相关配置可参考命令authentication default、accounting default和radius scheme。 【举例】
# 在系统缺省的ISP域system下,为所有类型的用户配置授权方案为local。
[Sysname-isp-system] authorization default local
# 在ISP域test下,为所有类型的用户配置方案名为rd的RADIUS授权方案,并且local作为备份授权方案。
[Sysname-isp-test] authorization default radius-scheme rd local
1.1.11 authorization login
【命令】
authorization login { local | none | radius-scheme radius-scheme-name [ local ] }
undo authorization login 【视图】
ISP域视图 【缺省级别】
2:系统级 【参数】
local:本地授权。
none:直接授权,即对用户非常信任,直接授权通过,此时用户的权限为系统的默认权限。
radius-scheme radius-scheme-name:指定
RADIUS
方案。其中,
radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串。 【描述】
authorization login命令用来为login用户配置授权方案。undo authorization login命令用来恢复缺省情况。
缺省情况下,login用户采用缺省的授权方案。 需要注意的是:
? ?
当前ISP域所引用的RADIUS方案必须是已配置的。
RADIUS授权是特殊的流程,只是在认证和授权的RADIUS方案相同的条件
下,RADIUS授权起作用,否则授权失败。
相关配置可参考命令authorization default和radius scheme。
【举例】
# 在系统缺省的ISP域system下,为login用户配置授权方案为local。
[Sysname-isp-system] authorization login local
# 在ISP域test下,为login用户配置方案名为rd的RADIUS授权方案,并且local作为备份授权方案。
[Sysname-isp-test] authorization login radius-scheme rd local
1.1.12 authorization-attribute
【命令】
authorization-attribute { acl acl-number | callback-number callback-number | idle-cut minute | level level | user-profile profile-name | vlan vlan-id | work-directory directory-name } *
undo authorization-attribute { acl | callback-number | idle-cut | level | user-profile | vlan | work-directory } * 【视图】
本地用户视图/用户组视图 【缺省级别】
3:管理级 【参数】
acl acl-number:指定本地用户的授权ACL。其中,acl-number为授权ACL的编号,取值范围为2000~5999。
callback-number callback-number:指定本地用户的授权PPP回呼号码。其中,callback-number为1~64个字符的字符串,区分大小写。
idle-cut minute:启用本地用户的闲置切断功能。其中,minute为设定的闲置切断时间,取值范围为1~120,单位为分钟。如果用户在线后连续闲置的时长超过该值,设备会强制该用户下线。
level level:指定本地用户的级别,取值范围为0~3。其中0为访问级、1为监控级、2为系统级、3为管理级,数值越小,用户的级别越低。缺省值为0。
user-profile profile-name:指定本地用户的授权User Profile。其中,profile-name表示用户配置文件的名称,为1~32个字符的字符串,只能包含英文字母、数字、下划线,且必须以英文字母开始,区分大小写。
vlan vlan-id:指定本地用户的授权VLAN。其中,vlan-id为VLAN编号,取值范围为1~4094。
work-directory directory-name:授权FTP/SFTP用户可以访问的目录。其中,directory-name表示FTP/SFTP用户可以访问的目录,为1~135个字符的字符串,不区分大小写,且该目录必须已经存在。 【描述】
authorization-attribute命令用来设置本地用户或用户组的授权属性,该属性在本地用户认证通过之后,由设备下发给用户。undo authorization-attribute命令用来删除配置的授权属性。
缺省情况下,未设置任何授权属性。 需要注意的是:
?
可配置的授权属性都有其明确的使用环境和用途,而且本地用户授权属性的下
发并不区分用户的服务类型,即会对所有类型的接入用户都下发已配置的授权属性,因此配置下发的授权属性时要考虑该类型的用户是否需要某些属性。例如,PPP接入用户不需要下发授权目录,因此就不要设置PPP用户的work-directory属性。
? ? ?
用户组的授权属性对于组内的所有本地用户生效。
若本地用户与所属的用户组都配置了授权属性,则本地用户的配置生效。 如果配置登录用户界面的验证方式(authentication-mode)为不认证(none)
或采用密码认证(password),则用户登录到系统后所能访问的命令级别由用户界面的级别确定。关于配置登录用户界面的验证方式的具体内容请参见“系统分册/用户界面命令”中的命令authentication-mode;如果配置的认证方式需要用户名和口令,则用户登录系统后所能访问的命令级别由用户的级别确定。对于SSH用户,使用RSA公钥认证时,其所能使用的命令以用户界面上设置的级别为准。
?
如果通过文件系统命令删除指定的FTP/SFTP用户可以访问的目录,则如果在当前指定的FTP/SFTP用户可以访问的目录中携带备板槽位信息,则
FTP/SFTP用户将不能访问此目录;
?
主备切换后FTP/SFTP用户将不能正常登录,建议用户在指定工作目录时不要携带槽位信息。
【举例】
# 配置用户组abc的授权VLAN为VLAN 3。
[Sysname-ugroup-abc] authorization-attribute vlan 3
1.1.13 authorization-attribute user-profile
【命令】
authorization-attribute user-profile profile-name undo authorization-attribute user-profile 【视图】
ISP域视图 【缺省级别】
3:管理级 【参数】
profile-name:指定的User Profile名称,为1~31个字符的字符串,区分大小写。User Profile的相关配置请参考“系统分册”中的“User Profile命令”。 【描述】
authorization-attribute user-profile命令用于配置当前ISP域的缺省授权User Porfile。undo authorization-attribute user-profile命令用于恢复缺省情况。 缺省情况下,当前ISP域无缺省授权User Porfile。
如果当前ISP域的用户认证成功,但认证服务器(包括本地认证下的接入设备)对未对该ISP域下发授权User Porfile,则系统使用本配置指定的User Porfile作为当前ISP域的授权User Porfile。
需要注意的是,重复配置本命令,会覆盖原有的配置。 【举例】
# 配置test域下的缺省授权User Profile为profile1。
[Sysname-isp-test] authorization-attribute user-profile profile1
1.1.14 bind-attribute
【命令】
bind-attribute { call-number call-number [ : subcall-number ] | ip ip-address | location port slot-number subslot-number port-number | mac mac-address | vlan vlan-id } *
undo bind-attribute { call-number | ip | location | mac | vlan } * 【视图】
本地用户视图 【缺省级别】
3:管理级 【参数】
call-number call-number:指定ISDN用户认证的主叫号码。其中call-number为1~64个字符的字符串。
subcall-number:指定子主叫号码。如果配置了子主叫号码,则主叫号码与子主叫号码的总长度不能大于62个字符。 ip ip-address:指定用户的IP地址。
location:设置用户的端口绑定属性。
port slot-number subslot-number port-number:指定用户绑定的端口。其中slot-number为槽号,取值范围为0~1024。subslot-number为子槽号,取值范围为0~15。port-number为端口号,取值范围0~255。绑定的端口只针对端口号,不区分端口类型。
mac mac-address:指定用户的MAC地址。其中,mac-address为H-H-H格式。 vlan vlan-id:设置用户所属于的VLAN。其中,vlan-id为VLAN编号,取值范围为1~4094。 【描述】
bind-attribute命令用来设置用户的绑定属性。undo bind-attribute命令用来删除配置的用户绑定属性。
缺省情况下,未设置用户的任何绑定属性。 需要注意的是:
?
配置的绑定属性是本地用户进行认证时需要检测的项目,如果用户的实际属性
与配置的绑定属性不符,则检测不通过,认证失败。而且,由于认证检测时不区分用户的接入服务类型,即会对所有类型的用户都进行已配置绑定属性的认证检测,因此在配置绑定属性时要考虑某类型的用户是否需要绑定某些属性。
?
本地用户的bind-attribute ip命令只适用于支持IP地址上传功能的认证,如
802.1X认证;对于不支持IP地址上传功能的认证,如果配置了该命令,会导致本地认证失败,如MAC地址认证。
?
本地用户的bind-attribute mac命令只适用于lan-access类型的用户,如
802.1X认证;对于其它类型用户(如FTP或Telnet)的认证,如果配置了该命令,会导致本地认证失败。
【举例】
# 配置本地用户abc的绑定IP为3.3.3.3。
[Sysname] local-user abc
[Sysname-luser-abc] bind-attribute ip 3.3.3.3
1.1.15 cut connection
【命令】
cut connection { all | domain isp-name | ucibindex ucib-index | user-name user-name } 【视图】
系统视图 【缺省级别】
2:系统级
百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读,免费范文网,提供经典小说综合文库H3C 华为 01-AAA命令详解(3)在线全文阅读。
相关推荐: