服务器恢复激活状态的时间为10分钟。
[Sysname] radius scheme radius1
[Sysname-radius-radius1] timer quiet 10
timer realtime-accounting命令用来设置实时计费的时间间隔。
undo timer realtime-accounting命令用来恢复缺省情况。
timer realtime-accounting minutes
undo timer realtime-accounting
实时计费的时间间隔为12分钟。
RADIUS方案视图
minutes:实时计费的时间间隔,取值范围为0~60。
为了对用户实施实时计费,有必要设置实时计费的时间间隔。不同的取值的处理有所不同:
· 若实时计费间隔不为0,则每隔设定的时间,设备会向RADIUS服务器发送一次在线用户的计费信息。
· 若实时计费间隔设置为0,且服务器上配置了实时计费间隔,则设备按照服务器上配置的实时计费间隔向RADIUS服务器发送在线用户的计费信息;如果服务器上没有配置该值,则设备不向RADIUS服务器发送在线用户的计费信息。
实时计费间隔的取值与RADIUS服务器的性能和用户的数目有一定关系。取值小,会增加网络中的数据流量,对设备和RADIUS服务器的性能要求就高;取值大,会影响计费的准确性。因此要结合网络的实际情况合理设置计费间隔。一般情况下,建议当用户量比较大(大于等于1000)时,尽量把该间隔的值设置得大一些。以下是实时计费间隔与用户量之间的推荐比例关系。
1~99 |
|
100~499 |
|
500~999 |
|
# 将RADIUS方案radius1的实时计费的时间间隔设置为51分钟。
[Sysname] radius scheme radius1
[Sysname-radius-radius1] timer realtime-accounting 51
timer response-timeout命令用来设置RADIUS服务器响应超时时间。
undo timer response-timeout命令用来恢复缺省情况。
timer response-timeout seconds
RADIUS服务器响应超时时间为3秒。
RADIUS方案视图
seconds:RADIUS服务器响应超时时间,取值范围为1~10,单位为秒。
如果在RADIUS请求报文传送出去一段时间后,设备还没有得到RADIUS服务器的响应,则有必要重传RADIUS请求报文,以保证用户尽可能地获得RADIUS服务,这段时间被称为RADIUS服务器响应超时时间,本命令用于调整这个时间。
需要注意的是,发送RADIUS报文的最大尝试次数与RADIUS服务器响应超时时间的乘积不能超过300秒。
# 将RADIUS方案radius1的服务器响应超时时间设置为5秒。
[Sysname] radius scheme radius1
[Sysname-radius-radius1] timer response-timeout 5
user-name-format命令用来设置发送给RADIUS服务器的用户名格式。
undo user-name-format命令用来恢复缺省情况。
user-name-format { keep-original | with-domain | without-domain }
空配置启动时,使用软件功能缺省值,设备发送给RADIUS服务器的用户名携带有ISP域名。
缺省配置启动时,使用软件功能出厂值,存在一个名称为system的RADIUS方案,该方案中设备发送给RADIUS服务器的用户名不携带有ISP域名。
关于空配置启动和缺省配置启动,请参见“基础配置指导”中的“配置文件管理”。
RADIUS方案视图
keep-original:发送给RADIUS服务器的用户名与用户的输入保持一致。
with-domain:发送给RADIUS服务器的用户名带ISP域名。
without-domain:发送给RADIUS服务器的用户名不带ISP域名。
接入用户通常以“userid@isp-name”的格式命名,“@”后面的部分为ISP域名,设备就是通过该域名来决定将用户归于哪个ISP域的。但是,有些较早期的RADIUS服务器不能接受携带有ISP域名的用户名,在这种情况下,有必要将用户名中携带的域名去除后再传送给RADIUS服务器。因此,设备提供此命令以指定发送给RADIUS服务器的用户名是否携带有ISP域名。
需要注意的是:如果指定某个RADIUS方案不允许用户名中携带有ISP域名,那么请不要在两个或两个以上的ISP域中同时设置使用该RADIUS方案。否则,会出现虽然实际用户不同(在不同的ISP域中),但RADIUS服务器认为用户相同(因为传送到它的用户名相同)的错误。
# 指定发送给RADIUS方案radius1中RADIUS服务器的用户名不得携带域名。
[Sysname] radius scheme radius1
[Sysname-radius-radius1] user-name-format without-domain
data-flow-format命令用来配置发送到HWTACACS服务器的数据流的单位。
undo data-flow-format命令用来恢复缺省情况。
undo data-flow-format { data | packet }
数据流的单位为byte,数据包的单位为one-packet。
HWTACACS方案视图
data:设置数据流的单位。
· byte:数据流的单位为字节。
· giga-byte:数据流的单位千兆字节。
· kilo-byte:数据流的单位为千字节。
· mega-byte:数据流的单位为兆字节。
packet:设置数据包的单位。
· giga-packet:数据包的单位为千兆包。
· kilo-packet:数据包的单位为千包。
· mega-packet:数据包的单位为兆包。
· one-packet:数据包的单位为包。
设备上配置的发送给HWTACACS服务器的数据流单位及数据包单位应与HWTACACS服务器上的流量统计单位保持一致,否则无法正确计费。
# 在HWTACACS方案radius1中,设置发往HWTACACS服务器的数据流的数据单位为kilo-byte、数据包的单位为kilo-packet。
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] data-flow-format data kilo-byte packet kilo-packet
display hwtacacs scheme命令用来查看HWTACACS方案的配置信息或HWTACACS服务相关的统计信息。
display hwtacacs scheme [ hwtacacs-scheme-name [ statistics ] ]
hwtacacs-scheme-name:显示指定的HWTACACS的配置或统计信息。hwtacacs-scheme-name为HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
statistics:显示HWTACACS服务相关的统计信息。不指定该参数,则显示HWTACACS方案的配置信息。
如果不指定HWTACACS方案名,则显示所有HWTACACS方案的配置信息。
# 查看所有HWTACACS方案的配置情况。
<Sysname> display hwtacacs scheme
Total 2 TACACS schemes
------------------------------------------------------------------
HWTACACS Scheme Name : tac
Index : 0
Primary Auth Server:
Host name: tacacs.com
IP : 82.0.0.37 Port: 49 State: Active
VPN Instance: Not configured
Single-connection: Disabled
Primary Author Server:
Host name: tacacs.com
IP : 82.0.0.37 Port: 49 State: Active
VPN Instance: Not configured
Single-connection: Disabled
Primary Acct Server:
Host name: tacacs.com
IP : 82.0.0.37 Port: 49 State: Active
VPN Instance: Not configured
Single-connection: Disabled
VPN Instance : Not configured
NAS IP Address : Not configured
Server Quiet Period(minutes) : 5
Realtime Accounting Interval(minutes) : 12
Response Timeout Interval(seconds) : 5
Username Format : without-domain
------------------------------------------------------------------
HWTACACS Scheme Name : tac2
Index : 1
Primary Auth Server:
Host name: tacacs.com
IP : 82.0.0.37 Port: 49 State: Active
VPN Instance: Not configured
Single-connection: Disabled
Primary Author Server:
Host name: tacacs.com
IP : 82.0.0.37 Port: 49 State: Active
VPN Instance: Not configured
Single-connection: Disabled
Primary Acct Server:
Host name: tacacs.com
IP : 82.0.0.37 Port: 49 State: Active
VPN Instance: Not configured
Single-connection: Disabled
VPN Instance : Not configured
NAS IP Address : Not configured
Server Quiet Period(minutes) : 5
Realtime Accounting Interval(minutes) : 12
Response Timeout Interval(seconds) : 5
Username Format : without-domain
表1-7 display hwtacacs scheme命令显示信息描述表
共计1个HWTACACS方案 |
|
HWTACACS方案的名称 |
|
HWTACACS方案的索引号 |
|
主HWTACACS认证服务器 |
|
主HWTACACS授权服务器 |
|
主HWTACACS计费服务器 |
|
从HWTACACS认证服务器 |
|
从HWTACACS授权服务器 |
|
从HWTACACS计费服务器 |
|
HWTACACS服务器的主机名 |
|
HWTACACS服务器的IP地址 |
|
HWTACACS服务器的端口号 |
|
· Enabled:使用一条TCP连接与服务器通信 · Disabled:每次新建TCP连接与服务器通信 |
|
HWTACACS服务器目前状态 · Active:激活状态 · Block:静默状态 |
|
HWTACACS服务器所在的VPN |
|
HWTACACS方案所属的VPN名称 |
|
发送HWTACACS报文的源IP地址 |
|
主HWTACACS服务器恢复激活状态的时间(分钟) |
|
实时HWTACACS计费更新报文的发送间隔(分钟) |
|
HWTACACS服务器超时时间(秒) |
|
· with-domain:携带域名 · without-domain:不携带域名 · keep-original:与用户输入保持一致 |
hwtacacs nas-ip命令用来指定设备发送HWTACACS报文使用的源地址。
undo hwtacacs nas-ip命令用来删除指定的源地址。
hwtacacs nas-ip { ipv4-address | ipv6 ipv6-address }
undo hwtacacs nas-ip { ipv4-address | ipv6 ipv6-address }
未指定源地址,即以发送报文的接口的主IP地址作为源地址。
ipv4-address:指定的源IPv4地址,应该为本机的地址,不能为全0地址、全1地址、D类地址、E类地址和环回地址。
ipv6 ipv6-address:指定的源IPv6地址,应该为本机的地址,必须是单播地址,不能为环回地址与本地链路地址。
HWTACACS服务器上通过IP地址来标识接入设备,并根据收到的HWTACACS报文的源IP地址是否与服务器所管理的接入设备的IP地址匹配,来决定是否处理来自该接入设备的认证或计费请求。因此,为保证认证、授权和计费报文可被服务器正常接收并处理,接入设备上发送HWTACACS报文使用的源地址必须与HWTACACS服务器上指定的接入设备的IP地址保持一致。
· 系统最多允许指定16个源地址,其中,最多包括一个IPv4公网源地址和一个IPv6公网源地址,其余为IPv4或IPv6私网源地址。新配置的IPv4/IPv6公网源地址会覆盖原有的IPv4/IPv6公网源地址。
· HWTACACS方案视图下的命令nas-ip只对本HWTACACS方案有效,系统视图下的命令hwtacacs nas-ip对所有HWTACACS方案有效。HWTACACS方案视图下的设置具有更高的优先级。
# 配置设备发送HWTACACS报文使用的源地址为129.10.10.1。
[Sysname] hwtacacs nas-ip 129.10.10.1
hwtacacs scheme命令用来创建HWTACACS方案,并进入HWTACACS方案视图。
undo hwtacacs scheme命令用来删除指定的HWTACACS方案。
hwtacacs scheme hwtacacs-scheme-name
undo hwtacacs scheme hwtacacs-scheme-name
hwtacacs-scheme-name:HWTACACS方案名称,为1~32个字符的字符串,不区分大小写。
一个HWTACACS方案可以同时被多个ISP域引用。
最多可以配置16个HWTACACS方案。
# 创建名为hwt1的HWTACACS方案并进入相应的HWTACACS视图。
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1]
key命令用来配置HWTACACS认证、授权、计费报文的共享密钥。
undo key命令用来删除配置。
key { accounting | authentication | authorization } { cipher | simple } string
undo key { accounting | authentication | authorization }
HWTACACS方案视图
accounting:指定HWTACACS计费报文的共享密钥。
authentication:指定HWTACACS认证报文的共享密钥。
authorization:指定HWTACACS授权报文的共享密钥。
cipher:表示以密文方式设置共享密钥。
simple:表示以明文方式设置共享密钥。
key:设置的明文密钥或密文密钥,区分大小写。非FIPS模式下,明文密钥为1~255个字符的字符串;密文密钥为1~373个字符的字符串;FIPS模式下,明文密钥为15~255个字符的字符串,密钥元素的最少组合类型为4(必须包括数字、大写字母、小写字母以及特殊字符);密文密钥为15~373个字符的字符串。
必须保证设备上设置的共享密钥与HWTACACS服务器上的完全一致。
以明文或密文方式设置的共享密钥,均以密文的方式保存在配置文件中。
# 配置HWTACACS认证报文共享密钥为明文123456TESTauth&!。
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] key authentication simple 123456TESTauth&!
# 配置HWTACACS授权报文共享密钥为明文123456TESTautr&!。
[Sysname-hwtacacs-hwt1] key authorization simple 123456TESTautr&!
# 配置HWTACACS计费报文共享密钥为明文123456TESTacct&!。
[Sysname-hwtacacs-hwt1] key accounting simple 123456TESTacct&!
nas-ip命令用来指定设备发送HWTACACS报文使用的源IP地址。
undo nas-ip命令用来删除指定的源IP地址。
nas-ip { ipv4-address | ipv6 ipv6-address }
undo nas-ip [ ipv6 ]
使用系统视图下由命令hwtacacs nas-ip指定的源地址,若系统视图下未指定源地址,则使用发送HWTACACS报文的接口的主IP地址。
HWTACACS方案视图
ipv4-address:指定的源IPv4地址,应该为本机的地址,不能为全0地址、全1地址、D类地址、E类地址和环回地址。
ipv6 ipv6-address:指定的源IPv6地址,应该为本机的地址,必须是单播地址,不能为环回地址与本地链路地址。
HWTACACS服务器上通过IP地址来标识接入设备,并根据收到的HWTACACS报文的源IP地址是否与服务器所管理的接入设备的IP地址匹配,来决定是否处理来自该接入设备的认证、授权、计费请求。
· 为保证认证和计费报文可被服务器正常接收并处理,接入设备上发送HWTACACS报文使用的源地址必须与HWTACACS服务器上指定的接入设备的IP地址保持一致。
· HWTACACS方案视图下的命令nas-ip只对本HWTACACS方案有效,系统视图下的命令hwtacacs nas-ip对所有HWTACACS方案有效。HWTACACS方案视图下的设置具有更高的优先级。
· 如果重复执行此命令,新配置的IPv4/IPv6源地址会覆盖原有的IPv4/IPv6源地址。
# 为HWTACACS方案hwt1配置设备发送HWTACACS报文使用的源IP地址为10.1.1.1。
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] nas-ip 10.1.1.1
primary accounting命令用来配置主HWTACACS计费服务器。
undo primary accounting命令用来删除配置的主HWTACACS计费服务器。
primary accounting { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | single-connection ] *
未配置HWTACACS主计费服务器。
HWTACACS方案视图
host-name:主HWTACACS计费服务器的主机名,为1~253个字符的字符串,不区分大小写。
ipv4-address:主HWTACACS计费服务器的IPv4地址。
ipv6 ipv6-address:主HWTACACS计费服务器的IPv6地址。
port-number:主HWTACACS计费服务器的TCP端口号,取值范围为1~65535,缺省值为49。此端口号必须与服务器提供计费服务的端口号保持一致。
key { cipher | simple } string:与主HWTACACS计费服务器交互的计费报文的共享密钥。此共享密钥必须与服务器上配置的共享密钥保持一致。
· cipher string:以密文方式设置共享密钥。非FIPS模式下,string为1~373个字符的密文字符串,区分大小写;FIPS模式下,string为15~373个字符的密文字符串,区分大小写。
· simple string:以明文方式设置共享密钥。非FIPS模式下,string为1~255个字符的明文字符串,区分大小写;FIPS模式下,string为15~255个字符的明文字符串,区分大小写,密钥元素的最少组合类型为4(必须包括数字、大写字母、小写字母以及特殊字符)。
single-connection:所有与主HWTACACS计费服务器交互的计费报文使用同一个TCP连接。如果未指定本参数,则表示每次计费都会使用一个新的TCP连接。
在同一个方案中指定的主计费服务器和从计费服务器的主机名、IP地址、端口号参数不能完全相同。
只有在设备与计费服务器没有报文交互时,才允许删除该服务器。计费服务器删除后,只对之后的计费过程有影响。
以明文或密文方式设置的共享密钥,均以密文的方式保存在配置文件中。
配置single-connection参数后可节省TCP连接资源,但有些TACACS服务器不支持这种方式,需要根据服务器支持情况进行配置。在服务器支持这种方式的情况下,建议配置single-connection参数,以提高性能和效率。
当主机名解析出IPv4和IPv6地址时,优先使用IPv4地址作为服务器IP地址。
# 配置主HWTACACS计费服务器的IP地址为10.163.155.12,使用TCP端口49与HWTACACS计费服务器通信,计费报文的共享密钥为明文123456TESTacct&!。
[Sysname] hwtacacs scheme test1
[Sysname-hwtacacs-test1] primary accounting 10.163.155.12 49 key simple 123456TESTacct&!
primary authentication命令用来配置主HWTACACS认证服务器。
undo primary authentication命令用来删除配置的主HWTACACS认证服务器
primary authentication { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | single-connection ] *
未配置主HWTACACS认证服务器。
HWTACACS方案视图
host-name:主HWTACACS认证服务器的主机名,为1~253个字符的字符串,不区分大小写。
ipv4-address:主HWTACACS认证服务器的IPv4地址。
ipv6 ipv6-address:主HWTACACS认证服务器的IPv6地址。
port-number:主HWTACACS认证服务器的TCP端口号,取值范围为1~65535,缺省值为49。此端口号必须与服务器提供认证服务的端口号保持一致。
key { cipher | simple } string:与主HWTACACS认证服务器交互的认证报文的共享密钥。此共享密钥必须与服务器上配置的共享密钥保持一致。
· cipher string:以密文方式设置共享密钥。非FIPS模式下,string为1~373个字符的密文字符串,区分大小写;FIPS模式下,string为15~373个字符的密文字符串,区分大小写。
· simple string:以明文方式设置共享密钥。非FIPS模式下,string为1~255个字符的明文字符串,区分大小写;FIPS模式下,string为15~255个字符的明文字符串,区分大小写,密钥元素的最少组合类型为4(必须包括数字、大写字母、小写字母以及特殊字符)。
single-connection:所有与主HWTACACS认证服务器交互的计费报文使用同一个TCP连接。如果未指定本参数,则表示向主HWTACACS计费服务器发送计费报文都会使用一个新的TCP连接。
在同一个方案中指定的主认证服务器和从认证服务器的主机名、IP地址、端口号参数不能完全相同。
只有在设备与认证服务器没有报文交互时,才允许删除该服务器。认证服务器删除后,只对之后的认证过程有影响。
以明文或密文方式设置的共享密钥,均以密文的方式保存在配置文件中。
配置single-connection参数后可节省TCP连接资源,但有些TACACS服务器不支持这种方式,需要根据服务器支持情况进行配置。在服务器支持这种方式的情况下,建议配置single-connection参数,以提高性能和效率。
当主机名解析出IPv4和IPv6地址时,优先使用IPv4地址作为服务器IP地址。
# 配置主HWTACACS认证服务器的IP地址为10.163.155.13,使用TCP端口49与HWTACACS认证服务器通信,认证报文的共享密钥为明文123456TESTauth&!。
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] primary authentication 10.163.155.13 49 key simple 123456TESTauth&!
primary authorization命令用来配置主HWTACACS授权服务器。
undo primary authorization命令用来删除配置的主HWTACACS授权服务器。
primary authorization { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | single-connection ] *
未配置主HWTACACS授权服务器。
HWTACACS方案视图
host-name:主HWTACACS授权服务器的主机名,为1~253个字符的字符串,不区分大小写。
ipv4-address:主HWTACACS授权服务器的IPv4地址。
ipv6 ipv6-address:主HWTACACS授权服务器的IPv6地址。
port-number:主HWTACACS授权服务器的TCP端口号,取值范围为1~65535,缺省值为49。此端口号必须与服务器提供授权服务的端口号保持一致。
key { cipher | simple } string:与主HWTACACS授权服务器交互的授权报文的共享密钥。此共享密钥必须与服务器上配置的共享密钥保持一致。
· cipher string:以密文方式设置共享密钥。非FIPS模式下,string为1~373个字符的密文字符串,区分大小写;FIPS模式下,string为15~373个字符的密文字符串,区分大小写。
· simple string:以明文方式设置共享密钥。非FIPS模式下,string为1~255个字符的明文字符串,区分大小写; FIPS模式下,string为15~255个字符的明文字符串,区分大小写,密钥元素的最少组合类型为4(必须包括数字、大写字母、小写字母以及特殊字符)。
single-connection:所有与主HWTACACS授权服务器交互的授权报文使用同一个TCP连接。如果未指定本参数,则表示每次授权都会使用一个新的TCP连接。
在同一个方案中指定的主授权服务器和从授权服务器的主机名、IP地址、端口号参数不能完全相同。
只有在设备与授权服务器没有报文交互时,才允许删除该服务器。授权服务器删除后,只对之后的授权过程有影响。
以明文或密文方式设置的共享密钥,均以密文的方式保存在配置文件中。
配置single-connection参数后可节省TCP连接资源,但有些TACACS服务器不支持这种方式,需要根据服务器支持情况进行配置。在服务器支持这种方式的情况下,建议配置single-connection参数,以提高性能和效率。
当主机名解析出IPv4和IPv6地址时,优先使用IPv4地址作为服务器IP地址。
# 配置主HWTACACS授权服务器的IP地址为10.163.155.13,使用TCP端口49与HWTACACS授权服务器通信,授权报文的共享密钥为明文123456TESTautr&!。
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] primary authorization 10.163.155.13 49 key simple 123456TESTautr&!
reset hwtacacs statistics命令用来清除HWTACACS协议的统计信息。
reset hwtacacs statistics { accounting | all | authentication | authorization }
accounting:清除HWTACACS协议关于计费的统计信息。
all:清除HWTACACS的所有统计信息。
authentication:清除HWTACACS协议关于认证的统计信息。
authorization:清除HWTACACS协议关于授权的统计信息。
# 清除HWTACACS协议的所有统计信息。
<Sysname> reset hwtacacs statistics all
secondary accounting命令用来配置从HWTACACS计费服务器。
undo secondary accounting命令用来删除指定的从HWTACACS计费服务器。
secondary accounting { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | single-connection ] *
undo secondary accounting [ { host-name | ipv4-address | ipv6 ipv6-address } [ port-number ] ]
未配置从HWTACACS计费服务器。
HWTACACS方案视图
host-name:从HWTACACS计费服务器的主机名,为1~253个字符的字符串,不区分大小写。
ipv4-address:从HWTACACS计费服务器的IPv4地址。
ipv6 ipv6-address:从HWTACACS计费服务器的IPv6地址
port-number:从HWTACACS计费服务器的端口号,取值范围为1~65535,缺省值为49。此端口号必须与服务器提供计费服务的端口号保持一致。
key { cipher | simple } string:与从HWTACACS计费服务器交互的计费报文的共享密钥。此共享密钥必须与服务器上配置的共享密钥保持一致。
· cipher string:以密文方式设置共享密钥。非FIPS模式下,string为1~373个字符的密文字符串,区分大小写;FIPS模式下,string为15~373个字符的密文字符串,区分大小写。
· simple string:以明文方式设置共享密钥。非FIPS模式下,string为1~255个字符的明文字符串,区分大小写;FIPS模式下,string为15~255个字符的明文字符串,区分大小写,密钥元素的最少组合类型为4(必须包括数字、大写字母、小写字母以及特殊字符)。
single-connection:所有与从HWTACACS计费服务器交互的计费报文使用同一个TCP连接。如果未指定本参数,则表示每次计费都会使用一个新的TCP连接。
可通过多次执行本命令,配置多个从HWTACACS计费服务器。当主服务器不可达时,设备根据从服务器的配置顺序由先到后查找状态为active的从服务器并与之交互。每个HWTACACS方案中最多支持配置16个从HWTACACS计费服务器。
· 如果不指定任何参数,则undo命令将删除所有从计费服务器。
· 在同一个方案中指定的主计费服务器和从计费服务器的主机名、IP地址、端口号参数不能完全相同,并且各从计费服务器的主机名、IP地址、端口号参数也不能完全相同。
· 只有在设备与计费服务器没有报文交互时,才允许删除该服务器。计费服务器删除后,只对之后的计费过程有影响。
· 以明文或密文方式设置的共享密钥,均以密文的方式保存在配置文件中。
· 配置single-connection参数后可节省TCP连接资源,但有些TACACS服务器不支持这种方式,需要根据服务器支持情况进行配置。在服务器支持这种方式的情况下,建议配置single-connection参数,以提高性能和效率。
# 配置从HWTACACS计费服务器的IP地址为10.163.155.12,使用TCP端口49与HWTACACS计费服务器通信,计费报文的共享密钥为明文123456TESTacct&!。
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] secondary accounting 10.163.155.12 49 key simple 123456TESTacct&!
secondary authentication命令用来配置从HWTACACS认证服务器。
undo secondary authentication命令用来删除指定的从HWTACACS认证服务器。
secondary authentication { host-name | ipv4-address | ipv6 ipv6-address } [ port-number I key { cipher | simple } string | single-connection ] *
undo secondary authentication [ { host-name | ipv4-address | ipv6 ipv6-address } [ port-number ] ]
未配置从HWTACACS认证服务器。
HWTACACS方案视图
host-name:从HWTACACS认证服务器的主机名,为1~253个字符的字符串,不区分大小写。
ipv4-address:从HWTACACS认证服务器的IPv4地址。
ipv6 ipv6-address:从HWTACACS认证服务器的IPv6地址。
port-number:从HWTACACS认证服务器的TCP端口号,取值范围为1~65535,缺省值为49。此端口号必须与服务器提供认证服务的端口号保持一致。
key { cipher | simple } string:与从HWTACACS认证服务器交互的认证报文的共享密钥。此共享密钥必须与服务器上配置的共享密钥保持一致。
· cipher string:以密文方式设置共享密钥。非FIPS模式下,string为1~373个字符的密文字符串,区分大小写;FIPS模式下,string为15~373个字符的密文字符串,区分大小写。
· simple string:以明文方式设置共享密钥。非FIPS模式下,string为1~255个字符的明文字符串,区分大小写;FIPS模式下,string为15~255个字符的明文字符串,区分大小写,密钥元素的最少组合类型为4(必须包括数字、大写字母、小写字母以及特殊字符)。
single-connection:所有与从HWTACACS认证服务器交互的认证报文使用同一个TCP连接。如果未指定本参数,则表示每次认证都会使用一个新的TCP连接。
可通过多次执行本命令,配置多个从HWTACACS认证服务器。当主服务器不可达时,设备根据从服务器的配置顺序由先到后查找状态为active的从服务器并与之交互。每个HWTACACS方案中最多支持配置16个从HWTACACS认证服务器。
· 如果不指定任何参数,则undo命令命令将删除所有从认证服务器。
· 在同一个方案中指定的主认证服务器和从认证服务器的主机名、IP地址、端口号参数不能完全相同,并且各从认证服务器的主机名、IP地址、端口号参数也不能完全相同。
· 只有在设备与认证服务器没有报文交互时,才允许删除该服务器。认证服务器删除后,只对之后的认证过程有影响。
· 以明文或密文方式设置的共享密钥,均以密文的方式保存在配置文件中。
· 配置single-connection参数后可节省TCP连接资源,但有些TACACS服务器不支持这种方式,需要根据服务器支持情况进行配置。在服务器支持这种方式的情况下,建议配置single-connection参数,以提高性能和效率。
# 配置从HWTACACS认证服务器的IP地址为10.163.155.13,使用TCP端口49与HWTACACS认证服务器通信,认证报文的共享密钥为明文123456TESTauth&!。
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] secondary authentication 10.163.155.13 49 key simple 123456TESTauth&!
secondary authorization命令用来配置从HWTACACS授权服务器。
undo secondary authorization命令用来删除指定的从HWTACACS授权服务器。
secondary authorization { host-name | ipv4-address | ipv6 ipv6-address } [ port-number I key { cipher | simple } string | single-connection ] *
undo secondary authorization [ { host-name | ipv4-address | ipv6 ipv6-address } [ port-number ] ]
未配置从HWTACACS授权服务器。
HWTACACS方案视图
host-name:从HWTACACS授权服务器的主机名,为1~253个字符的字符串,不区分大小写。
ipv4-address:从HWTACACS授权服务器的IPv4地址。
ipv6 ipv6-address:从HWTACACS授权服务器的IPv6地址。
port-number:从HWTACACS授权服务器的TCP端口号,取值范围为1~65535,缺省为49。此端口号必须与服务器提供授权服务的端口号保持一致。
key { cipher | simple } string:与从HWTACACS授权服务器交互的授权报文的共享密钥。此共享密钥必须与服务器上配置的共享密钥保持一致。
· cipher string:以密文方式设置共享密钥。非FIPS模式下,为1~373个字符的密文字符串,区分大小写; FIPS模式下,string为15~373个字符的密文字符串,区分大小写。
· simple string:以明文方式设置共享密钥。非FIPS模式下,为1~255个字符的明文字符串,区分大小写, FIPS模式下,string为15~255个字符的明文字符串,区分大小写,密钥元素的最少组合类型为4(必须包括数字、大写字母、小写字母以及特殊字符)。
single-connection:所有与从HWTACACS授权服务器交互的授权报文使用同一个TCP连接。如果未指定本参数,则表示每次授权都会使用一个新的TCP连接。
可通过多次执行本命令,配置多个从HWTACACS授权服务器。当主服务器不可达时,设备根据从服务器的配置顺序由先到后查找状态为active的从服务器并与之交互。每个HWTACACS方案中最多支持配置16个从HWTACACS授权服务器。
· 如果不指定任何参数,则undo命令将删除所有从授权服务器。
· 在同一个方案中指定的主授权服务器和从授权服务器的主机名、IP地址、端口号参数不能完全相同,并且各从授权服务器的主机名、IP地址、端口号参数也不能完全相同。
· 只有在设备与授权服务器没有报文交互时,才允许删除该服务器。授权服务器删除后,只对之后的授权过程有影响。
· 以明文或密文方式设置的共享密钥,均以密文的方式保存在配置文件中。
· 配置single-connection参数后可节省TCP连接资源,但有些TACACS服务器不支持这种方式,需要根据服务器支持情况进行配置。在服务器支持这种方式的情况下,建议配置single-connection参数,以提高性能和效率。
# 配置从HWTACACS授权服务器的IP地址为10.163.155.13,使用TCP端口49与HWTACACS授权服务器通信,授权报文的共享密钥为明文123456TESTautr&!。
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] secondary authorization 10.163.155.13 49 key simple 123456TESTautr&!
timer quiet命令用来设置服务器恢复激活状态的时间。
undo timer quiet命令用来恢复缺省情况。
HWTACACS方案视图
minutes:恢复激活状态的时间,取值范围为1~255,单位为分钟。
# 设置服务器恢复激活状态的时间为10分钟。
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] timer quiet 10
timer realtime-accounting命令用来设置实时计费的时间间隔。
undo timer realtime-accounting命令用来恢复缺省情况。
timer realtime-accounting minutes
undo timer realtime-accounting
实时计费的时间间隔为12分钟。
HWTACACS方案视图
minutes:实时计费的时间间隔,取值范围为0~60,单位为分钟。0表示设备不向HWTACACS服务器发送在线用户的计费信息。
为了对用户实施实时计费,有必要设置实时计费的时间间隔。在设置了该属性以后,每隔设定的时间,设备会向HWTACACS服务器发送一次在线用户的计费信息。
实时计费间隔的取值与HWTACACS服务器的性能和用户的数目有一定的关系。取值越小,对设备和HWTACACS服务器的性能要求越高。建议当用户量比较大(大于等于1000)时,尽量把该间隔的值设置得大一些。以下是实时计费间隔与用户量之间的推荐比例关系。
1~99 |
|
100~499 |
|
500~999 |
|
# 将HWTACACS方案hwt1的实时计费的时间间隔设置为51分钟。
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] timer realtime-accounting 51
timer response-timeout命令用来设置HWTACACS服务器响应超时时间。
undo timer response-timeout命令用来恢复缺省情况。
timer response-timeout seconds
HWTACACS服务器响应超时时间为5秒。
HWTACACS方案视图
seconds:HWTACACS服务器响应超时时间,取值范围为1~300,单位为秒。
由于HWTACACS是基于TCP实现的,因此,服务器响应超时或TCP超时都可能导致与HWTACACS服务器的连接断开。
# 配置HWTACACS服务器响应超时时间为30秒。
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] timer response-timeout 30
user-name-format命令用来设置发送给HWTACACS服务器的用户名格式。
undo user-name-format命令用来恢复缺省情况。
user-name-format { keep-original | with-domain | without-domain }
设备发送给HWTACACS服务器的用户名携带有ISP域名。
HWTACACS方案视图
keep-original:发送给HWTACACS服务器的用户名与用户输入的保持一致。
with-domain:发送给HWTACACS服务器的用户名带ISP域名。
without-domain:发送给HWTACACS服务器的用户名不带ISP域名。
接入用户通常以“userid@isp-name”的格式命名,“@”后面的部分为ISP域名,设备就是通过该域名来决定将用户归于哪个ISP域的。但是,有些HWTACACS服务器不能接受携带有ISP域名的用户名,在这种情况下,有必要将用户名中携带的域名去除后再传送给HWTACACS服务器。因此,设备提供此命令以指定发送给HWTACACS服务器的用户名是否携带有ISP域名。
需要注意的是:如果指定某个HWTACACS方案不允许用户名中携带有ISP域名,那么请不要在两个乃至两个以上的ISP域中同时设置使用该HWTACACS方案。否则,会出现虽然实际用户不同(在不同的ISP域中),但HWTACACS服务器认为用户相同(因为传送到它的用户名相同)的错误。
# 指定发送给HWTACACS方案hwt1的用户不带ISP域名。
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] user-name-format without-domain
authentication-server命令用来指定LDAP认证服务器。
undo authentication-server命令用来删除指定的LDAP认证服务器。
authentication-server server-name
undo authentication-server server-name
未指定LDAP认证服务器。
LDAP方案视图
server-name:LDAP服务器的名称,为1~64个字符的字符串,不区分大小写。该服务器必须已经存在。
一个LDAP方案视图下仅能指定一个LDAP认证服务器,如果重复执行此命令,新的配置将覆盖原来的配置。
# 指定LDAP认证服务器为ccc。
[Sysname] ldap scheme ldap1
[Sysname-ldap-ldap1] authentication-server ccc
display ldap scheme命令用来查看LDAP方案的配置信息。
display ldap scheme [ scheme-name ]
scheme-name:指定LDAP方案名,为1~32个字符的字符串,不区分大小写。
如果不指定LDAP方案名,则显示所有LDAP方案的配置信息。
# 查看所有LDAP方案的配置信息。
Total 1 LDAP schemes
------------------------------------------------------------------
LDAP Scheme Name : ldap-sch
Authentication Server : cc
IP : 2.2.2.2
Port : 389
VPN Instance : Not configured
LDAP Protocol Version : LDAPv2
Server Timeout Interval : 10 (seconds)
Login Account DN : lda
Base DN : ll
Search Scope : single-level
User Searching Parameters:
User Object Class : Not configured
Username Attribute : cn
Username Format : with-domain
------------------------------------------------------------------
表1-9 display ldap scheme命令显示信息描述表
总共有1个LDAP方案 |
|
LDAP方案名称 |
|
LDAP认证服务器名称 未配置时,显示为Not configured |
|
LDAP认证服务器的IP地址 未配置认证服务器IP时,IP地址显示为Not configured |
|
LDAP认证服务器的端口号 未配置认证服务器IP时,端口号显示为缺省值 |
|
VPN实例名称 未配置时,显示为Not configured |
|
LDAP协议的版本号(LDAPv2、LDAPv3) |
|
LDAP服务器连接超时时间(单位为秒) |
|
管理员用户的DN |
|
用户DN查询的起始DN |
|
用户DN查询的范围(all-level:所有子目录查询,single-level:下级目录查询) |
|
查询用户DN时使用的用户对象类型 未配置时,显示为Not configured |
|
ip命令用来配置LDAP服务器的IP地址。
undo ip命令用来删除配置的LDAP服务器IP地址。
ip ip-address [ port port-number ]
未配置LDAP服务器的IP地址。
LDAP服务器视图
ip-address:LDAP服务器的IP地址。
· 需保证设备上的LDAP服务端口与LDAP服务器上使用的端口设置一致。
· 更改后的服务器IP地址和端口号,只对更改之后进行的LDAP认证生效。
# 配置LDAP服务器的IP地址为192.168.0.10,端口号为4300。
[Sysname] ldap server ccc
[Sysname-ldap-server-ccc] ip 192.168.0.10 port 4300
ipv6命令用来配置LDAP服务器的IPv6地址。
undo ipv6命令用来删除配置的LDAP服务器IPv6地址。
ipv6 ipv6-address [ port port-number ]
未配置LDAP服务器的IP地址。
LDAP服务器视图
ipv6-address:LDAP服务器的IPv6地址。
port port-number:LDAP服务器所使用的TCP端口号,取值范围为1~65535,缺省值为389。
需保证设备上的LDAP服务端口与LDAP服务器上使用的端口设置一致。
更改后的服务器IP地址和端口号,只对更改之后的LDAP认证生效。
# 配置LDAP服务器的IPv6地址为1:2::3:4,端口号为4300。
[Sysname] ldap server ccc
[Sysname-ldap-server-ccc] ipv6 1:2::3:4 port 4300
ldap scheme命令用来创建LDAP方案,并进入LDAP方案视图。
undo ldap scheme命令用来删除指定的LDAP方案。
ldap scheme ldap-scheme-name
undo ldap scheme ldap-scheme-name
未定义LDAP方案。
ldap-scheme-name:LDAP方案名,为1~32个字符的字符串,不区分大小写。
一个LDAP方案可以同时被多个ISP域引用。
系统最多支持配置16个LDAP方案。
# 创建名为ldap1的LDAP方案并进入其视图。
[Sysname] ldap scheme ldap1
[Sysname-ldap-ldap1]
ldap server用来创建LDAP服务器并进入LDAP服务器视图。
undo ldap server命令用来删除配置的LDAP服务器。
不存在LDAP服务器。
server-name:LDAP服务器的名称,为1~64个字符的字符串,不区分大小写。
# 创建LDAP服务器ccc并进入其视图。
[Sysname] ldap server ccc
[Sysname-ldap-server-ccc]
login-dn命令用来配置具有管理员权限的用户DN。
undo login-dn命令用来删除已配置的具有管理员权限的用户DN。
LDAP服务器视图
dn-string:具有管理员权限的用户DN,是绑定服务器时使用的用户标识名,为1~255个字符的字符串,不区分大小写。
· 设备上的管理员DN必须与服务器上管理员的DN一致。
· 更改后的管理员DN,只对更改之后的LDAP认证生效。
# 配置管理员权限的用户DN为uid=test, ou=people, o=example, c=city。
[Sysname] ldap server ldap1
[Sysname-ldap-server-ldap1] login-dn uid=test,ou=people,o=example,c=city
login-password命令用来配置LDAP认证中,绑定服务器时所使用的具有管理员权限的用户密码。
undo login-password命令用来恢复缺省情况。
login-password { cipher | simple } password
LDAP服务器视图
cipher:表示以密文方式设置用户密码。
simple:表示以明文方式设置用户密码。
string:设置的明文密码或密文密码,区分大小写。明文密码为1~128个字符的字符串;密文密码为1~201个字符的字符串。
该命令只有在配置了login-dn的情况下生效。当未配置login-dn时,该命令不生效。
以明文或密文方式设置的用户密码,均以密文的方式保存在配置文件中。
# 配置具有管理员权限的用户密码为明文abcdefg。
[Sysname] ldap server ccc
[Sysname-ldap-server-ccc] login-password simple abcdefg
protocol-version命令用来配置LDAP认证中所支持的LDAP协议的版本号。
undo protocol-version命令用来恢复缺省情况。
protocol-version { v2 | v3 }
LDAP版本号为LDAPv3。
LDAP服务器视图
v2:表示LDAP协议版本号为LDAPv2。
v3:表示LDAP协议版本号为LDAPv3。
为保证LDAP认证成功,请保证设备上的LDAP版本号与LDAP服务器上使用的版本号一致。
Microsoft的LDAP服务器只支持LDAPv3,配置LDAP版本为v2时无效。
# 配置LDAP协议版本号为LDAPv2。
[Sysname] ldap server ccc
[Sysname-ldap-server-ccc] protocol-version v2
search-base-dn命令用来配置用户查询的起始DN。
undo search-base-dn命令用来恢复缺省情况。
LDAP服务器视图
base-dn:表示查询待认证用户的起始DN。base-dn表示起始DN的值,为1~255个字符的字符串,不区分大小写。
# 配置用户查询的起始DN为dc=ldap,dc=com。
[Sysname] ldap server ccc
[Sysname-ldap-server-ccc] search-base-dn dc=ldap,dc=com
search-scope命令用来配置用户查询的范围。
undo search-scope命令用来恢复缺省情况。
search-scope { all-level | single-level }
LDAP服务器视图
all-level:表示在起始DN的所有子目录下进行查询。
single-level:表示只在起始DN的下一级子目录下进行查询。
# 配置在起始DN的所有子目录下查询LDAP认证用户。
[Sysname] ldap server ccc
[Sysname-ldap-server-ccc] search-scope all-level
server-timeout命令用来配置LDAP服务器连接超时时间,即认证、授权时等待LDAP服务器回应的最大时间。
undo server-timeout命令用来恢复缺省情况。
LDAP服务器连接超时时间为10秒。
LDAP服务器视图
time-interval:LDAP服务器连接超时时间,取值范围为5~20,单位为秒。
# 配置LDAP服务器连接超时时间为15秒。
[Sysname] ldap server ccc
[Sysname-ldap-server-ccc] server-timeout 15
user-parameters命令用来配置LDAP用户查询的属性参数,包括用户名属性、用户名格式和自定义用户对象类型。
undo user-parameters命令用来恢复缺省情况。
undo user-parameters { user-name-attribute | user-name-format | user-object-class }
user-name-attribute为cn;user-name-format为without-domain;未指定自定义user-object-class,根据使用的LDAP服务器的类型使用各服务器缺省的用户对象类型。
LDAP服务器视图
user-name-attribute { name-attribute | cn | uid }:表示用户名的属性类型。其中,name-attribute表示属性类型值,为1~64个字符的字符串,不区分大小写;cn表示用户登录帐号的属性为cn(Common Name);uid表示用户登录帐号的属性为uid(User ID)。
user-name-format { with-domain | without-domain }:表示发送给服务器的用户名格式。其中,with-domain表示发送给服务器的用户名带ISP域名;without-domain表示发送给服务器的用户名不带ISP域名。
user-object-class object-class-name:表示查询用户DN时使用的用户对象类型。其中,object-class-name表示对象类型值,为1~64个字符的字符串,不区分大小写。
如果LDAP服务器上的用户名不包含域名,必须配置user-name-format为without-domain,将用户名的域名去除后再传送给LDAP服务器;如果包含域名则需配置user-name-format为with-domain。
# 配置用户对象类型为person。
[Sysname] ldap server ccc
[Sysname-ldap-server-ccc] user-parameters user-object-class person
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!