FAQ-MA5200G域使用和控制策略

发布时间:  2012-07-26 浏览次数:  61 下载次数:  0
问题描述
Q:MA5200G上域包括哪些类型?分别都起什么作用?



告警信息




处理过程

A:
MA5200G上包括以下几种类型的域:认证前默认域(default-domain pre-authentication)、认证默认域(default-domain authentication)、强制认证默认域(default-domain authentication force)、强制替换认证域(default-domain authentication replace)、漫游域(roam-domain)、认证域(即用户输入的帐号中带的域名),这几个域的作用如下
认证前默认域:供web认证用户获取地址使用,只有web认证用户才需要配置这个域,用户先在这个域下以绑定格式用户名认证通过后并获取地址,通过这个域下的用户组号获取相应的控制权限。一般web认证的用户在这个域下认证通过后,只获取访问WEB认证服务器、DNS的权限(通过UCL-GROUP和ACL来控制);
认证默认域:用户在输入帐号认证的时候,如果帐号中不包含有域名,则用户使用认证默认域的认证、计费及RADIUS策略;
强制认证默认域:如果配置了此域,用户在输入帐号的时候,无论用户是否输入域名或用户输入什么域名,用户都按此强制认证默认域的认证、计费及RADIUS策略去认证计费,但在认证的时候不改变用户输入的域名(如果没输入则加上此强制认证默认域的域名);
强制替换认证域:用户在输入帐号的时候,无论用户是否输入域名或用户输入什么域名,用户都按此强制替换认证域的认证、计费及RADIUS策略去认证计费,同时在认证的时候强制把用户的域名改为此强制替换认证域的域名(如果没输入则加上此强制认证默认域的域名);注意:只有在VRP3.30-22XX的版本中才有此域配置;
漫游域:用户在输入帐号的时候(必须带域名,否则不会走到漫游域的策略),如果用户输入的帐号的域名在MA5200G中未配置,则使用漫游域下的认证、计费、RADIUS策略去认证计费,在认证的时候不改变用户输入的帐号;注意:只有在VRP3.30-2209及以后版本中才有此域的配置,在2209以前版本包括21XX漫游域和认证默认域是同一个域;
认证域:即用户在输入帐号中所带的域,当用户输入域名不在以上情况之中(即用户输入了域名,这个域名在MA5200G上配置且存在,用户所在的BAS端口也未配置强制或替换域),则用户使用用户输入的域下的认证、计费、RADIUS策略进行认证;




举例:
对于VRP3.30-2209之前版本,包括VRP3.30-21XX
假设用户输入的用户名为 user@A,用户所在的BAS接口下配置认证默认域为B,如果A域在MA5200G上不存在,则用户使用B域下的认证计费方案去认证计费(此时B为漫游域)认证用户名为user@A,如果A域在MA5200G存在,而且未配置后面强制或替换域,则用户使用A域下的认证计费策略,认证的用户名为user@A;用户所在的BAS接口号上配置强制认证默认域为C,则用户使用C域下的认证计费策略(无论A域在MA5200G上是否存在),但是认证的用户仍然是user@A;用户所在的BAS接口上配置强制替换认证域为D,则用户使用D域下的认证计费策略(无论A域在MA5200G上是否存在),且认证的用户名为user@D
假设用户输入的用户名为 user,用户所在的BAS接口下配置认证默认域为B,则用户使用B域下的认证计费方案去认证计费(此时B为默认域),用户名为user@B;用户所在的BAS接口号上配置强制认证默认域为C,则用户使用C域下的认证计费策略,认证的用户是user@C;用户所在的BAS接口上配置强制替换认证域为D,则用户使用D域下的认证计费策略,且认证的用户名为user@D




对于VRP3.30-2209之后版本
假设用户输入的用户名为 user@A,用户所在的BAS接口下配置认证默认域为B,如果A域在MA5200G上存在,则用户使用A域下的认证计费方案去认证计费(此时B为漫游域),认证用户名为user@A,如果A域在MA5200G上不存在,而且未配置漫游域(指关闭漫游域,默认漫游域功能打开且为default1),则用户认证失败;用户所在的BAS接口下配置漫游域为E,如果A域在MA5200G上不存在,则用户按E域下的认证计费策略去认证计费,认证的用户名为user@A,如果A域在MA5200G上存在,则用户使用A域下的认证计费方案,认证的用户名为user@A;用户所在的BAS接口号上配置强制认证默认域为F,则用户使用F域下的认证计费策略(无论A域在MA5200G上是否存在及是否配置漫游域),但是认证的用户仍然是user@A;用户所在的BAS接口上配置强制替换认证域为G,则用户使用G域下的认证计费策略(无论A域在MA5200G上是否存在及是否配置漫游域),且认证的用户名为user@G
假设用户输入的用户名为 user,用户所在的BAS接口下配置认证默认域为B,则用户使用B域下的认证计费方案去认证计费(此时B为默认域),认证的用户名为user@B;用户所在的BAS接口号上配置强制认证默认域为H,则用户使用H域下的认证计费策略,认证的用户仍然是user@H;用户所在的BAS接口上配置强制替换认证域为J,则用户使用J域下的认证计费策略,且认证的用户名为user@J

另外需要说明的是,以上描述的认证用户名不是最终送给radius的用户名,送给radius的用户名是否包括域名由设备配置是否给radius送域名决定。



根因




END