所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S12700 V200R010C00 配置指南-用户接入与认证

本文档介绍了用户接入与认证的相关特性,主要包括AAA、DAA、NAC、PPPoE、策略联动、IP Session。分别从特性原理、配置过程和配置举例等方面进行介绍。

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
基于域的用户管理

基于域的用户管理

NAS设备对用户的管理是基于域的,每个用户都属于一个域,一个域是由属于同一个域的用户构成的群体。简单地说,用户属于哪个域就使用哪个域下的AAA配置信息。

图1-2所示,域统一管理AAA方案、服务器模板和授权等配置信息:

  • AAA方案:分为认证方案、授权方案和计费方案,用来定义认证、授权和计费的方法及每种方法的生效顺序,AAA方案的详细介绍请参见AAA方案
  • 服务器模板:用来配置认证、授权或计费使用的服务器。配置服务器授权时,用户从服务器和域下获取授权信息,详见图1-3

    如果使用本地认证或授权,需要配置本地用户的相关信息。

  • 域下的授权信息:域下还可以配置授权信息,域下可以绑定业务方案、用户组等,业务方案、用户组内支持配置授权的ACL、VLAN等信息
图1-2  域下的AAA配置信息

授权信息分为两类:服务器下发的授权信息和域下的授权信息。用户从何处获取授权与授权方案中配置的授权方法有关。如图1-3所示:
  • 授权方法为本地授权时,用户从域下获取授权信息。
  • 授权方法为服务器授权时,用户从服务器和域下获取授权信息。域下配置的授权信息比服务器下发的授权信息优先级低,如果两者的授权信息冲突,则服务器下发的授权优先生效;如果两者的授权信息不冲突,则两者的授权信息同时生效。这样处理可以通过域管理进行灵活授权,而不必受限于服务器提供的授权。
图1-3  两类授权信息

用户所属的域

图1-4所示,用户所属的域是由用户登录到NAS设备时提供的用户名决定的,当用户名中没有携带域名或者携带的域名在NAS设备上未配置时,NAS设备无法确认用户所属的域,此时,NAS设备根据用户的类型将用户加入到默认域中

图1-4  用户名决定域

表1-1所示,为了提供更为精细且有差异化的认证、授权、计费服务,AAA将用户划分为管理员用户和接入用户两种类型。NAS设备存在两个全局默认域:全局默认管理域default_admin和全局默认普通域default,分别作为管理员用户和接入用户的全局默认域,两个全局默认域下的缺省配置也不同。
说明:

两个全局默认域缺省都绑定了名称为default的计费方案,修改该计费方案会同时影响这两个域的配置。

两个全局默认域均不能删除,只能修改。

表1-1  全局默认域

用户分类

用户接入方式

使用的全局默认域

全局默认域下的缺省配置

认证方案

计费方案

授权方案

管理员用户

又称为Login用户,指可以登录设备的用户。包括通过FTP、HTTP、SSH、Telnet和Console方式登录设备的用户。

default_admin

default(本地认证)

default(不计费)

接入用户

包括IP Session用户、PPP用户、NAC用户(包括802.1X认证用户、MAC认证用户和Portal认证用户)。

default

radius(本地认证)

default(不计费)

用户也可以根据实际需求,灵活定义全局默认域。自定义的全局默认域可以同时被配置成全局默认普通域和全局默认管理域。

通过命令display aaa configuration,可以查看设备当前配置的全局默认普通域和全局默认管理域。显示如下:
<HUAWEI> display aaa configuration
  Domain Name Delimiter            : @
  Domainname parse direction       : Left to right
  Domainname location              : After-delimiter
  Administrator user default domain: default_admin    //全局默认管理域
  Normal user default domain       : default    //全局默认普通域

对于某些接入方式,用户最终所属的域可由相应认证模块提供的命令行来指定,以满足一定的用户认证管理策略。例如:NAC接入用户,NAS设备支持基于认证模板配置默认域和强制域,并且可以指定用户类型(802.1X用户、MAC用户或者Portal用户),配置更加灵活。强制域、用户自带域和默认域在不同视图下的优先级从高到低如下所示:

认证模板下指定认证方式的强制域 > 认证模板下的强制域 > 用户自带域 > 认证模板下指定认证方式的默认域 > 认证模板下的默认域 > 全局默认域。比较特殊的是,对于MAC认证用户通过MAC地址段指定的强制域具有最高的优先级,高于认证模板下的配置。

NAS设备向RADIUS服务器发送的用户名格式

说明:
  • 仅RADIUS认证支持修改用户输入的原始用户名。

  • 支持基于RADIUS服务器模板修改用户输入的原始用户名。

NAS设备可以根据RADIUS服务器的要求,配置向RADIUS服务器发送的用户名是否包含域名。缺省情况下,NAS设备向RADIUS服务器发送的用户名为用户输入的原始用户名,不对其进行修改。

通过表1-2中的命令设置NAS设备向RADIUS服务器发送的用户名格式。

以下命令仅会修改发往服务器的RADIUS报文中的用户名格式,EAP报文中的用户名格式不会被修改。由于802.1X认证过程中,RADIUS服务器会检查EAP报文中携带的用户名与RADIUS服务器上的用户名是否一致,所以,802.1X认证时不能使用命令radius-server user-name domain-includedundo radius-server user-name domain-included修改用户的原始用户名,以免造成认证失败。

表1-2  设置NAS设备向RADIUS服务器发送的用户名格式
命令 用户名格式 用户输入的用户名 NAS设备发送给RADIUS服务器的用户名

radius-server user-name original

用户输入的原始用户名(缺省配置)

user-name@huawei.com user-name@huawei.com
user-name user-name

radius-server user-name domain-included

包含域名

user-name@huawei.com user-name@huawei.com
user-name

user-name@default

假设用户使用的默认域为default。

undo radius-server user-name domain-included

不包含域名

user-name@huawei.com user-name
user-name user-name

undo radius-server user-name domain-included except-eap

不包含域名

说明:
仅对非EAP认证用户有效
user-name@huawei.com user-name
user-name user-name
翻译
下载文档
更新时间:2019-12-28

文档编号:EDOC1000141386

浏览量:19993

下载量:353

平均得分:
本文档适用于这些产品

相关版本

相关文档

Share
上一页 下一页