01-AAA命令
本章节下载: 01-AAA命令 (1.15 MB)
目 录
1.1.1 aaa normal-offline-record enable
1.1.2 aaa offline-record enable
1.1.3 aaa online-fail-record enable
1.1.15 authorization-attribute (ISP domain view)
1.1.16 display aaa normal-offline-record
1.1.17 display aaa offline-record
1.1.18 display aaa online-fail-record
1.1.23 local-server log change-password-prompt
1.1.25 reset aaa normal-offline-record
1.1.26 reset aaa offline-record
1.1.27 reset aaa online-fail-record
1.1.28 session-time include-idle-time
1.1.29 state (ISP domain view)
1.1.30 state block time-range name
1.2.2 authorization-attribute (Local user view/user group view)
1.3.7 attribute convert (RADIUS scheme view)
1.3.8 attribute reject (RADIUS scheme view)
1.3.9 attribute remanent-volume
1.3.11 attribute vendor-id 2011 version
1.3.12 data-flow-format (RADIUS scheme view)
1.3.14 display radius server-load statistics
1.3.15 display radius statistics
1.3.16 display stop-accounting-buffer (for RADIUS)
1.3.19 include-attribute 218 vendor-id 25506
1.3.20 key (RADIUS scheme view)
1.3.21 nas-ip (RADIUS scheme view)
1.3.22 primary accounting (RADIUS scheme view)
1.3.23 primary authentication (RADIUS scheme view)
1.3.26 radius attribute extended
1.3.27 radius attribute-test-group
1.3.32 radius session-control client
1.3.33 radius session-control enable
1.3.35 radius-server test-profile
1.3.36 reauthentication server-select
1.3.37 reset radius server-load statistics
1.3.38 reset radius statistics
1.3.39 reset stop-accounting-buffer (for RADIUS)
1.3.41 retry realtime-accounting
1.3.42 retry stop-accounting (RADIUS scheme view)
1.3.43 secondary accounting (RADIUS scheme view)
1.3.44 secondary authentication (RADIUS scheme view)
1.3.45 server-block-action (RADIUS scheme view)
1.3.46 server-load-sharing enable
1.3.47 snmp-agent trap enable radius
1.3.52 stop-accounting-buffer enable (RADIUS scheme view)
1.3.53 stop-accounting-packet send-force
1.3.55 threshold remanent-volume
1.3.56 timer quiet (RADIUS scheme view)
1.3.57 timer realtime-accounting (RADIUS scheme view)
1.3.58 timer response-timeout (RADIUS scheme view)
1.3.59 user-name-format (RADIUS scheme view)
1.3.60 vpn-instance (RADIUS scheme view)
1.5.1 data-flow-format (HWTACACS scheme view)
1.5.3 display stop-accounting-buffer (for HWTACACS)
1.5.7 key (HWTACACS scheme view)
1.5.8 nas-ip (HWTACACS scheme view)
1.5.9 primary accounting (HWTACACS scheme view)
1.5.10 primary authentication (HWTACACS scheme view)
1.5.12 reset hwtacacs statistics
1.5.13 reset stop-accounting-buffer (for HWTACACS )
1.5.14 retry stop-accounting (HWTACACS scheme view)
1.5.15 secondary accounting (HWTACACS scheme view)
1.5.16 secondary authentication (HWTACACS scheme view)
1.5.17 secondary authorization
1.5.18 server-block-action (HWTACACS scheme view)
1.5.19 stop-accounting-buffer enable (HWTACACS scheme view)
1.5.20 timer quiet (HWTACACS scheme view)
1.5.21 timer realtime-accounting (HWTACACS scheme view)
1.5.22 timer response-timeout (HWTACACS scheme view)
1.5.23 user-name-format (HWTACACS scheme view)
1.5.24 vpn-instance (HWTACACS scheme view)
1.6.1 aaa connection-recording policy
aaa normal-offline-record enable命令用来开启用户正常下线记录功能。
undo aaa normal-offline-record enable命令用来关闭用户正常下线记录功能。
【命令】
aaa normal-offline-record enable
undo aaa normal-offline-record enable
【缺省情况】
用户正常下线记录功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
开启本功能后,设备会将所有用户正常下线信息(用户基本信息、下线原因等)记录到系统内存中,具体内容可通过display aaa normal-offline-record命令进行查看。当管理员需要分析用户下线原因时,建议开启本功能。
只有用户下线记录功能处于开启状态,本功能才能生效。
设备最多支持存储32768条用户正常下线记录,超过该数目后,新的记录会覆盖旧的记录。
关闭本功能后,系统停止记录用户正常下线信息,可提高当前可用内存容量,但管理员将看不到用户正常下线信息。
【举例】
# 开启用户正常下线记录功能。
<Sysname> system-view
[Sysname] aaa normal-offline-record enable
【相关命令】
· aaa offline-record enable
· display aaa normal-offline-record
aaa offline-record enable命令用来开启用户下线记录功能。
undo aaa offline-record enable命令用来关闭用户下线记录功能。
【命令】
aaa offline-record enable
undo aaa offline-record enable
【缺省情况】
用户下线记录功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
本功能用于总体控制用户下线记录功能是否开启。只有本功能处于开启状态,用户正常下线记录功能和用户异常下线记录功能才能生效。
开启本功能后,若用户正常下线记录功能、用户异常下线记录功能处于开启状态,设备会将所有用户正常下线、用户异常下线的信息(用户基本信息、下线原因等)记录到系统内存中,具体内容可通过display aaa offline-record命令进行查看。
设备最多支持存储65536条用户下线记录,超过该数目后,新的记录会覆盖旧的记录。
关闭本功能后,用户下线信息不会被记录到系统内存中,可提高系统当前可用内存容量,但管理员将看不到用户下线信息。
【举例】
# 开启用户下线记录功能。
<Sysname> system-view
[Sysname] aaa offline-record enable
【相关命令】
· aaa abnormal-offline-record enable
· aaa normal-offline-record enable
· display aaa offline-record
aaa online-fail-record enable命令用来开启用户上线失败记录功能。
undo aaa online-fail-record enable命令用来关闭用户上线失败记录功能。
【命令】
aaa online-fail-record enable
undo aaa online-fail-record enable
【缺省情况】
用户上线失败记录功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
开启本功能后,设备会将所有用户上线失败信息(用户基本信息、上线失败原因等)记录到系统内存中,具体内容可通过display aaa online-fail-record命令进行查看。当管理员需要获取用户上线失败记录,以对恶意用户进行初步排查时,建议开启本功能。
设备最多支持存储32768条用户上线失败记录,超过该数目后,新的记录会覆盖旧的记录。
关闭本功能后,系统停止记录用户上线失败信息,可提高当前可用内存容量,但管理员将看不到用户上线失败信息,存在一定风险。
【举例】
# 开启用户上线失败记录功能
<Sysname> system-view
[Sysname] aaa online-fail-record enable
【相关命令】
· display aaa online-fail-record
aaa session-id mode命令用来配置设备使用的Acct-Session-Id属性模式。
undo aaa session-id mode命令用来恢复缺省情况。
【命令】
aaa session-id mode { common | simplified }
undo aaa session-id mode
【缺省情况】
设备使用的Acct-Session-Id属性模式为普通模式。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
common:普通模式。该模式下,Acct-Session-Id属性的取值长度为37个字符,由前缀、日期时间、序列号、接入节点的LIP地址、设备ID以及进程的Job ID信息组成。
simplified:精简模式。该模式下,Acct-Session-Id属性的取值长度为16个字符,由前缀、月份值、序列号、设备ID以及接入节点的LIP地址信息组成。
【使用指导】
不同厂商的RADIUS服务器支持的Acct-Session-Id属性的格式可能有所不同,可通过本命令指定设备使用的Acct-Session-Id属性格式。
【举例】
# 配置设备使用的Acct-Session-Id属性模式为精简模式。
<Sysname> system-view
[Sysname] aaa session-id mode simplified
aaa session-limit命令用来配置同时在线的最大用户连接数,即采用指定登录方式登录设备并同时在线的用户数。
undo aaa session-limit命令用来将指定登录方式的同时在线的最大用户连接数恢复为缺省情况。
【命令】
aaa session-limit { ftp | http | https | ssh | telnet } max-sessions
undo aaa session-limit { ftp | http | https | ssh | telnet }
【缺省情况】
同时在线的各类型最大用户连接数均为32。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
ftp:表示FTP用户。
http:表示HTTP用户。
https:表示HTTPS用户。
ssh:表示SSH用户。
telnet:表示Telnet用户。
max-sessions:允许同时在线的最大用户连接数,SSH/Telnet用户的取值范围为1~32,FTP/HTTP/HTTPS用户的取值范围为1~64。
【使用指导】
配置本命令后,当指定类型的接入用户的用户数超过当前配置的最大连接数后,新的接入请求将被拒绝。
对于HTTP/HTTPS用户,不同上层应用的最大用户连接数单独受限。例如,若设置允许同时在线的HTTP最大用户连接数为20,则基于HTTP的RESTful用户、Web用户、NETCONF用户的最大连接数将均为20。
【举例】
# 设置同时在线的最大FTP用户连接数为4。
<Sysname> system-view
[Sysname] aaa session-limit ftp 4
accounting command命令用来配置命令行计费方法。
undo accounting command命令用来恢复缺省情况。
【命令】
accounting command hwtacacs-scheme hwtacacs-scheme-name
undo accounting command
【缺省情况】
命令行计费采用当前ISP域的缺省计费方法。
【视图】
ISP域视图
【缺省用户角色】
network-admin
【参数】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
【使用指导】
命令行计费过程是指,用户执行过的合法命令会被发送给计费服务器进行记录。若未开启命令行授权功能,则计费服务器对用户执行过的所有合法命令进行记录;若开启了命令行授权功能,则计费服务器仅对授权通过的命令进行记录。
目前,仅支持使用远程HWTACACS服务器完成命令行计费功能。
【举例】
# 在ISP域test下,配置使用HWTACACS计费方案hwtac进行命令行计费。
<Sysname> system-view
[Sysname] domain name test
[Sysname-isp-test] accounting command hwtacacs-scheme hwtac
【相关命令】
· accounting default
· command accounting(基础配置命令参考/登录设备)
· hwtacacs scheme
accounting default命令用来为当前ISP域配置缺省的计费方法。
undo accounting default命令用来恢复缺省情况。
【命令】
accounting default { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | local [ hwtacacs-scheme hwtacacs-scheme-name | radius-scheme radius-scheme-name ] * [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }
undo accounting default
【缺省情况】
当前ISP域的缺省计费方法为local。
【视图】
ISP域视图
【缺省用户角色】
network-admin
【参数】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
local:本地计费。
none:不计费。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
【使用指导】
当前ISP域的缺省计费方法对于该域中未指定具体计费方法的所有接入用户都起作用,但是如果某类型的用户不支持指定的计费方法,则该计费方法对于这类用户不能生效。
本地计费只是为了支持本地用户的连接数管理,没有实际的计费相关的统计功能。
可以指定多个备选的计费方法,在当前的计费方法无效时按照配置顺序尝试使用备选的方法完成计费。例如,radius-scheme radius-scheme-name local none表示,先进行RADIUS计费,若RADIUS计费无效则进行本地计费,若本地计费也无效则不进行计费。远程计费无效是指,指定的计费方案不存在、计费报文发送失败或者服务器无响应。本地计费无效是指没有找到对应的本地用户配置。
当采用本地认证方案为主认证方案,且配置了备选认证方案时,仅当AAA本地计费处理过程异常或者没有本地用户配置的情况下,用户本地认证失败后才会尝试使用备选方案进行认证,其它情况下不会转换认证方案,直接认为认证失败。
【举例】
# 在ISP域test下,配置缺省计费方法为使用RADIUS方案rd进行计费,并且使用local作为备选计费方法。
<Sysname> system-view
[Sysname] domain name test
[Sysname-isp-test] accounting default radius-scheme rd local
【相关命令】
· hwtacacs scheme
· local-user
· radius scheme
accounting login命令用来为login用户配置计费方法。
undo accounting login命令用来恢复缺省情况。
【命令】
accounting login { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | local [ hwtacacs-scheme hwtacacs-scheme-name | radius-scheme radius-scheme-name ] * [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }
undo accounting login
【缺省情况】
login用户采用当前ISP域的缺省计费方法。
【视图】
ISP域视图
【缺省用户角色】
network-admin
【参数】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
local:本地计费。
none:不计费。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
【使用指导】
不支持对FTP、SFTP以及SCP类型的login用户进行计费。
可以指定多个备选的计费方法。在当前的计费方法无效时按照配置顺序尝试使用备选的方法完成计费。例如,radius-scheme radius-scheme-name local none表示,先进行RADIUS计费,若RADIUS计费无效则进行本地计费,若本地计费也无效则不进行计费。远程计费无效是指,指定的计费方案不存在、计费报文发送失败或者服务器无响应。本地计费无效是指没有找到对应的本地用户配置。
当采用本地认证方案为主认证方案,且配置了备选认证方案时,仅当AAA本地计费处理过程异常或者没有本地用户配置的情况下,用户本地认证失败后才会尝试使用备选方案进行认证,其它情况下不会转换认证方案,直接认为认证失败。
【举例】
# 在ISP域test下,为login用户配置计费方法为local。
<Sysname> system-view
[Sysname] domain name test
[Sysname-isp-test] accounting login local
# 在ISP域test下,配置login用户使用RADIUS方案rd进行计费,并且使用local作为备选计费方法。
<Sysname> system-view
[Sysname] domain name test
[Sysname-isp-test] accounting login radius-scheme rd local
【相关命令】
· accounting default
· hwtacacs scheme
· local-user
· radius scheme
authentication default命令用来为当前ISP域配置缺省的认证方法。
undo authentication default命令用来为恢复缺省情况。
【命令】
authentication default { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | local [ hwtacacs-scheme hwtacacs-scheme-name | radius-scheme radius-scheme-name ] * [ none ] | local [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }
undo authentication default
【缺省情况】
当前ISP域的缺省认证方法为local。
【视图】
ISP域视图
【缺省用户角色】
network-admin
【参数】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
local:本地认证。
none:不进行认证。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
【使用指导】
当前ISP域的缺省的认证方法对于该域中未指定具体认证方法的所有接入用户都起作用,但是如果某类型的用户不支持指定的认证方法,则该认证方法对于这类用户不能生效。
可以指定多个备选的认证方法,在当前的认证方法无效时按照配置顺序尝试使用备选的方法完成认证。例如,radius-scheme radius-scheme-name local none表示,先进行RADIUS认证,若RADIUS认证无效则进行本地认证,若本地认证也无效则不进行认证。远程认证无效是指,指定的认证方案不存在、认证报文发送失败或者服务器无响应。本地认证无效是指没有找到对应的本地用户配置。
当采用本地认证方案为主认证方案,且配置了备选认证方案时,仅当AAA本地认证处理过程异常或者没有本地用户配置的情况下,用户本地认证失败后才会尝试使用备选方案进行认证,其它情况下不会转换认证方案,直接认为认证失败。
【举例】
# 在ISP域test下,配置缺省认证方法为使用RADIUS方案rd进行认证,并且使用local作为备选认证方法。
<Sysname> system-view
[Sysname] domain name test
[Sysname-isp-test] authentication default radius-scheme rd local
【相关命令】
· hwtacacs scheme
· local-user
· radius scheme
authentication login命令用来为login用户配置认证方法。
undo authentication login命令用来恢复缺省情况。
【命令】
authentication login { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | local [ hwtacacs-scheme hwtacacs-scheme-name | radius-scheme radius-scheme-name ] * [ none ] | local [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }
undo authentication login
【缺省情况】
login用户采用当前ISP域的缺省认证方法。
【视图】
ISP域视图
【缺省用户角色】
network-admin
【参数】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
local:本地认证。
none:不进行认证。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
【使用指导】
可以指定多个备选的认证方法,在当前的认证方法无效时按照配置顺序尝试使用备选的方法完成认证。例如,radius-scheme radius-scheme-name local none表示,先进行RADIUS认证,若RADIUS认证无效则进行本地认证,若本地认证也无效则不进行认证。远程认证无效是指,指定的认证方案不存在、认证报文发送失败或者服务器无响应。本地认证无效是指没有找到对应的本地用户配置。
当采用本地认证方案为主认证方案,且配置了备选认证方案时,仅当AAA本地认证处理过程异常或者没有本地用户配置的情况下,用户本地认证失败后才会尝试使用备选方案进行认证,其它情况下不会转换认证方案,直接认为认证失败。
【举例】
# 在ISP域test下,为login用户配置认证方法为local。
<Sysname> system-view
[Sysname] domain name test
[Sysname-isp-test] authentication login local
# 在ISP域test下,配置login用户使用RADIUS方案rd进行认证,并且使用local作为备选认证方法。
<Sysname> system-view
[Sysname] domain name test
[Sysname-isp-test] authentication login radius-scheme rd local
【相关命令】
· authentication default
· hwtacacs scheme
· local-user
· radius scheme
authentication super命令用来配置用户角色切换认证方法。
undo authentication super命令用来恢复缺省情况。
【命令】
authentication super { hwtacacs-scheme hwtacacs-scheme-name | radius-scheme radius-scheme-name } *
undo authentication super
【缺省情况】
用户角色切换认证采用当前ISP域的缺省认证方法。
【视图】
ISP域视图
【缺省用户角色】
network-admin
【参数】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
【使用指导】
切换用户角色是指在不退出当前登录、不断开当前连接的前提下修改用户的用户角色,改变用户所拥有的命令行权限。为了保证切换操作的安全性,需要在用户执行用户角色切换时进行身份认证。设备支持本地和远程两种认证方式,关于用户角色切换的详细介绍请参见“基础配置指导”中的“RBAC”。
可以指定一个备选的认证方法,在当前的认证方法无效时尝试使用备选的方法完成认证。
【举例】
# 在ISP域test下,配置使用HWTACACS方案tac进行用户角色切换认证。
<Sysname> system-view
[Sysname] super authentication-mode scheme
[Sysname] domain name test
[Sysname-isp-test] authentication super hwtacacs-scheme tac
【相关命令】
· authentication default
· hwtacacs scheme
· radius scheme
authorization command命令用来配置命令行授权方法。
undo authorization command命令用来恢复缺省情况。
【命令】
authorization command { hwtacacs-scheme hwtacacs-scheme-name [ local ] [ none ] | local [ none ] | none }
undo authorization command
【缺省情况】
命令行授权采用当前ISP域的缺省授权方法。
【视图】
ISP域视图
【缺省用户角色】
network-admin
【参数】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
local:本地授权。
none:不授权。用户执行角色所允许的命令时,无须接受授权服务器的检查。
【使用指导】
命令行授权是指,用户执行的每一条命令都需要接受授权服务器的检查,只有授权成功的命令才被允许执行。用户登录后可以执行的命令受登录授权的用户角色和命令行授权的用户角色的双重限制,即,仅登录授权的用户角色和命令行授权的用户角色均允许执行的命令行,才能被执行。需要注意的是,命令行授权功能只利用角色中的权限规则对命令行执行权限检查,不进行其它方面的权限检查,例如资源控制策略等。
对用户采用本地命令行授权时,设备将根据用户登录设备时输入的用户名对应的本地用户配置来对用户输入的命令进行检查,只有本地用户中配置的授权用户角色所允许的命令才被允许执行。
可以指定多个备选的命令行授权方法,在当前的授权方法无效时按照配置顺序尝试使用备选的方法完成命令授权。例如,hwtacacs-scheme hwtacacs-scheme-name local none表示,先进行HWTACACS授权,若HWTACACS授权无效则进行本地授权,若本地授权也无效则不进行授权。远程授权无效是指,指定的授权方案不存在、授权报文发送失败或者服务器无响应。本地授权无效是指没有找到对应的本地用户配置。
【举例】
# 在ISP域test下,配置命令行授权方法为local。
<Sysname> system-view
[Sysname] domain name test
[Sysname-isp-test] authorization command local
# 在ISP域test下,配置使用HWTACACS方案hwtac进行命令行授权,并且使用local作为备选授权方法。
<Sysname> system-view
[Sysname] domain name test
[Sysname-isp-test] authorization command hwtacacs-scheme hwtac local
【相关命令】
· command authorization(基础配置命令参考/登录设备)
· hwtacacs scheme
· local-user
authorization default命令用来为当前ISP域配置缺省的授权方法。
undo authorization default命令用来恢复缺省情况。
【命令】
authorization default { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | local [ hwtacacs-scheme hwtacacs-scheme-name | radius-scheme radius-scheme-name ] * [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }
undo authorization default
【缺省情况】
当前ISP域的缺省授权方法为local。
【视图】
ISP域视图
【缺省用户角色】
network-admin
【参数】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
local:本地授权。
none:不授权。接入设备不请求授权信息,不对用户可以使用的操作以及用户允许使用的网络服务进行授权。此时,认证通过的Login用户(通过Console口或者Telnet、FTP/SFTP/SCP访问设备的用户)只有系统给予的缺省用户角色level-0,其中FTP/SFTP/SCP用户的工作目录是设备的根目录,但并无访问权限。关于用户角色色level-0的详细介绍请参见“基础配置指导”中的“RBAC”。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
【使用指导】
当前ISP域的缺省的授权方法对于该域中未指定具体授权方法的所有接入用户都起作用,但是如果某类型的用户不支持指定的授权方法,则该授权方法对于这类用户不能生效。
在一个ISP域中,只有配置的认证和授权方法中引用了相同的RADIUS方案时,RADIUS授权过程才能生效。
可以指定多个备选的授权方法,在当前的授权方法无效时按照配置顺序尝试使用备选的方法完成授权。例如,radius-scheme radius-scheme-name local none表示,先进行RADIUS授权,若RADIUS授权无效则进行本地授权,若本地授权也无效则不进行授权。远程授权无效是指,指定的授权方案不存在、授权报文发送失败或者服务器无响应。本地授权无效是指没有找到对应的本地用户配置。
当采用本地认证方案为主认证方案,且配置了备选认证方案时,仅当AAA本地授权处理过程异常或者没有本地用户配置的情况下,用户本地认证失败后才会尝试使用备选方案进行认证,其它情况下不会转换认证方案,直接认为认证失败。
【举例】
# 在ISP域test下,配置缺省授权方法为使用RADIUS方案rd进行授权,并且使用local作为备选授权方法。
<Sysname> system-view
[Sysname] domain name test
[Sysname-isp-test] authorization default radius-scheme rd local
【相关命令】
· hwtacacs scheme
· local-user
· radius scheme
authorization login命令用来为login用户配置授权方法。
undo authorization login命令用来恢复缺省情况。
【命令】
authorization login { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | local [ hwtacacs-scheme hwtacacs-scheme-name | radius-scheme radius-scheme-name ] * [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }
undo authorization login
【缺省情况】
login用户采用当前ISP域的缺省授权方法。
【视图】
ISP域视图
【缺省用户角色】
network-admin
【参数】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
local:本地授权。
none:不授权。接入设备不请求授权信息,不对用户可以使用的操作以及用户允许使用的网络服务进行授权。此时,认证通过的Login用户(通过Console口或者Telnet、FTP/SFTP/SCP访问设备的用户)只有系统给予的缺省用户角色level-0,其中FTP/SFTP/SCP用户的工作目录是设备的根目录,但并无访问权限。关于用户角色level-0的详细介绍请参见“基础配置指导”中的“RBAC”。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
【使用指导】
在一个ISP域中,只有配置的认证和授权方法中引用了相同的RADIUS方案时,RADIUS授权过程才能生效。
可以指定多个备选的授权方法,在当前的授权方法无效时按照配置顺序尝试使用备选的方法完成授权。例如,radius-scheme radius-scheme-name local none表示,先进行RADIUS授权,若RADIUS授权无效则进行本地授权,若本地授权也无效则不进行授权。远程授权无效是指,指定的授权方案不存在、授权报文发送失败或者服务器无响应。本地授权无效是指没有找到对应的本地用户配置。
当采用本地认证方案为主认证方案,且配置了备选认证方案时,仅当AAA本地授权处理过程异常或者没有本地用户配置的情况下,用户本地认证失败后才会尝试使用备选方案进行认证,其它情况下不会转换认证方案,直接认为认证失败。
【举例】
# 在ISP域test下,为login用户配置授权方法为local。
<Sysname> system-view
[Sysname] domain name test
[Sysname-isp-test] authorization login local
# 在ISP域test下,配置login用户使用RADIUS方案rd进行授权,并且使用local作为备选授权方法。
<Sysname> system-view
[Sysname] domain name test
[Sysname-isp-test] authorization login radius-scheme rd local
【相关命令】
· authorization default
· hwtacacs scheme
· local-user
· radius scheme
authorization-attribute命令用来设置当前ISP域下的用户授权属性。
undo authorization-attribute命令用来删除指定的授权属性,恢复用户具有的缺省访问权限。
【命令】
authorization-attribute user-group user-group-name
undo authorization-attribute user-group
【缺省情况】
无其它授权属性。
【视图】
ISP域视图
【缺省用户角色】
network-admin
【参数】
user-group user-group-name:表示用户所属用户组。其中,user-group-name表示用户组名,为1~32个字符的字符串,不区分大小写。用户认证成功后,将继承该用户组中的所有属性。
【使用指导】
如果当前ISP域的用户认证成功,但认证服务器(包括本地认证下的接入设备)未对该ISP域下发授权属性,则系统使用当前ISP下指定的授权属性为用户授权。
指定授权ACL时,需要注意的是:
· 若引用的ACL不存在,或者引用的ACL中没有配置规则,则表示未授权ACL规则。
【举例】
# 设置ISP域test的用户授权组为abc。
<Sysname> system-view
[Sysname] domain name test
[Sysname-isp-test] authorization-attribute user-group abc
【相关命令】
· display domain
display aaa normal-offline-record命令用来显示用户正常下线记录。
【命令】
display aaa normal-offline-record { access-type login | domain domain-name | interface interface-type interface-number | { ip ipv4-address | ipv6 ipv6-address } | mac-address mac-address | s-vlan svlan-id [ c-vlan cvlan-id ] | slot slot-number | username user-name [ fuzzy-match ] } * [ brief | count count ]
display aaa normal-offline-record time begin-time end-time [ date begin-date end-date ] [ brief ]
display aaa normal-offline-record
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
access-type:显示指定用户接入类型的正常下线记录。
login:登录设备的用户,如SSH、Telnet、FTP用户。
domain domain-name:显示通过指定ISP域上线的用户的正常下线记录。domain-name表示ISP域名,为1~255个字符的字符串,不区分大小写。
interface interface-type interface-number:显示通过指定接口上线的用户的正常下线信息。interface-type interface-number表示用户接入接口的类型和接口编号。
ip ipv4-address:显示指定IPv4地址的用户正常下线记录。
ipv6 ipv6-address:显示指定IPv6地址的用户正常下线记录。
mac-address mac-address:显示指定MAC地址的正常下线记录。mac-address为用户的MAC地址,格式为H-H-H。
slot slot-number:指定设备编号,取值只能为1。
s-vlan svlan-id:显示通过指定服务提供商VLAN上线的用户的正常下线记录。svlan-id表示VLAN ID,取值范围为1~4094。
c-vlan cvlan-id:显示通过指定用户VLAN上线的用户的正常下线记录。cvlan-id表示VLAN ID,取值范围为1~4094。
username user-name:显示指定用户名的正常下线记录。user-name表示用户名,为1~253个字符的字符串,区分大小写。
fuzzy-match:表示松散匹配用户名,即只要user-name字符串能连续匹配用户记录中的部分或者完整用户名,则匹配成功。若不指定该参数,则表示精确匹配用户名,即user-name字符串必须完全匹配上完整的用户名,才表示匹配成功。
time:显示指定时间范围内上线用户的正常下线记录。
begin-time:起始时间,格式为hh:mm:ss(小时:分钟:秒),hh取值范围为0~23,mm和ss取值范围为0~59。
end-time:结束时间,格式为hh:mm:ss(小时:分钟:秒),hh取值范围为0~23,mm和ss取值范围为0~59。
date:显示指定日期范围的正常下线记录。若不指定该参数,则表示仅查看当天的记录。
begin-date:起始日期,格式为MM/DD/YYYY(月/日/年)或者YYYY/MM/DD(年/月/日)。MM的取值范围为1~12,DD的取值范围与月份有关,YYYY的取值范围为2000~2035。
end-date:结束日期,格式为MM/DD/YYYY(月/日/年)或者YYYY/MM/DD(年/月/日)。MM的取值范围为1~12,DD的取值范围与月份有关,YYYY的取值范围为2000~2035。
brief:显示用户正常下线记录的简要信息。若不指定该参数,则表示显示用户正常下线记录的详细信息。
count count:显示指定数量的正常下线失败记录。count为记录的条目,取值范围为1~32768。
【使用指导】
可通过指定多种组合条件按需查询用户的正常下线记录。系统将从最新的一条记录开始显示符合查询条件的记录。
无论当前系统中的用户正常下线记录功能是否处于开启状态,只要系统中存在用户正常下线记录,就能通过本命令进行查看。
若不指定任何参数,则显示当前系统中的所有用户正常下线记录的详细信息。
如果服务器传递给设备的用户名中携带不可见字符,则使用指定用户名方式查看该类用户信息时,必须指定fuzzy-match关键字,否则无法查看到该用户信息。
【举例】
# 显示所有用户正常下线记录的详细信息。
<Sysname> display aaa normal-offline-record
Total count: 1
Username: jay
Domain: dm1
MAC address: -
Access type: Telnet
Access interface: HundredGigE1/0/1
SVLAN/CVLAN: -/-
IP address: 19.19.0.2
IPv6 address: -
Online request time: 2020/01/02 15:20:33
Offline time: 2020/02/28 15:20:56
Offline reason: User request.
# 显示login用户正常下线记录的简要信息。
<Sysname> display aaa offline-record access-type login brief
Username: jay
MAC address: -
IP address: 11.2.2.41
IPv6 address: -
Offline reason: User request.
表1-1 display aaa normal-offline-record命令显示信息描述表
|
字段 |
描述 |
|
Total count |
用户正常下线记录总计数 |
|
Username |
用户名(若不存在,则显示为空) |
|
Domain |
ISP域名(若不存在,则显示为空) |
|
MAC address |
用户的MAC地址(若不存在,则显示“-”) |
|
Access type |
用户的接入类型: · Telnet:Telnet用户 · FTP:FTP用户 · SSH:SSH用户 · NETCONF over SOAP:NETCONF over SOAP用户 · NETCONF over RESTful:NETCONF over RESTful用户 · Terminal:Terminal用户,例如从Console口登录设备的终端用户 |
|
Access interface |
用户接入的接口名(若不存在,则显示“-”) |
|
SVLAN/CVLAN |
服务提供商VLAN/用户VLAN(若不存在,则显示“-”) |
|
IP address |
用户的IPv4地址(若不存在,则显示“-”) |
|
IPv6 address |
用户的IPv6地址(若不存在,则显示“-”) |
|
Online request time |
用户发起上线请求的时间 |
|
Offline time |
用户下线的时间 |
|
Offline reason |
(暂不支持)用户的下线原因 |
【相关命令】
· reset aaa normal-offline-record
display aaa offline-record命令用来显示用户下线记录。
【命令】
display aaa offline-record { access-type login | domain domain-name | interface interface-type interface-number | { ip ipv4-address | ipv6 ipv6-address } | mac-address mac-address | s-vlan svlan-id [ c-vlan cvlan-id ] | slot slot-number | username user-name [ fuzzy-match ] } * [ brief | count count ]
display aaa offline-record time begin-time end-time [ date begin-date end-date ] [ brief ]
display aaa offline-record
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
access-type:显示指定用户接入类型的下线记录。
login:登录设备的用户,如SSH、Telnet、FTP用户。
domain domain-name:显示通过指定ISP域上线的用户的下线记录。domain-name表示ISP域名,为1~255个字符的字符串,不区分大小写。
interface interface-type interface-number:显示通过指定接口上线的用户的下线信息。interface-type interface-number表示用户接入接口的类型和接口编号。
ip ipv4-address:显示指定IPv4地址的用户下线记录。
ipv6 ipv6-address:显示指定IPv6地址的用户下线记录。
mac-address mac-address:显示指定MAC地址的下线记录。mac-address为用户的MAC地址,格式为H-H-H。
slot slot-number:指定设备编号,取值只能为1。
s-vlan svlan-id:显示通过指定服务提供商VLAN上线的用户的下线记录。svlan-id表示VLAN ID,取值范围为1~4094。
c-vlan cvlan-id:显示通过指定用户VLAN上线的用户的下线记录。cvlan-id表示VLAN ID,取值范围为1~4094。
username user-name:显示指定用户名的下线记录。user-name表示用户名,为1~253个字符的字符串,区分大小写。
fuzzy-match:表示松散匹配用户名,即只要user-name字符串能连续匹配用户记录中的部分或者完整用户名,则匹配成功。若不指定该参数,则表示精确匹配用户名,即user-name字符串必须完全匹配上完整的用户名,才表示匹配成功。
time:显示指定时间范围内下线用户的下线记录。
begin-time:起始时间,格式为hh:mm:ss(小时:分钟:秒),hh取值范围为0~23,mm和ss取值范围为0~59。
end-time:结束时间,格式为hh:mm:ss(小时:分钟:秒),hh取值范围为0~23,mm和ss取值范围为0~59。
date:显示指定日期范围的下线记录。若不指定该参数,则表示仅查看当天的记录。
begin-date:起始日期,格式为MM/DD/YYYY(月/日/年)或者YYYY/MM/DD(年/月/日)。MM的取值范围为1~12,DD的取值范围与月份有关,YYYY的取值范围为2000~2035。
end-date:结束日期,格式为MM/DD/YYYY(月/日/年)或者YYYY/MM/DD(年/月/日)。MM的取值范围为1~12,DD的取值范围与月份有关,YYYY的取值范围为2000~2035。
brief:显示用户下线记录的简要信息。若不指定该参数,则表示显示用户下线记录的详细信息。
count count:显示指定数量的下线记录。count为记录的条目,取值范围为1~65536。
【使用指导】
可通过指定多种组合条件按需查询用户的下线记录。系统将从最新的一条记录开始显示符合查询条件的记录。
无论当前系统中的用户下线记录功能是否处于开启状态,只要系统中存在用户下线记录,就能通过本命令进行查看。
若不指定任何参数,则显示当前系统中的所有用户下线记录的详细信息。
如果服务器传递给设备的用户名中携带不可见字符,则使用指定用户名方式查看该类用户信息时,必须指定fuzzy-match关键字,否则无法查看到该用户信息。
【举例】
# 显示所有用户下线记录的详细信息。
<Sysname> display aaa offline-record
Total count: 1
Username: jay
Domain: dm1
MAC address: -
Access type: Telnet
Access interface: HundredGigE1/0/1
SVLAN/CVLAN: -/-
IP address: 19.19.0.2
IPv6 address: -
Online request time: 2020/01/02 15:20:33
Offline time: 2020/02/28 15:20:56
Offline reason: User request
# 显示login用户下线记录的简要信息。
<Sysname> display aaa offline-record access-type login brief
Username: jay
MAC address: -
IP address: 20.20.20.1
IPv6 address: -
Offline reason: User request.
Username: test
MAC address: -
IP address: 20.20.20.3
IPv6 address: -
Offline reason: User request.
表1-2 display aaa offline-record命令显示信息描述表
|
字段 |
描述 |
|
Total count |
用户下线记录总计数 |
|
Username |
用户名(若不存在,则显示为空) |
|
Domain |
ISP域名(若不存在,则显示为空) |
|
MAC address |
用户的MAC地址(若不存在,则显示“-”) |
|
Access type |
用户的接入类型: · Telnet:Telnet用户 · FTP:FTP用户 · SSH:SSH用户 · NETCONF over SOAP:NETCONF over SOAP用户 · NETCONF over RESTful:NETCONF over RESTful用户 · Terminal:Terminal用户,例如从Console口登录设备的终端用户 |
|
Access interface |
用户接入的接口名(若不存在,则显示“-”) |
|
SVLAN/CVLAN |
服务提供商VLAN/用户VLAN(若不存在,则显示“-”) |
|
IP address |
用户的IPv4地址(若不存在,则显示“-”) |
|
IPv6 address |
用户的IPv6地址(若不存在,则显示“-”) |
|
Online request time |
用户发起上线请求的时间 |
|
Offline time |
用户下线的时间 |
|
Offline reason |
(暂不支持)用户的下线原因 |
【相关命令】
· reset aaa offline-record
display aaa online-fail-record命令用来显示用户上线失败记录。
【命令】
display aaa online-fail-record { access-type login | domain domain-name | interface interface-type interface-number | { ip ipv4-address | ipv6 ipv6-address } | mac-address mac-address | s-vlan svlan-id [ c-vlan cvlan-id ] | slot slot-number | username user-name [ fuzzy-match ] } * [ brief | count count ]
display aaa online-fail-record time begin-time end-time [ date begin-date end-date ] [ brief ]
display aaa online-fail-record
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
access-type:显示指定用户接入类型的上线失败记录。
login:登录设备的用户,如SSH、Telnet、FTP用户。
domain domain-name:显示通过指定ISP域上线的用户的上线失败记录。domain-name表示ISP域名,为1~255个字符的字符串,不区分大小写。
interface interface-type interface-number:显示通过指定接口上线的用户的上线失败信息。interface-type interface-number表示用户接入接口的类型和接口编号。
ip ipv4-address:显示指定IPv4地址的用户上线失败记录。
ipv6 ipv6-address:显示指定IPv6地址的用户上线失败记录。
mac-address mac-address:显示指定MAC地址的上线失败记录。mac-address为用户的MAC地址,格式为H-H-H。
slot slot-number:指定设备编号,取值只能为1。
s-vlan svlan-id:显示通过指定服务提供商VLAN上线的用户的上线失败记录。svlan-id表示VLAN ID,取值范围为1~4094。
c-vlan cvlan-id:显示通过指定用户VLAN上线的用户的上线失败记录。cvlan-id表示VLAN ID,取值范围为1~4094。
username user-name:显示指定用户名的上线失败记录。user-name表示用户名,为1~253个字符的字符串,区分大小写。
fuzzy-match:表示松散匹配用户名,即只要user-name字符串能连续匹配用户记录中的部分或者完整用户名,则匹配成功。若不指定该参数,则表示精确匹配用户名,即user-name字符串必须完全匹配上完整的用户名,才表示匹配成功。
time:显示指定时间范围内上线用户的上线失败记录。
begin-time:起始时间,格式为hh:mm:ss(小时:分钟:秒),hh取值范围为0~23,mm和ss取值范围为0~59。
end-time:结束时间,格式为hh:mm:ss(小时:分钟:秒),hh取值范围为0~23,mm和ss取值范围为0~59。
date:显示指定日期范围的上线失败记录。若不指定该参数,则表示仅查看当天的记录。
begin-date:起始日期,格式为MM/DD/YYYY(月/日/年)或者YYYY/MM/DD(年/月/日)。MM的取值范围为1~12,DD的取值范围与月份有关,YYYY的取值范围为2000~2035。
end-date:结束日期,格式为MM/DD/YYYY(月/日/年)或者YYYY/MM/DD(年/月/日)。MM的取值范围为1~12,DD的取值范围与月份有关,YYYY的取值范围为2000~2035。
brief:显示用户上线失败记录的简要信息。若不指定该参数,则表示显示用户上线失败记录的详细信息。
count count:显示指定数量的上线失败记录。count为记录的条目,取值范围为1~32768。
【使用指导】
可通过指定多种组合条件按需查询用户的上线失败记录。系统将从最新的一条记录开始显示符合查询条件的记录。
无论当前系统中的用户上线失败记录功能是否处于开启状态,只要系统中存在用户上线失败记录,就能通过本命令进行查看。
若不指定任何参数,则显示当前系统中的所有用户上线失败记录的详细信息。
如果服务器传递给设备的用户名中携带不可见字符,则使用指定用户名方式查看该类用户信息时,必须指定fuzzy-match关键字,否则无法查看到该用户信息。
【举例】
# 显示2条用户名为aaa的login用户上线失败记录的详细信息。
<Sysname> display aaa online-fail-record username aaa access-type login count 2
Username: aaa
Domain: test
MAC address: -
Access type: Telnet
Access interface: HundredGigE1/0/1
SVLAN/CVLAN: 100/-
IP address: 19.19.0.1
IPv6 address: -
Online request time: 2020/01/02 15:20:37
Online failure reason: Authentication failed.
Server reply message: no user exists.
Username: aaa
Domain: test
MAC address: -
Access type: Telnet
Access interface: HundredGigE1/0/1
SVLAN/CVLAN: -/-
IP address: 19.19.0.2
IPv6 address: -
Online request time: 2020/01/02 15:20:33
Online failure reason: Authentication failed.
Server reply message: no user exists.
# 显示2020/2/1的13:20:50 到2020/2/2的10:20:30这段时间内的上线失败用户记录的简要信息。
<Sysname> display aaa online-fail-record time 13:20:50 10:20:30 date 2020/2/1 2020/2/2 brief
Username: aaa
MAC address: -
IP address: 19.19.0.2
IPv6 address: -
Online failure reason: Authentication failed.
Server reply message: no user exists.
# 显示2020/2/1的13:20:50至2020/2/2的17:20:30期间的用户上线失败记录。
<Sysname> display aaa online-fail-record time 13:20:50 17:20:30 date 2020/2/1 2020/2/2
Username: aaa
Domain: test
MAC address: -
Access type: Telnet
Access interface: HundredGigE1/0/1
SVLAN/CVLAN: -/-
IP address: 19.19.0.1
IPv6 address: -
Online request time: 2020/02/02 16:20:33
Online failure reason: Authentication failed
Server reply message: no user exists.
Username: aaa
Domain: test
MAC address: -
Access type: Telnet
Access interface: HundredGigE1/0/1
SVLAN/CVLAN: -/-
IP address: 19.19.0.2
IPv6 address: -
Online request time: 2020/02/01 15:20:51
Online failure reason: Authentication failed.
Server reply message: no user exists.
表1-3 display aaa online-fail-record命令显示信息描述表
|
字段 |
描述 |
|
Total count |
用户上线失败记录总数 |
|
Username |
用户名(若不存在,则显示为空) |
|
Domain |
用户上线使用的ISP域名(若不存在,则显示为空) |
|
MAC address |
用户的MAC地址(若不存在,则显示“-”) |
|
Access type |
用户的接入类型: · Telnet:Telnet用户 · FTP:FTP用户 · SSH:SSH用户 · NETCONF over SOAP:NETCONF over SOAP用户 · NETCONF over RESTful:NETCONF over RESTful用户 · Terminal:Terminal用户,例如从Console口登录设备的终端用户 |
|
Access interface |
用户接入的接口名(若不存在,则显示“-”) |
|
SVLAN/CVLAN |
服务提供商VLAN/用户VLAN(若不存在,则显示“-”) |
支持