所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

CloudEngine 8800, 7800, 6800, 5800 V200R002C50 命令参考

本文档介绍了设备中各特性的配置命令,包括每条命令的功能、格式、参数、视图、缺省级别、使用指南、举例和相关命令。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
AAA配置命令

AAA配置命令

aaa

命令功能

aaa命令用来进入AAA视图。

命令格式

aaa

参数说明

视图

系统视图

缺省级别

3:管理级

使用指南

执行aaa命令后,用户能够从系统视图进入到AAA视图,从而进行有关用户接入方面的安全配置,例如:创建用户、设定用户级别、配置认证方案、配置授权方案、配置域等。

使用实例

# 进入AAA视图。

<HUAWEI> system-view
[~HUAWEI] aaa
[~HUAWEI-aaa] 
相关主题

abnormal-offline-record

命令功能

abnormal-offline-record enable命令用来使能记录用户异常下线信息的功能。

abnormal-offline-record disable命令用来去使能记录用户异常下线信息的功能。

缺省情况下,已使能记录用户异常下线信息的功能。

命令格式

abnormal-offline-record enable

abnormal-offline-record disable

参数说明

视图

AAA视图

缺省级别

3:管理级

使用指南

在执行abnormal-offline-record disable命令后,到重新执行abnormal-offline-record enable命令之前,这段时间内不记录用户异常下线信息。

使用实例

# 使能记录用户异常下线信息功能。

<HUAWEI> system-view
[~HUAWEI] aaa
[~HUAWEI-aaa] abnormal-offline-record enable

offline-record

命令功能

offline-record enable命令用来使能记录用户下线信息的功能。

offline-record disable命令用来去使能记录用户下线信息的功能。

缺省情况下,记录用户下线信息功能处于使能状态。

命令格式

offline-record enable

offline-record disable

参数说明

视图

AAA视图

缺省级别

3:管理级

使用指南

当管理员需要协助分析、定位用户上线失败故障时,可以执行该命令,对用户下线进行记录。设备最多支持存储100条记录,超过该数目后,新的记录会覆盖旧的记录。

在执行offline-record disable命令后,到重新执行offline-record enable命令之前,这段时间内不记录用户下线信息。

使用实例

# 使能记录用户下线信息功能。

<HUAWEI> system-view
[~HUAWEI] aaa
[~HUAWEI-aaa] offline-record enable

# 去使能记录用户下线信息功能。

<HUAWEI> system-view
[~HUAWEI] aaa
[~HUAWEI-aaa] offline-record disable

online-fail-record

命令功能

online-fail-record enable命令用来使能记录用户上线失败信息的功能。

online-fail-record disable命令用来去使能记录用户上线失败信息的功能。

缺省情况下,已使能记录用户上线失败信息的功能。

命令格式

online-fail-record enable

online-fail-record disable

参数说明

视图

AAA视图

缺省级别

3:管理级

使用指南

当管理员需要获取用户上线失败记录,以对恶意用户进行初步排查时,可以使用online-fail-record enable命令使能用户上线失败记录功能。设备最多支持存储100条记录,超过该数目后,新的记录会覆盖旧的记录。

在执行online-fail-record disable命令后,到重新执行online-fail-record enable命令之前,这段时间内不记录用户上线失败信息。

使用实例

# 使能记录用户上线失败信息功能。

<HUAWEI> system-view
[~HUAWEI] aaa
[~HUAWEI-aaa] online-fail-record enable

# 去使能记录用户上线失败信息功能。

<HUAWEI> system-view
[~HUAWEI] aaa
[~HUAWEI-aaa] online-fail-record disable

access-limit

命令功能

access-limit命令用来配置当前域允许接入的用户数。

undo access-limit命令用来恢复缺省配置。

缺省情况下,不限制接入的用户数目。

命令格式

access-limit max-number

undo access-limit

参数说明

参数 参数说明 取值
max-number

指定允许接入的用户数。

整数形式,取值范围是0~283648

视图

AAA域视图

缺省级别

3:管理级

使用指南

应用场景

为了更方便地管理用户访问设备,可以限制域下用户的在线数量。

注意事项

执行这条配置命令后,当接入用户数大于允许的用户数时,系统不再允许用户接入系统,提示用户认证失败。

access-limit命令对一个域下所能接入的用户总数进行限制,不区分接入用户的类型。

使用实例

# 设置当前域最多允许接入100个用户。

<HUAWEI> system-view
[~HUAWEI] aaa
[~HUAWEI-aaa] domain huawei
[*HUAWEI-aaa-domain-huawei] access-limit 100

accounting-mode

命令功能

accounting-mode命令用来配置当前计费方案使用的计费模式。

缺省情况下,不计费,即计费模式为none

命令格式

accounting-mode { hwtacacs | none | radius }

参数说明

参数

参数说明

取值

hwtacacs

指定计费模式为HWTACACS模式,即使用HWTACACS服务器计费。

-

none

指定计费模式为不计费。

-

radius

指定计费模式为RADIUS模式,即使用RADIUS服务器计费。

-

视图

计费方案视图

缺省级别

3:管理级

使用指南

应用场景

企业或运营商为了保证正常的运营收入,需要对上网的用户进行计费。

用户上线时,经过认证和授权,计费开始;用户下线时,计费结束。客户端将计费报文上送给计费服务器,其中计费报文中记录了用户在线的时间。

如果需要对用户进行计费,则配置计费模式为RADIUS或HWTACACS。通常配置计费模式与认证模式一致,即都采用RADIUS模式或都采用HWTACACS模式。如果不需要对用户进行计费,则配置计费模式为none。

后续任务

在计费方案中配置完计费模式,需要在域中引用该计费方案,针对域中的用户计费才能生效。

使用实例

# 配置名为scheme1的计费方案采用RADIUS计费模式。

<HUAWEI> system-view
[~HUAWEI] aaa
[~HUAWEI-aaa] accounting-scheme scheme1
[*HUAWEI-aaa-accounting-scheme1] accounting-mode radius

accounting-scheme(AAA域视图)

命令功能

accounting-scheme命令用来设置当前域的计费方案。

undo accounting-scheme命令用来恢复域的计费方案为“default”。

缺省情况下,域使用名为“default”的计费方案。“default”计费方案的策略为:计费模式为不计费。

命令格式

accounting-scheme accounting-scheme-name

undo accounting-scheme

参数说明

参数

参数说明

取值

accounting-scheme-name

指定计费方案名称。

必须为已存在的计费方案名称。

视图

AAA域视图

缺省级别

3:管理级

使用指南

应用场景

如果需要对某个域的用户进行计费,需要创建计费方案并完成计费方案中的相关配置,如计费模式、开始计费失败策略等,然后使用accounting-scheme命令在域下应用此计费方案。

前置条件

设置域的计费方案之前,需要创建计费方案并完成计费方案中的相关配置,如计费模式、开始计费失败策略等。

使用实例

# 设置isp1域使用名为account1的计费方案。

<HUAWEI> system-view
[~HUAWEI] aaa
[~HUAWEI-aaa] accounting-scheme account1
[*HUAWEI-aaa-accounting-account1] quit
[*HUAWEI-aaa] domain isp1
[*HUAWEI-aaa-domain-isp1] accounting-scheme account1

# 恢复isp2域的计费方案为系统缺省的default计费方案。

<HUAWEI> system-view
[~HUAWEI] aaa
[~HUAWEI-aaa] domain isp2
[*HUAWEI-aaa-domain-isp2] undo accounting-scheme

accounting-scheme(AAA视图)

命令功能

accounting-scheme命令用来创建一个计费方案,并进入计费方案视图。

undo accounting-scheme命令用来删除一个计费方案。

缺省情况下,系统中有一个名称为“default”的计费方案。用户可以修改“default”计费方案,但是不能删除。“default”计费方案的策略为:计费模式为不计费。

命令格式

accounting-scheme accounting-scheme-name

undo accounting-scheme accounting-scheme-name

参数说明

参数

参数说明

取值

accounting-scheme-name

指定计费方案名称。

字符串形式,不区分大小写,长度范围是1~32,不支持空格,且不能包含以下字符:"/"、"\"、":"、"*"、"?"、"""、"<"、">"、"|"。

视图

AAA视图

缺省级别

3:管理级

使用指南

应用场景

如果需要对用户进行计费,需要先使用accounting-scheme命令创建计费方案。

后续任务

创建计费方案后,执行命令accounting-mode,配置当前计费方案使用的计费模式。

配置计费方案后,在AAA域视图下执行命令accounting-scheme(AAA域视图)应用计费方案。

注意事项

如果配置的计费方案在设备上不存在,则使用accounting-scheme命令后创建一个新的计费方案并进入计费方案视图。如果配置的计费方案已经在设备上存在,使用accounting-scheme命令后将直接进入计费方案视图。

设备最多支持256个计费方案,包括“default”计费方案在内。

如果需要删除已经在域下应用的计费方案,需要先执行undo accounting-scheme(AAA域视图)命令取消在域下的计费方案应用。

使用实例

# 增加一个新的计费方案,名为scheme1。

<HUAWEI> system-view
[~HUAWEI] aaa
[~HUAWEI-aaa] accounting-scheme scheme1
[*HUAWEI-aaa-accounting-scheme1] 

# 进入缺省计费方案视图。

<HUAWEI> system-view
[~HUAWEI] aaa
[~HUAWEI-aaa] accounting-scheme default
[~HUAWEI-aaa-accounting-default] 

adminuser-priority

命令功能

adminuser-priority命令用来配置当前域下管理用户的默认级别。

undo adminuser-priority命令用来删除当前域下管理用户的默认级别。

缺省情况下,没有配置当前域下管理用户的默认级别。

命令格式

adminuser-priority level

undo adminuser-priority

参数说明

参数 参数说明 取值
level 指定管理用户的默认级别。

command-privilege level rearrange使能时,level取值范围是0~15;当command-privilege level rearrange未使能时,level取值范围是0~3。

说明:
改变command-privilege level rearrange配置时,level的取值会联动变化,根据级别映射关系做如下修改:
  • 增加command-privilege level rearrange配置时,0级和1级命令级别不变,2级命令升到10级,3级升到15级。
  • 删除command-privilege level rearrange配置时,0级命令级别不变,1~9级命令降为1级,10~14级命令降为2级,15级命令降到3级。

视图

AAA域视图

缺省级别

3:管理级

使用指南

应用场景

配置当前域的管理用户默认级别后,当用户使用管理类方式登录系统时,如果本地或者服务器没有为用户配置授权级别(其中配置本地用户级别的命令为local-user level),系统会使用域下配置的默认级别为用户授权。但当本地或者服务器配置了用户级别后,用户级别以本地或者服务器的配置为准。

使用实例

# 配置域abc下管理用户登录时的级别为2。

<HUAWEI> system-view
[~HUAWEI] aaa
[~HUAWEI-aaa] domain abc
[*HUAWEI-aaa-domain-abc] adminuser-priority 2

authentication-mode(认证方案视图)

命令功能

authentication-mode命令用来配置当前认证方案使用的认证模式。

缺省情况下,认证模式为本地认证。

命令格式

authentication-mode { hwtacacs | local | radius } * [ none ]

authentication-mode none

参数说明

参数

参数说明

取值

hwtacacs

指定认证模式为HWTACACS认证。

-

local

指定认证模式为本地认证。

-

radius

指定认证模式为RADIUS认证。

-

none

指定认证模式为不进行认证,即直接让用户通过认证。

管理用户支持配置none认证模式,但是不允许登录设备。

-

视图

认证方案视图

缺省级别

3:管理级

使用指南

如果需要对用户进行认证,则必须配置认证方案中的认证模式。

如果在一个认证方案中使用多种认证模式,则认证模式的执行顺序为配置的先后顺序。只有在当前认证模式没有响应的情况下,设备才会采用下一种认证模式。但是如果认证失败,设备不会采用下一种认证模式。

在一个认证方案中使用多种认证模式,可以避免单一认证模式无响应而造成的认证失败。例如:
  • 配置为authentication-mode radius local时,当RADIUS认证服务器没有响应的时候,设备无法完成RADIUS认证,将跳转到本地认证模式,根据本地的用户信息进行认证。

  • 配置为authentication-mode local radius时,如果用户输入的用户名在设备上存在,但输入的密码与设备上配置的密码不一致时,该用户认证失败;当该用户的用户名在设备上不存在时,将跳转到RADIUS认证模式,根据对应的RADIUS服务器上的用户信息进行认证。

说明:
  • 如果设备配置了RADIUS认证和None认证两种方式,如果RADIUS认证回应认证拒绝报文,则用户无法跳转到None认证方式,用户无法登录。
  • 如果使用authentication-mode命令配置认证方式为不认证,并且使用authentication-mode(用户界面视图)命令在用户界面视图下配置了设备管理用户的认证方式为AAA,那么设备不允许该用户界面视图下的管理用户登录设备。
  • 如果使用authentication-mode命令配置认证方式为不认证,则802.1x用户上线时,用户输入任意的用户名和密码后都会认证成功。因此,为保护设备或网络安全,建议开启认证方式,保证用户经过认证后才可以访问设备或网络。

使用实例

# 指定名称为scheme0的认证方案采用本地认证模式。

<HUAWEI> system-view
[~HUAWEI] aaa
[~HUAWEI-aaa] authentication-scheme scheme0
[*HUAWEI-aaa-authen-scheme0] authentication-mode local

authentication-scheme(AAA域视图)

命令功能

authentication-scheme命令用来配置域的认证方案。

undo authentication-scheme命令用来将域的认证方案恢复为“default”。

缺省情况下,域使用“default”认证方案,认证模式为local,即本地认证。

命令格式

authentication-scheme authentication-scheme-name

undo authentication-scheme

参数说明

参数

参数说明

取值

authentication-scheme-name

指定认证方案名称。

必须为已存在的认证方案名称。

视图

AAA域视图

缺省级别

3:管理级

使用指南

应用场景

如果需要对某个域的用户进行认证,需要使用本命令设置当前域的认证方案。

前置条件

设置域的认证方案之前,需要创建认证方案并完成认证方案中的相关配置,如认证模式、用户提升级别时的认证模式等。

使用实例

# 配置名为isp1的域使用名为scheme1认证方案。

<HUAWEI> system-view
[~HUAWEI] aaa
[~HUAWEI-aaa] authentication-scheme scheme1
[*HUAWEI-aaa-authen-scheme1] quit
[*HUAWEI-aaa] domain isp1
[*HUAWEI-aaa-domain-isp1] authentication-scheme scheme1

authentication-scheme(AAA视图)

命令功能

authentication-scheme命令用来创建一个认证方案,并进入认证方案视图或直接进入一个已存在的认证方案视图。

undo authentication-scheme命令用来删除一个认证方案。

缺省情况下,系统中有一个名称为“default”的认证方案。用户可以修改“default”认证方案,但是不能删除。

命令格式

authentication-scheme authentication-scheme-name

undo authentication-scheme authentication-scheme-name

参数说明

参数

参数说明

取值

authentication-scheme-name

指定认证方案名称。

字符串形式,不区分大小写,长度范围是1~32,不支持空格,且不能包含以下字符:"/"、"\"、":"、"*"、"?"、"""、"<"、">"、"|"。

视图

AAA视图

缺省级别

3:管理级

使用指南

应用场景

如果需要对用户进行认证,需要先使用authentication-scheme命令创建认证方案。创建认证方案是配置其它认证步骤的前提。

后续任务

创建认证方案后,用户可以在认证方案视图下执行命令authentication-mode(认证方案视图),配置当前认证方案使用的认证模式。

配置认证方案后,在域视图下执行命令authentication-scheme(AAA域视图)应用认证方案。

注意事项

如果配置的认证方案在设备上不存在,则使用authentication-scheme命令创建一个新的认证方案并进入认证方案视图。如果配置的认证方案已经在设备上存在,使用authentication-scheme命令后将直接进入认证方案视图。

设备最多支持16个认证方案,包括“default”认证方案在内。

如果需要删除已经在域下应用的认证方案,需要先执行undo authentication-scheme(AAA域视图)命令取消在域下的认证方案应用。

使用实例

# 创建名为scheme0的认证方案。

<HUAWEI> system-view
[~HUAWEI] aaa
[~HUAWEI-aaa] authentication-scheme scheme0
[*HUAWEI-aaa-authen-scheme0] 

# 进入缺省认证方案视图。

<HUAWEI> system-view
[~HUAWEI] aaa
[~HUAWEI-aaa] authentication-scheme default
[~HUAWEI-aaa-authen-default] 

authorization-cmd

命令功能

authorization-cmd命令用来为指定级别的用户配置按命令行授权。

undo authorization-cmd命令用来取消对某级别用户的按命令行授权。

缺省情况下,对所有级别的用户采用本地授权模式。

命令格式

authorization-cmd [ privilege-level ] { hwtacacs | local } *

undo authorization-cmd [ privilege-level ]

参数说明

参数

参数说明

取值

privilege-level

指定用户的级别。

整数形式,取值范围是0~15。

hwtacacs

指定命令行授权模式为HWTACACS模式。

-

local

指定命令行授权模式为本地模式。

-

视图

授权方案视图

缺省级别

3:管理级

使用指南

应用场景

通常情况下,某级别用户经过授权后,可以执行该级别及该级别以下的命令集。为了加强对用户权限的限制,实现权限的最小化控制,可以配置按命令行授权。配置按命令行授权后,用户输入的每一条命令都需要进行授权,授权通过后才可以执行,否则不能执行该命令。 按命令行授权功能生效后,该级别用户执行命令时,每条命令都需要经过HWTACACS服务器授权。

注意事项

推荐配置本地授权方式作为HWTACACS授权模式的备份,这样当HWTACACS服务器出现问题导致授权无响应时,命令行授权将转入本地授权模式。

执行authorization-cmd后,按命令行授权功能不会立即生效。只有当配置有按命令行授权功能的授权方案在域上正确应用之后,按命令行授权功能才会生效。

系统视图下未使能command-privilege level rearrange开关时,如需对授权级别为<3-15>的用户配置命令行授权功能,请使用3级的命令行授权配置进行授权;使能command-privilege level rearrange开关时,如需对授权级别为<3-15>的用户配置命令行授权功能,可使用相应级别命令行授权配置进行授权。如对于级别为3的用户采用HWTACACS协议按命令行授权,没有使能command-privilege level rearrange开关时,配置应为authorization-cmd 3 hwtacacs;使能command-privilege level rearrange开关时,配置应为authorization-cmd 15 hwtacacs

使能按命令行授权功能的授权方案在域下应用后,如果执行undo authorization-cmd命令,将导致该域相应级别的在线用户无法执行任何命令(quit命令除外),此时用户需要重新登录。

使用实例

# 配置级别为2的用户为按命令行授权,授权模式为HWTACACS模式。

<HUAWEI> system-view
[~HUAWEI] aaa
[~HUAWEI-aaa] authorization-scheme scheme0
[*HUAWEI-aaa-author-scheme0] authorization-cmd 2 hwtacacs

authorization-mode

命令功能

authorization-mode命令用来配置当前授权方案使用的授权模式。

缺省情况下,授权模式为本地授权模式。

命令格式

authorization-mode { hwtacacs | if-authenticated | local } * [ none ]

authorization-mode none

参数说明

参数

参数说明

取值

hwtacacs

指定授权模式为HWTACACS模式。

-

if-authenticated

指定授权模式为if-authenticated模式。如果用户通过了认证,并且使用的认证模式不是none,则用户授权通过。

-

local

指定授权模式为本地授权。

-

none

指定授权模式为无需授权。

-

视图

授权方案视图

缺省级别

3:管理级

使用指南

应用场景

如果需要对用户进行授权,则必须配置授权方案中的授权模式。

在一个授权方案中使用多种授权模式,可以避免单一授权模式无响应而造成的授权失败。例如:

如果执行authorization-mode hwtacacs local命令,当HWTACACS授权服务器没有响应的时候,设备无法完成HWTACACS授权,将跳转到本地授权模式,根据本地的用户信息进行授权。

注意事项

如果在一个授权方案中使用包括none在内的多种授权模式时,none必须作为最后一种授权模式。

另外,如果在一个授权方案中使用多种授权模式,则授权模式的执行顺序为配置的先后顺序。只有在当前授权模式没有响应的情况下,设备才会采用下一种授权模式。

授权模式为if-authenticatednone时,用户的级别会继承所属域或者当前VTY用户视图下配置的级别。

使用实例

# 配置名为scheme0的授权方案首先使用HWTACACS授权模式,如果HWTACACS授权无响应再采用if-authenticated的授权模式。

<HUAWEI> system-view
[~HUAWEI] aaa
[~HUAWEI-aaa] authorization-scheme scheme0
[*HUAWEI-aaa-author-scheme0] authorization-mode hwtacacs if-authenticated

authorization-scheme(AAA域视图)

命令功能

authorization-scheme命令用来配置域的授权方案。

undo authorization-scheme命令用来取消域的授权方案。

缺省情况下,域使用授权方案default,授权模式为本地授权。

命令格式

authorization-scheme authorization-scheme-name

undo authorization-scheme

参数说明

参数

参数说明

取值

authorization-scheme-name

指定授权方案的名称。

必须为已存在的授权方案名称。

视图

AAA域视图

缺省级别

3:管理级

使用指南

应用场景

因为在RADIUS协议中认证与授权是绑定在一起的,因此如果认证模式为RADIUS认证,则不能再单独配置授权。但是在HWTACACS协议中,认证与授权是分离的,如果认证模式为HWTACACS,还可以配置授权。此外如果采用本地认证模式或不认证,也可以再配置授权。

如果需要对某个域的用户进行授权,需要使用authorization-scheme(AAA域视图)命令设置当前域的授权方案。

前置条件

设置域的授权方案之前,需要创建授权方案并完成授权方案中的相关配置,如授权模式、是否按命令行授权。

使用实例

# 配置名为isp1的域使用名为author1的授权方案。

<HUAWEI> system-view
[~HUAWEI] aaa
[~HUAWEI-aaa] authorization-scheme author1
[*HUAWEI-aaa-author-author1] quit
[*HUAWEI-aaa] domain isp1
[*HUAWEI-aaa-domain-isp1] authorization-scheme author1

authorization-scheme(AAA视图)

命令功能

authorization-scheme命令用来创建一个授权方案,并进入授权方案视图或直接进入一个已存在的授权方案视图。

undo authorization-scheme命令用来删除一个授权方案。

缺省情况下,系统中有一个名称为“default”的授权方案。用户可以修改“default”授权方案,但是不能删除。“default”授权方案的策略为:授权模式采用本地授权,不启用按命令行授权。

命令格式

authorization-scheme authorization-scheme-name

undo authorization-scheme authorization-scheme-name

参数说明

参数

参数说明

取值

authorization-scheme-name

指定授权方案的名称。

字符串形式,不区分大小写,长度范围是1~32,不支持空格,且不能包含以下字符:"/"、"\"、":"、"*"、"?"、"""、"<"、">"、"|"。

视图

AAA视图

缺省级别

3:管理级

使用指南

应用场景

在RADIUS协议中认证与授权是绑定在一起的,如果认证模式为RADIUS认证,则不能再单独配置授权。但是在HWTACACS协议中,认证与授权是分离的,如果认证模式为HWTACACS,还可以配置授权。此外如果采用本地认证模式或不认证,也可以再配置授权。只有使用authorization-scheme创建授权方案之后,才能进行授权的其他相关配置,如配置授权模式、是否按命令行授权。

后续任务

创建授权方案后,用户可以在授权方案视图下进行以下配置:

配置授权方案后,在域视图下执行命令authorization-scheme(AAA域视图)应用授权方案。

注意事项

  • 如果配置的授权方案在设备上不存在,则使用authorization-scheme(AAA视图)命令后创建一个新的授权方案并进入授权方案视图。
  • 如果配置的授权方案已经在设备上存在,使用authorization-scheme(AAA视图)命令后将直接进入授权方案视图。

系统最多支持16个授权方案,包括“default”授权方案在内。

如果需要删除已经在域下应用的授权方案,需要先执行命令undo authorization-scheme(AAA域视图)取消域下的授权方案应用。

使用实例

# 创建名为scheme0的授权方案。

<HUAWEI> system-view
[~HUAWEI] aaa
[~HUAWEI-aaa] authorization-scheme scheme0

# 进入缺省授权方案视图。

<HUAWEI> system-view
[~HUAWEI] aaa
[~HUAWEI-aaa] authorization-scheme default

cmd recording-scheme

命令功能

cmd recording-scheme命令用来配置记录方案的记录策略,记录用户在设备上执行过的命令。

undo cmd recording-scheme命令用来删除记录策略,不记录用户在设备上执行过的命令。

缺省情况下,不记录用户在设备上执行过的命令。

命令格式

cmd recording-scheme recording-scheme-name

undo cmd recording-scheme

参数说明

参数

参数说明

取值

recording-scheme-name

指定记录方案名称。

必须是已存在的记录方案名称。

视图

AAA视图

缺省级别

3:管理级

使用指南

应用场景

管理员用户在对设备进行配置时,可能由于错误的操作引起网络故障。配置记录用户执行过的命令后,可以在服务器上查看到执行命令的记录信息,从而定位网络故障。

前置条件

执行cmd recording-scheme前,需要先执行recording-scheme命令创建记录方案并执行recording-mode hwtacacs命令配置与记录方案相关联的HWTACACS服务器模板。

使用实例

# 指定记录方案scheme0的记录策略为记录用户在设备上执行过的命令。

<HUAWEI> system-view
[~HUAWEI] hwtacacs server template hw1
[*HUAWEI-hwtacacs-hw1] quit
[*HUAWEI] aaa
[*HUAWEI-aaa] recording-scheme scheme0
[*HUAWEI-aaa-recording-scheme0] recording-mode hwtacacs hw1
[*HUAWEI-aaa-recording-scheme0] quit
[*HUAWEI-aaa] cmd recording-scheme scheme0

cut access-user

命令功能

cut access-user命令用来切断一个或多个会话连接,即强制在线用户下线。

命令格式

cut access-user user-id start-num [ end-num ]

cut access-user { domain domain-name | username user-name [ all | hwtacacs | local | radius | none ] } *

参数说明

参数

参数说明

取值

user-id

指定根据用户ID拆除连接。

-

start-num

指定起始在线索引号。

整数形式,取值范围是0~4294967295。

end-num

指定结束在线索引号。

整数形式,取值范围是0~4294967295。此参数必须大于等于start-num

domain domain-name

指定根据域名拆除连接。

必须是已存在的域名。

username

指定根据用户名拆除连接。

-

user-name

指定需要拆除连接的完整的用户名。

格式为“纯用户名@域名”,字符串形式,取值范围是1~253,不区分大小写。

all

指定待拆除连接用户的所有的认证类型。

-

hwtacacs

指定待拆除连接用户的认证类型为HWTACACS。

-
local

指定待拆除连接用户的认证类型为LOCAL。

-
radius

指定待拆除连接用户的认证类型为RADIUS。

-
none 指定待拆除连接用户的认证类型为不认证。 -

视图

AAA视图

缺省级别

3:管理级

使用指南

应用场景

用户在进行某些配置(如AAA)时要求设备上没有在线用户,使用cut access-user命令切断用户连接。

  • 指定参数domain domain-name,将会强制域下的所有在线用户下线。

  • 指定参数user-id start-num [ end-num ],将会强制符合指定用户ID的在线用户下线。

  • 指定参数username user-name,将会强制符合指定用户名的在线用户下线。

注意事项

执行cut access-user命令会中断用户的业务。

使用实例

# 拆除名为huawei的域下的所有连接。

<HUAWEI> system-view
[~HUAWEI] aaa
[~HUAWEI-aaa] cut access-user domain huawei

display aaa abnormal-offline-record

命令功能

display aaa abnormal-offline-record命令用来查看用户异常下线记录。

命令格式

display aaa abnormal-offline-record [ brief | domain-name domain-name | time start-time end-time | username user-name ]

参数说明

参数 参数说明 取值
brief 显示用户异常下线记录的简要信息。 -
domain-name domain-name 显示指定域名的用户异常下线记录。

必须是已存在的域名。

time start-time end-time 显示指定时间段的用户异常下线记录。 格式为HH:MM:SS。HH表示小时,取值范围是0~23。MM表示分钟,取值范围是0~59。SS表示秒,取值范围是0~59。
username user-name 显示指定用户的异常下线记录。

必须是已存在的用户名。

视图

所有视图

缺省级别

3:管理级

使用指南

通过该命令可以查看异常下线的用户信息,包括用户名称、ID、上线时间和下线时间等,以便进行维护和管理。不输入任何参数时显示所有的用户异常下线记录。

使用实例

# 查看系统中所有的用户异常下线记录。
<HUAWEI> display aaa abnormal-offline-record
---------------------------------------------------------------------------
Abnormal Offline record switch : Enable
---------------------------------------------------------------------------
User name                      : netconf       
Domain name                    : default_admin    
User access type               : SSH       
User IP address                : 10.135.41.123    
User ID                        : 128       
User authen state              : Success     
User author state              : Success        
User login time                : 2013-08-19 08:11:28    
User offline time              : 2013-08-19 08:11:28    
User offline reason            : Host request  

User name                      : localuser1
Domain name                    : domain1
User access type               : Telnet
User IP address                : 10.111.100.180
User ID                        : 3
User authen state              : Success
User author state              : Success
User login time                : 2013-08-19 14:09:26
User offline time              : 2013-08-19 14:35:22
User offline reason            : Idle timeout
---------------------------------------------------------------------------
Total 2, 2 printed
# 查看系统中域名为default_admin的用户异常下线记录。
<HUAWEI> display aaa abnormal-offline-record domain-name default_admin 
---------------------------------------------------------------------------
Abnormal Offline record switch : Enable
---------------------------------------------------------------------------
User name                      : netconf       
Domain name                    : default_admin    
User access type               : SSH       
User IP address                : 10.135.41.123    
User ID                        : 128       
User authen state              : Success     
User author state              : Success        
User login time                : 2013-08-19 08:11:28    
User offline time              : 2013-08-19 08:11:28    
User offline reason            : Host request  
---------------------------------------------------------------------------
Total 1, 1 printed
# 查看系统中14:00:00至15:00:00之间的用户异常下线记录。
<HUAWEI> display aaa abnormal-offline-record time 14:00:00 15:00:00
---------------------------------------------------------------------------
Abnormal Offline record switch : Enable
---------------------------------------------------------------------------
User name                      : localuser1
Domain name                    : domain1
User access type               : Telnet
User IP address                : 10.111.100.180
User ID                        : 3
User authen state              : Success
User author state              : Success
User login time                : 2013-08-19 14:09:26
User offline time              : 2013-08-19 14:35:22
User offline reason            : Idle timeout
---------------------------------------------------------------------------
Total 1, 1 printed
# 查看系统中用户名为netconf的用户异常下线记录。
<HUAWEI> display aaa abnormal-offline-record username netconf
---------------------------------------------------------------------------
Abnormal Offline record switch : Enable
---------------------------------------------------------------------------
User name                      : netconf       
Domain name                    : default_admin    
User access type               : SSH       
User IP address                : 10.135.41.123    
User ID                        : 128       
User authen state              : Success     
User author state              : Success        
User login time                : 2013-08-19 08:11:28    
User offline time              : 2013-08-19 08:11:28    
User offline reason            : Host request  
---------------------------------------------------------------------------
Total 1, 1 printed
表16-1  display aaa abnormal-offline-record命令输出信息描述

项目

描述

Abnormal Offline record switch

用户异常下线记录功能是否开启。
  • Enable:开启
  • Disable:关闭

User name

下线的用户名称。

Domain name

下线用户的域名。

User access type

用户接入方式,可通过命令local-user service-type进行配置。

User IP address

用户IP地址。

User ID

用户ID。

User authen state

用户认证是否成功。

User author state

用户授权是否成功。

User login time

用户登录时间。

User offline time

用户下线时间。

User offline reason

用户下线原因。

# 查看系统中所有的用户异常下线记录的简要信息。
<HUAWEI> display aaa abnormal-offline-record brief
---------------------------------------------------------------------------   
Abnormal Offline record switch : Enable                          
---------------------------------------------------------------------------   
UserID       Username          IP address          Reason             
---------------------------------------------------------------------------   
128          netconf           10.135.41.123       Host request           
129          localuser1        10.111.100.180      Idle timeout            
--------------------------------------------------------------------------- 
Total: 2, printed: 2
表16-2  display aaa abnormal-offline-record brief命令输出信息描述

项目

描述

UserID

用户ID。

Username

下线的用户名称。

IP address

用户IP地址。

Reason

用户下线原因。

display aaa configuration

命令功能

display aaa configuration命令用来查看AAA的概要信息,如域、认证方案、授权方案、计费方案的使用情况。

命令格式

display aaa configuration

参数说明

视图

所有视图

缺省级别

3:管理级

使用指南

AAA的相关配置都受到严格的规格限制。因此在进行AAA的配置前,需要先执行命令display aaa configuration查看设备上是否还有足够的资源。

使用实例

# 查看AAA的概要信息。

<HUAWEI> display aaa configuration
---------------------------------------------------------------------------     
AAA configuration information :                                                 
---------------------------------------------------------------------------     
Parse priority                    : Domain first                                
Domain name delimiter             : @                                           
Domain name parse direction       : Left to right                               
Domain name location              : After-delimiter                             
Administrator user default domain : default_admin                               
Normal user default domain        : default                                     
Domain                            : max: 1024   used: 3                         
Authentication scheme             : max: 16     used: 1                         
Authorization scheme              : max: 16     used: 1                         
Accounting scheme                 : max: 128    used: 1                         
Recording scheme                  : max: 128    used: 0                         
Local user                        : max: 1000   used: 0                         
User group                        : max: 64     used: 4                         
--------------------------------------------------------------------------- 
表16-3  display aaa configuration显示信息说明

项目

描述

Parse priority

域名解析优先级,优先解析Domain域名。

Domain name delimiter

Domain域名分隔符。

Domain name parse direction

Domain域名解析方向,包括:

  • Left to right:从左到右解析域名。

  • Right to left:从右到左解析域名。

Domain name location

Domain域名位置,包括:

  • After-delimiter:在域名分隔符后。

  • Before-delimiter:在域名分隔符前。

Administrator user default domain

管理员用户默认域。

Normal user default domain

普通用户默认域。

Domain

域名的总数和使用情况。

Authentication scheme

认证方案总数和使用情况。

Authorization scheme

授权方案的总数和使用情况。

Accounting scheme

计费方案总数和使用情况。

Recording scheme

记录方案总数和使用情况。

Local user

本地用户的总数和使用情况。

User group

用户组的总数和使用情况。

display aaa offline-record

命令功能

display aaa offline-record命令用来查询系统中用户的下线记录。

命令格式

display aaa offline-record [ brief | domain-name domain-name | time start-time end-time | username user-name ]

参数说明

参数 参数说明 取值
brief

显示用户下线记录的简要信息。

-

domain-name domain-name

查询指定域下用户的下线记录。

必须是已存在的域名。

time start-time end-time

查询指定时间段的下线记录。start-time为该时间段的开始时间,end-time为该时间段的结束时间。

格式为hh:mm:ss。小时、分钟和秒之间使用“:”分隔,hh的范围是0~23,mm和ss的范围是0~59。

username user-name

显示指定用户名的下线记录。

必须是已存在的用户名。

视图

所有视图

缺省级别

3:管理级

使用指南

当需要分析、定位和用户上线失败相关的故障时,可以执行该命令,查询系统的下线记录。可按用户名和域名两种方式进行查询,若不输入用户名和域名,则显示所有用户的下线记录。

使用实例

# 显示所有用户下线记录。

<HUAWEI> display aaa offline-record
---------------------------------------------------------------------------
Offline record switch          : Enable
---------------------------------------------------------------------------
User name                      : user2@dom1
Domain name                    : dom1 
User access type               : Telnet
User IP address                : 10.138.78.181
User ID                        : 10
User authen state              : Success
User author state              : Success
User login time                : 2012-01-07 00:18:24
User offline time              : 2012-01-07 00:18:28
User offline reason            : User request to offline

 

User name                      : user1@dom1
Domain name                    : dom1 
User access type               : Telnet
User IP address                : 10.138.78.181
User ID                        : 9
User authen state              : Success
User author state              : Success
User login time                : 2012-01-07 00:18:07
User offline time              : 2012-01-07 00:18:16
User offline reason            : User request to offline

 

User name                      : netconf
Domain name                    : default 
User access type               : SSH
User IP address                : 10.137.127.251
User ID                        : 3
User authen state              : Success
User author state              : Success
User login time                : 2012-01-07 00:11:11
User offline time              : 2012-01-07 00:16:01
User offline reason            : User request to offline
---------------------------------------------------------------------------
Total 3, 3 printed

# 显示指定用户netconf的下线记录。

<HUAWEI> display aaa offline-record username netconf
---------------------------------------------------------------------------
Offline record switch          : Enable
---------------------------------------------------------------------------
User name                      : netconf
Domain name                    : default 
User access type               : Telnet
User IP address                : 10.138.78.181
User ID                        : 2
User authen state              : Success
User author state              : Success
User login time                : 2011-12-30 23:38:48
User offline time              : 2011-12-30 23:38:53
User offline reason            : User request to offline
---------------------------------------------------------------------------
Total 1, 1 printed

# 显示指定域dom1下所有用户的下线记录。

<HUAWEI> display aaa offline-record domain-name dom1
---------------------------------------------------------------------------
Offline record switch          : Enable
---------------------------------------------------------------------------
User name                      : user2@dom1
Domain name                    : dom1 
User access type               : Telnet
User IP address                : 10.138.78.181
User ID                        : 10
User authen state              : Success
User author state              : Success
User login time                : 2012-01-07 00:18:24
User offline time              : 2012-01-07 00:18:28
User offline reason            : User request to offline

 

User name                      : user1@dom1
Domain name                    : dom1 
User access type               : Telnet
User IP address                : 10.138.78.181
User ID                        : 9
User authen state              : Success
User author state              : Success
User login time                : 2012-01-07 00:18:07
User offline time              : 2012-01-07 00:18:16
User offline reason            : User request to offline
---------------------------------------------------------------------------
Total 2, 2 printed
# 显示从03:15:44到03:16:50之间的用户下线记录。
<HUAWEI> display aaa offline-record time 03:15:44 03:16:50
---------------------------------------------------------------------------
Offline record switch          : Enable
---------------------------------------------------------------------------
User name                      : root@dom1
Domain name                    : dom1
User access type               : Telnet
User IP address                : 10.135.34.224
User ID                        : 11
User authen state              : Success
User author state              : Success
User login time                : 2012-12-18 03:16:42
User offline time              : 2012-12-18 03:16:44
User offline reason            : User request to offline
---------------------------------------------------------------------------
Total 1, 1 printed
表16-4  display aaa offline-record命令输出信息描述

项目

描述

Offline record switch

用户下线信息记录功能是否开启:
  • Enable:开启
  • Disable:关闭

User name

用户名。

Domain name

域名。

User access type

用户接入方式,可通过命令local-user service-type进行配置。

User IP address

用户IP地址。

User ID

用户的ID。

User authen state

用户认证状态:
  • Idle:空闲。
  • Wait-authen-ack:等待。
  • Success:成功。
  • Failed:失败。

User author state

用户授权状态:
  • Idle:空闲。
  • Wait-author-ack:等待。
  • Success:成功。
  • Failed:失败。

User login time

用户上线时间。

User offline time

用户下线时间。

User offline reason

用户下线的原因。

# 显示用户下线记录的简要信息。
<HUAWEI> display aaa offline-record brief
---------------------------------------------------------------------------
Offline record switch          : Enable
---------------------------------------------------------------------------
User ID      User name         IP address          Reason                  
---------------------------------------------------------------------------
2            root              10.135.34.177       User request to offline 
4            aaa               10.135.34.177       User request to offline 
3            aaa               10.135.34.177       User request to offline
---------------------------------------------------------------------------
Total: 3, printed: 3
表16-5  display aaa offline-record brief命令输出信息描述

项目

描述

IP address

用户IP地址。

Reason

用户下线的原因。

display aaa online-fail-record

命令功能

display aaa online-fail-record命令用于查询用户的上线失败记录。

命令格式

display aaa online-fail-record [ brief | domain-name domain-name | time start-time end-time | username user-name ]

参数说明

参数 参数说明 取值
brief

显示用户上线失败记录的简要信息。

-

domain-name domain-name

查询指定域下用户的上线失败记录。

必须为已存在的域名。

time start-time end-time

查询指定时间段的上线失败记录。start-time为该时间段的开始时间,end-time为该时间段的结束时间。

格式为hh:mm:ss,小时、分钟和秒之间使用“:”分隔,hh的范围是0~23,mm和ss的范围是0~59。

username user-name

显示指定用户名的上线失败记录。

必须是已存在的用户名。

视图

所有视图

缺省级别

3:管理级

使用指南

当用户需要协助分析、定位用户上线失败故障时,可以执行该命令,查询用户的上线失败记录。设备支持按用户名和域名两种方式进行查询,若不输入用户名和域名,则显示所有用户的上线失败记录。

使用实例

# 显示所有用户上线失败记录。

<HUAWEI> display aaa online-fail-record
---------------------------------------------------------------------------
Online fail record switch      : Enable
---------------------------------------------------------------------------
User name                      : netconf
Domain name                    : default 
User access type               : Telnet
User IP address                : 10.138.78.181
User ID                        : 8
User authen state              : Failed
User author state              : AuthorIdle
User login time                : 2012-01-07 00:17:56
Online fail reason             : Username or password wrong

 

User name                      : user2@dom1
Domain name                    : dom1 
User access type               : Telnet
User IP address                : 10.138.78.181
User ID                        : 7
User authen state              : Failed
User author state              : AuthorIdle
User login time                : 2012-01-07 00:17:50
Online fail reason             : Username or password wrong

 

User name                      : user1@dom1
Domain name                    : dom1 
User access type               : Telnet
User IP address                : 10.138.78.181
User ID                        : 6
User authen state              : Failed
User author state              : AuthorIdle
User login time                : 2012-01-07 00:17:38
Online fail reason             : Username or password wrong
---------------------------------------------------------------------------
Total 3, 3 printed

# 显示指定用户netconf的上线失败记录。

<HUAWEI> display aaa online-fail-record username netconf
---------------------------------------------------------------------------
Online fail record switch      : Enable
---------------------------------------------------------------------------
User name                      : netconf
Domain name                    : default 
User access type               : Telnet
User IP address                : 10.138.78.181
User ID                        : 8
User authen state              : Failed
User author state              : AuthorIdle
User login time                : 2012-01-07 00:17:56
Online fail reason             : Username or password wrong

---------------------------------------------------------------------------
Total 1, 1 printed

# 显示指定域dom1下所有用户的上线失败记录。

<HUAWEI> display aaa online-fail-record domain-name dom1
---------------------------------------------------------------------------
Online fail record switch      : Enable
-----------------------------------
User name                      : user2@dom1
Domain name                    : dom1 
User access type               : Telnet
User IP address                : 10.138.78.181
User ID                        : 7
User authen state              : Failed
User author state              : AuthorIdle
User login time                : 2012-01-07 00:17:50
Online fail reason             : Username or password wrong

 

User name                      : user1@dom1
Domain name                    : dom1 
User access type               : Telnet
User IP address                : 10.138.78.181
User ID                        : 6
User authen state              : Failed
User author state              : AuthorIdle
User login time                : 2012-01-07 00:17:38
Online fail reason             : Username or password wrong
---------------------------------------------------------------------------
Total 2, 2 printed
# 显示从06:14:00到06:14:20之间的上线失败记录。
<HUAWEI> display aaa online-fail-record time 06:14:00 06:14:20
---------------------------------------------------------------------------
Online fail record switch      : Enable
---------------------------------------------------------------------------
User name                      : root@dom1
Domain name                    : dom1
User access type               : Telnet
User IP address                : 10.135.34.177
User ID                        : 6
User authen state              : Failed
User author state              : AuthorIdle
User login time                : 2013-04-28 06:14:16
Online fail reason             : Server no response
---------------------------------------------------------------------------
Total 1, 1 printed
# 显示用户上线失败记录的简要信息。
<HUAWEI> display aaa online-fail-record brief
---------------------------------------------------------------------------
Online fail record switch      : Enable
---------------------------------------------------------------------------
UserID       Username          IP address          Reason                  
---------------------------------------------------------------------------
7            aaa               10.135.34.177       Username or password wrong
6            root@dom1         10.135.34.177       Server no response      
---------------------------------------------------------------------------
Total: 2, printed: 2
表16-6  display aaa online-fail-record命令输出信息描述

项目

描述

User name

用户名。

Domain name

域名。

User access type

用户接入方式,可通过命令local-user service-type进行配置。

User IP address

用户IP地址。

User ID

用户的ID。

User authen state

用户认证状态:
  • Idle:空闲。
  • Wait-authen-ack:等待。
  • Success:成功。
  • Failed:失败。

User author state

用户授权状态:
  • Idle:空闲。
  • Wait-author-ack:等待。
  • Success:成功。
  • Failed:失败。

User login time

用户注册时间。

Online fail reason

用户上线失败的原因。

display aaa access-user

命令功能

display aaa access-user命令用来按照指定标准查看通过AAA认证的用户信息。

命令格式

display aaa access-user [ domain domain-name | ip-address ip-address | ipv6-address ipv6-address | user-id userid | username user-name ]

display aaa access-user self (该命令的级别是0:参观级。)

参数说明

参数

参数说明

取值

domain domain-name

根据连接所属的域名显示信息。

必须是已存在的域名。

ip-address ip-address

根据IPv4地址查看连接信息。

-

ipv6-address ipv6-address

根据IPv6地址查看连接信息。

-

user-id userid

根据在线索引查看连接信息,使用这种方式不区分用户状态。

整数形式,取值范围是0~4294967295

username user-name

根据用户名显示在线连接信息。完整的用户名,格式为“纯用户名@域名”。

必须是已存在的用户名。
self

查看自身登录使用的账户的连接信息。

-

视图

所有视图

缺省级别

3:管理级

使用指南

应用场景

本命令用于管理员在设备上查看已经存在的用户连接。

  • 当使用关键字user-id时,指定的是具体的连接,将显示连接的详细信息,包括:用户的连接号、用户名、激活状态、IP地址、接入类型、用户类型、当前认证模式、认证结果、当前授权模式、授权结果、维护标志、认证状态、授权状态数据等。

  • 当使用关键字domain时,将显示属于该域的所有用户在线连接信息,但显示的是概要信息,包括:用户名、所属域名、用户的连接号。

  • 当使用关键字ip-addressipv6-address时,将显示指定IP地址的所有在线连接信息,但显示的是概要信息,包括:用户索引、用户名、所属域名、ip地址等。

  • 当使用关键字username时,将显示该用户账号的所有在线连接信息,但显示的是概要信息,包括:用户名、所属域名、用户的连接号。

注意事项

如果指定user-id进行查询,则显示指定用户的详细信息。其他情况下显示在线用户的简要信息,包括用户索引、用户名、IP地址和MAC地址。

目前,回显信息中的“User name”仅支持显示为英文字母、数字或特殊字符的组合,不支持显示为中文等其他语言。

display aaa access-user self的缺省级别为参观级。

使用实例

# 查看指定在线索引号的用户的详细在线连接信息。

<HUAWEI> display aaa access-user user-id 1
--------------------------------------------------------------------------------
User access index              : 1
State                          : Used
User name                      : root
User IP address                : 10.138.78.61
User access type               : Telnet
User authentication type       : Administrator authentication
Current authen method          : Local authentication
Authen result                  : Success
Current author method          : Local authorization
Author result                  : Success
Action flag                    : Idle
Authen state                   : Success
Author state                   : Success
Current accounting method      : None Accounting
Access start time              : 2011-03-02 01:57:22
Accounting start time          : 2011-03-02 01:57:22
Accounting state               : Start Accounting Idle
User level                     : 3
Current author cmd method      : local
--------------------------------------------------------------------------------
表16-7  display aaa access-user user-id 1命令显示信息说明
项目 描述
User access index 用户的连接号
State 激活状态
User name 用户名
User IP address IP地址
User access type 接入类型
User authentication type 用户类型
Current authen method 当前认证模式
Authen result 认证结果
Current author method 当前授权模式
Author result 授权结果
Action flag 维护标志
Authen state 认证状态
Author state 授权状态
Current accounting method 当前计费模式
Access start time 接入时间
Accounting start time 计费开始时间
Accounting state 计费状态
User level 用户级别
Current author cmd method 当前命令鉴权模式

# 查看所有用户的在线连接信息。

<HUAWEI> display aaa access-user username netconf
------------------------------------------------------------------------------  
UserID     Username                  Domain-name               IP address       
------------------------------------------------------------------------------  
4          netconf                   default_admin             10.111.100.180   
------------------------------------------------------------------------------  
Total 1, 1 printed 
表16-8  display aaa access-user命令显示信息说明
项目 描述
UserID 用户的连接号
Username 用户名
Domain-name 用户所属域
IP address 用户IP地址

display aaa accounting-scheme

命令功能

display aaa accounting-scheme命令用来查看计费方案的配置情况,如计费方案名称、计费模式等。

命令格式

display aaa accounting-scheme [ accounting-scheme-name ]

参数说明

参数

参数说明

取值

accounting-scheme-name

指定查看的计费方案名称。

必须为已存在的计费方案名称。

视图

所有视图

缺省级别

3:管理级

使用指南

应用场景

完成计费方案的相关配置后,可以执行display aaa accounting-scheme查看计费方案的配置信息来确认计费方案配置是否正确。

在域下应用某个计费方案前,建议执行display aaa accounting-scheme查看计费方案的详细信息来判断该计费方案是否满足要求。

注意事项

如果指定了计费方案的名称,则显示详细的计费方案配置信息;否则只显示摘要信息。

使用实例

# 查看所有计费方案的摘要信息。

<HUAWEI> display aaa accounting-scheme
---------------------------------------------------------------------------
Accounting-scheme-name             Accounting-method     
---------------------------------------------------------------------------
default                            None accounting
---------------------------------------------------------------------------
Total 1, 1 printed

# 查看系统缺省的计费方案的详细配置信息。

<HUAWEI> display aaa accounting-scheme default
---------------------------------------------------------------------------     
Accounting-scheme-name   : default                                              
Accounting-method        : None accounting                                      
---------------------------------------------------------------------------     
表16-9  display aaa accounting-scheme命令显示信息说明

项目

描述

Accounting-scheme-name

计费方案的名称

Accounting-method

此计费方案配置的计费模式

display aaa authentication-scheme

命令功能

display aaa authentication-scheme命令用来查看认证方案的配置信息。

命令格式

display aaa authentication-scheme [ authentication-scheme-name ]

参数说明

参数

参数说明

取值

authentication-scheme-name

指定查看的认证方案名称。

必须为已存在的认证方案名称。

视图

所有视图

缺省级别

3:管理级

使用指南

应用场景

完成认证方案的相关配置后,可以执行display aaa authentication-scheme查看认证方案的配置信息来确认认证方案配置是否正确。

在域下应用某个认证方案前,建议执行display aaa authentication-scheme查看认证方案的详细信息来判断该认证方案是否满足要求。

注意事项

如果在认证方案视图下执行此命令,或者指定了认证方案的名称,则将显示详细的认证方案配置信息;否则只显示摘要信息。

使用实例

# 查看所有认证方案的摘要信息。

<HUAWEI> display aaa authentication-scheme
---------------------------------------------------------------------------
Authentication-scheme-name         Authentication-method 
---------------------------------------------------------------------------
default                            Local  
---------------------------------------------------------------------------
Total 1, 1 printed

# 查看配置名为default的认证方案的详细配置信息。

<HUAWEI> display aaa authentication-scheme default
---------------------------------------------------------------------------     
Authentication-scheme-name   : default                                          
Authentication-method        : Local authentication                             
Authentication-fail-policy   : Cut user   
---------------------------------------------------------------------------     
表16-10  display aaa authentication-scheme命令显示信息说明

项目

描述

Authentication-scheme-name

认证方案的名称。通过authentication-scheme(AAA视图)命令配置。

Authentication-method

认证方案的认证模式。通过authentication-mode命令配置。

Authentication-fail-policy

认证失败时对用户采取的策略,包括:
  • Online:用户继续在线
  • Cut user:断开用户

display aaa authorization-scheme

命令功能

display aaa authorization-scheme命令用来查看授权方案的配置信息。

命令格式

display aaa authorization-scheme [ authorization-scheme-name ]

参数说明

参数

参数说明

取值

authorization-scheme-name

指定查看的授权方案名称。

必须为已存在的授权方案名称。

视图

所有视图

缺省级别

3:管理级

使用指南

应用场景

完成授权方案的相关配置后,可以执行display aaa authorization-scheme查看授权方案的配置信息来确认授权方案配置是否正确。

在域下应用某个授权方案前,建议执行display aaa authorization-scheme查看授权方案的详细信息来判断该授权方案是否满足要求。

注意事项

如果指定了授权方案的名称,则显示详细的授权方案配置信息;否则只显示摘要信息。

使用实例

# 查看授权方案的摘要信息。

<HUAWEI> display aaa authorization-scheme
-----------------------------------------------------------------
Authorization-scheme-name         Authorization-method
-----------------------------------------------------------------
default                            Local  
scheme1                            Local  
-----------------------------------------------------------------
Total 2, 2 printed

# 查看系统缺省的授权方案的详细配置信息。

<HUAWEI> display aaa authorization-scheme default
--------------------------------------------------------------------------- 
Authorization-scheme-name   : default
Authorization-method        : Local authorization
Authorization-cmd usergroup : Local
Authorization-cmd level 0   : Local
Authorization-cmd level 1   : Local
Authorization-cmd level 2   : Local
Authorization-cmd level 3   : Local
Authorization-cmd level 4   : Local
Authorization-cmd level 5   : Local
Authorization-cmd level 6   : Local
Authorization-cmd level 7   : Local
Authorization-cmd level 8   : Local
Authorization-cmd level 9   : Local
Authorization-cmd level 10  : Local
Authorization-cmd level 11  : Local
Authorization-cmd level 12  : Local
Authorization-cmd level 13  : Local
Authorization-cmd level 14  : Local
Authorization-cmd level 15  : Local
Authorization-cmd no-response-policy    : Online 
--------------------------------------------------------------------------- 
表16-11  display aaa authorization-scheme命令显示信息说明

项目

描述

Authorization-scheme-name

表示授权方案的名称

Authorization-method

表示此授权方案配置的授权模式,包括:
  • 无需授权

  • 本地授权

  • HWTACACS授权

  • if-authenticated授权

  • RADIUS认证成功后授权

Authorization-cmd usergroup

表示未配置级别用户的命令行鉴权方式

Authorization-cmd level

表示该级别用户的命令行鉴权方式

Authorization-cmd no-response-policy

按命令行授权失败时的策略:允许用户上线。

display aaa domain

命令功能

display aaa domain命令用来查看域的配置信息。

命令格式

display aaa domain [ domain-name ]

参数说明

参数

参数说明

取值

domain-name

指定查看的域名。

如果不指定域名,则显示所有域的摘要信息。

必须为已存在的域名。

视图

所有视图

缺省级别

3:管理级

使用指南

通过命令domain创建域并完成域下的配置后可以执行该命令查看域的配置信息,检查配置是否正确。

使用实例

# 查看当前所有存在的域的配置信息。

<HUAWEI> display aaa domain
---------------------------------------------------------------------                                                               
Domain-name                              State  Access-limit   Online                                                               
---------------------------------------------------------------------                                                               
default                                  Active           --        0   
default_admin                            Active           --        0                                                               
huawei                                   Active           --        0                                                               
---------------------------------------------------------------------                                                               
表16-12  display aaa domain输出信息描述

项目

描述

Domain-name

标识域的名称。

State

标识域当前所处的状态,包括:
  • Active:激活状态,域下用户可上线。

  • Block:阻塞状态,域下用户不可上线。

Access-limit

标识限制的可接入用户的数目。

Online

标识当前在线用户数目。

# 显示指定域名的信息。

<HUAWEI> display aaa domain dom1
---------------------------------------------------------------
Domain-name                 : dom1
Domain-state                : Active
Authentication-scheme-name  : default
Authorization-scheme-name   : default
Accounting-scheme-name      : default
User-access-limit           : 100
Online-number               : 0
AdminUser-priority          : 2  
HWTACACS-server-template    : -
RADIUS-server-group         : -
---------------------------------------------------------------
表16-13  display aaa domain domain-name输出信息描述

项目

描述

Domain-name

标识域的名称。

Domain-state

标识域当前所处的状态,包括:

  • Active:激活状态,域下用户可上线。

  • Block:阻塞状态,域下用户不可上线。

Authentication-scheme-name

标识域引用的认证方案的名称。

Authorization-scheme-name

标识域引用的授权方案的名称。

Accounting-scheme-name

标识域引用的计费方案的名称。

User-access-limit

标识限制的可接入用户的数目。

Online-number

标识当前在线用户数目。

AdminUser-priority

标识当前管理用户的默认级别。

HWTACACS-server-template

标识域绑定的HWTACACS服务器模板名称。

RADIUS-server-group

标识RADIUS服务器组的名称。

display aaa local-user

命令功能

display aaa local-user命令用来查看本地用户的属性信息。

命令格式

display aaa local-user [ domain domain-name | locked | service-type service-type-name | state { active | block } | user-group user-group-name | username user-name ]

display aaa local-user self (该命令的级别是0:参观级。)

参数说明

参数 参数说明 取值
domain domain-name

指定本地用户的域名。

必须是已存在的域名。

locked

显示处于锁定状态的用户信息。lockedblock状态的区别是:locked的用户还是处于active状态,只是在锁定期内暂时被锁定,无法登录,超出锁定期即可登录;而处于block状态的用户永远无法登录。

-
self 查看自身登录使用的账户的属性信息。 -
service-type service-type-name

指定服务类型的用户信息。

服务类型包含以下几种:
  • dot1x:802.1x类型用户。

    说明:
    CE6880EI不支持此参数。
  • ftp:FTP类型用户。

  • snmp: SNMP类型用户。

  • ssh:SSH用户。

  • telnet:Telnet用户,通常指网络管理员。

  • terminal:终端用户,通常指Console口用户、VTY用户。

state { active | block }
显示处于指定状态的用户信息:
  • active:激活状态。
  • block:锁定状态。

-

user-group user-group-name

指定用户组名。

必须是已存在的用户组名。

username user-name

显示用户名。

必须是已存在的用户名。

视图

所有视图

缺省级别

3:管理级

使用指南

应用场景

配置本地用户后,可以执行该命令查看本地用户的配置信息,根据输出的信息,可以帮助诊断和排除与本地用户有关的故障。

注意事项

如果不指定可选参数,表示查看所有本地用户的概要信息;如果指定可选参数,则根据指定条件查看本地用户的详细信息。

display aaa local-user self的缺省级别为参观级。

使用实例

# 查看所有本地用户的概要信息。

<HUAWEI> display aaa local-user
Type: F - Ftp, T - Telnet, M - Terminal, S - Ssh, N - Snmp, X - Dot1x
---------------------------------------------------------------------------------------------------
Username                         State   Type   Access-limit   Online   Admin-level   User-group-id 
---------------------------------------------------------------------------------------------------
hello@163.net                    Active  F                --        0            15              --
---------------------------------------------------------------------------------------------------
表16-14  display aaa local-user命令输出信息描述

项目

描述

Username

本地用户名。

State

本地用户的状态。

Type

本地用户的接入类型。

Access-limit

接入限制数目。

Online

当前在线的用户数目。

Admin-level

本地用户的级别。

User-group-id

本地用户所属的用户组ID。

# 查看指定用户netconf的详细信息。

<HUAWEI> display aaa local-user username netconf
--------------------------------------------------------------------------------
Username                 : netconf
Password                 : ******
Original password        : Yes
Password set time        : 2013-04-16 20:58:42
Password expired         : No
User aged                : - 
Aging start time         : -  
User expired             : -   
Continue failed          : 0
Continue period          : 0
Last used                : -
Last IpAddr              : -
Latest failed            : 0
State                    : Active
User locked              : Yes
Reactive left time       : 183
Service type             : ftp
Access limit             : No
Online number            : 1
User level               : 3
User group name          : -
FTP directory            : -
--------------------------------------------------------------------------------
表16-15  display aaa local-user username命令输出信息描述

项目

描述

Username

本地用户名。

Password

本地用户的密码。

Original password

是否是初始密码。

Password set time

密码设置时间。

Password expired

密码过期状态。

User aged

用户账号是否老化:
  • Yes:老化。
  • No:不老化。

Aging start time

老化开始时间。

User expired

用户过期状态。

Continue failed

连续登录失败次数。

Continue period

连续登录失败次数的统计周期。

Last used

账号上次使用时间。

Last IpAddr

账号上次使用IP地址。

Latest failed

上次连续失败次数。

State

本地用户的状态:
  • Active:激活状态。
  • Block:阻塞状态。

User locked

本地用户是否被锁定:
  • Yes:锁定
  • No:未锁定

Reactive left time

表示被锁定用户的自动解锁时间(非锁定用户不显示该字段)。

Service type

本地用户的接入类型:
  • dot1x:802.1x类型用户。

  • ftp:FTP类型用户。

  • snmp:SNMP用户。

  • ssh:SSH用户。

  • telnet:Telnet用户,通常指网络管理员。

  • terminal:终端用户,通常指Console口用户。

Access limit

local-user access-limit命令设定的接入限制数目。

Online number

当前在线的用户数目。

User level

本地用户的等级。

User group name

本地用户所属的用户组。

FTP directory

本地用户的FTP根目录。

display aaa recording-scheme

命令功能

display aaa recording-scheme命令用来查看记录方案的配置信息。

命令格式

display aaa recording-scheme [ recording-scheme-name ]

参数说明

参数

参数说明

取值

recording-scheme-name

指定查看的记录方案的名称。

必须是已存在的记录方案名称。

视图

所有视图

缺省级别

3:管理级

使用指南

完成记录方案的相关配置后,可以执行display aaa recording-scheme查看记录方案的配置信息来确认记录方案配置是否正确。

使用实例

# 查看名为scheme0的记录方案配置情况。

<HUAWEI> display aaa recording-scheme scheme0
-----------------------------------------------------------------
 Recording-scheme-name           : scheme0
 HWTACACS-template-name          : tacas-1
---------------------------------------------------------------- 
表16-16  display aaa recording-scheme命令显示信息说明

项目

描述

Recording-scheme-name

记录方案的配置名。通过recording-scheme命令配置。

HWTACACS-template-name

记录方案关联的HWTACACS服务器模板的名称。通过recording-mode hwtacacs命令配置。

display max-onlineusers

命令功能

display max-onlineusers命令用来查看历史上同时在线用户数的最高记录。

命令格式

display max-onlineusers

参数说明

视图

所有视图

缺省级别

3:管理级

使用指南

执行该命令可查看从设备最近一次启动后,同时在线用户数的最高记录,方便管理员对用户进行管理和规划。

当设备重新启动后,系统重新开始计数。

使用实例

# 查看历史上同时在线用户数的最高记录。
<HUAWEI> display max-onlineusers
 Max online users since startup             : 2
 Time of max online users                   : 2013-09-17 20:08:30
 Max accounting-ready users since startup   : 0
 Time of max accounting-ready users         : -
表16-17  display max-onlineusers命令输出信息描述

项目

描述

Max online users since startup

系统记录的最大同时在线用户数。

Time of max online users

最大同时在线用户时间。

Max accounting-ready users since startup

系统记录的计费成功的最大用户在线用户数。

Time of max accounting-ready users

计费成功的最大用户在线用户时间。

display aaa task

命令功能

display aaa task命令用来查看task信息。

命令格式

display aaa task

参数说明

视图

所有视图

缺省级别

3:管理级

使用指南

当用户希望查看任务信息,以便对任务组进行配置时,可以使用display aaa task命令。

使用实例

# 查看系统中所有任务信息。

<HUAWEI> display aaa task
--------------------------------------------
Task-name                            Task-id
--------------------------------------------
ospf                                       1
rip                                        2
ripng                                      3
ntp                                        4
key-chain                                  5
patch                                      6
rpm                                        7
bgp                                        8
tunnel-policy                              9
tunnel                                    10
igmp                                      11

...                   

--------------------------------------------
Total 75, 75 printed    

表16-18  display aaa task命令显示信息说明

项目

描述

Task-name 任务名称。
Task-id 任务编号。
Total 75, 75 printed 任务的实际总个数,打印出来的任务总个数。

display aaa task-group

命令功能

display aaa task-group命令用来查看任务组相关信息。

命令格式

display aaa task-group [ task-group-name ]

参数说明

参数 参数说明 取值
task-group-name 指定任务组名。

必须是已存在的任务组名。

视图

所有视图

缺省级别

3:管理级

使用指南

应用场景

执行display aaa task-group命令可以查看任务组的相关信息,包括任务组名和任务组ID等。

前置条件

查看任务组信息前,该任务组必须已由task-group命令创建。

使用实例

# 查看所有任务组的简要配置信息。

<HUAWEI> display aaa task-group
------------------------------------------------------
Task-group-name                          Task-group-id
------------------------------------------------------
manage-tg                                            1
system-tg                                            2
monitor-tg                                           3
visit-tg                                             4
------------------------------------------------------
Total 4, 4 printed
表16-19  display aaa task-group命令输出信息描述

项目

描述

Task-group-name

任务组名称。

Task-group-id

任务组编号。

# 查看指定任务组的详细信息。

<HUAWEI> display aaa task-group monitor-tg
-----------------------------------------------------------
Task group name     : monitor-tg 
-----------------------------------------------------------  
                                    
Task authorization              
-----------------------------------------------------------  
TaskName                          Authorization     
-----------------------------------------------------------  
ospf                              read           
rip                               read             

...

-----------------------------------------------------------
Total 72, 72 printed 
表16-20  display aaa task-group命令输出信息描述

项目

描述

Task group name

任务组名称。

Task authorization

授予的任务组权限。

TaskName

任务名称。

Authorization

授予的权限。

Total 72, 72 printed

实际个数,打印个数。

display aaa user-group

命令功能

display aaa user-group命令用来查看用户组的配置信息。

命令格式

display aaa user-group [ user-group-name ]

参数说明

参数 参数说明 取值
user-group-name 查看指定名称的用户组的配置信息。

必须为已存在的用户组。

视图

所有视图

缺省级别

3:管理级

使用指南

应用场景

为了方便管理员查看当前设备的运行状态,了解设备当前的配置情况,或者定位用户组出现的异常情况。用户可以执行该命令查看用户组的配置情况。

没有指定具体用户组时,就是查看所有用户组;当指定具体用户组时,只显示指定的用户组信息。

前置条件

要查看指定用户组的配置情况,该用户组需要提前配置完成。

使用实例

# 查看所有用户组的简要配置信息

<HUAWEI> display aaa user-group
------------------------------------------------------
User-group-name                          User-group-id
------------------------------------------------------
manage-ug                                            1
system-ug                                            2
monitor-ug                                           3
visit-ug                                             4
------------------------------------------------------
Total 4, 4 printed

# 查看指定用户组的配置信息。

<HUAWEI> display aaa user-group monitor-ug
-----------------------------------------------------------
User group name     : monitor-ug
-----------------------------------------------------------
                                          
Task group authorization                     
----------------------------------------------------------- 
TaskGroupName                                             
-----------------------------------------------------------
monitor-tg                                                
-----------------------------------------------------------
Total 1, 1 printed 
表16-21  display aaa user-group命令显示信息说明

项目

描述

User-group-name

用户组的名称。

User-group-id

用户组的编号。

Total 4, 4 printed

实际个数,打印个数。

Task group authorization

授予的任务组权限。

TaskGroupName

用户组关联的任务组名称。

display snmp-agent trap feature-name aaa all

命令功能

display snmp-agent trap feature-name aaa all命令用来查看AAA模块的所有告警开关的信息。

命令格式

display snmp-agent trap feature-name aaa all

参数说明

视图

所有视图

缺省级别

3:管理级

使用指南

当用户需要查看AAA模块的所有告警开关的信息时,可以通过该命令实现。

使用实例

# 查看AAA模块的所有告警信息。

<HUAWEI>display snmp-agent trap feature-name aaa all
------------------------------------------------------------------------------                                                      
Feature name: AAA                                                                                                                   
Trap number : 2                                                                                                                     
------------------------------------------------------------------------------                                                      
Trap name                      Default switch status   Current switch status                                                        
hwAdminLoginFailed             on                      on                                                                           
hwAdminLoginFailedClear        on                      on       
表16-22  display snmp-agent trap feature-name aaa all命令输出信息描述

项目

描述

Feature name

告警所属的模块名称。

Trap number

告警的数量。

Trap name

告警的名称,AAA模块的告警包括:

  • hwAdminLoginFailed:打开管理类用户一段时间内登录失败次数达到指定门限的开关。
  • hwAdminLoginFailedClear:打开管理类用户一段时间内登录失败次数恢复到指定门限以下的开关。

Default switch status

缺省告警开关状态:
  • on:表示告警处于开启状态。
  • off:表示告警处于关闭状态。

Current switch status

当前告警开关状态
  • on:表示告警处于开启状态。
  • off:表示告警处于关闭状态。

default-domain admin

命令功能

default-domain admin命令用来配置全局默认管理域。

undo default-domain admin命令用来恢复全局默认管理域为缺省配置。

缺省情况下,全局默认管理域为default_admin。

命令格式

default-domain admin domain-name

undo default-domain admin

参数说明

参数

参数说明

取值

domain-name

指定全局默认管理域的域名。

必须是已存在的域名。

视图

AAA视图

缺省级别

3:管理级

使用指南

应用场景

所有在登录设备时没有提供域名的管理用户都属于全局默认管理域。如果系统管理员希望用户采用自己手工创建的域(例如first_domain)进行认证,则用户在输入用户名时必须添加域名分隔符和域名(例如@first_domain),这可能会造成使用不便。

为了解决上述问题,可以配置default-domain admin命令将域名first_domain配置成全局默认管理域,这样用户在输入用户名时就无须加“@first_domain”,提高了易用性。

如果使用本地认证,用户输入的账号必须和local-user password命令配置的账号精确匹配,才可以认证成功。假设缺省管理域为default_admin,
  • 如果登录时用户输入账号为huawei,需要配置本地用户local-user huawei password,如果只配置了local-user huawei@default_admin password会认证失败。
  • 如果登录时用户输入账号为huawei@default_admin,需要配置本地用户local-user huawei@default_admin password,如果只配置了local-user huawei password会认证失败。

前提条件

执行本命令之前,需确保已通过命令domain(AAA视图)成功创建了域。

注意事项

全局默认管理域有且仅有一个。

如果一个域被设置为全局默认管理域,执行undo domain命令无法删除该域,用户必须使用undo default-domain admin命令删除配置的默认域名才可以删除该域。

即便使用default-domain admin命令配置了新的默认域,系统缺省的默认域也不可以删除。

使用实例

# 创建localuser域,并指定其为全局默认管理域。

<HUAWEI> system-view
[~HUAWEI] aaa
[~HUAWEI-aaa] domain localuser
[*HUAWEI-aaa-domain-localuser] quit
[*HUAWEI-aaa] default-domain admin localuser

domain(AAA视图)

命令功能

domain命令用来创建域,并进入AAA域视图。

undo domain命令用来删除域。

缺省情况下,设备上存在名为“default”和“default_admin”两个域。可以修改这两个域下的配置,但是不能删除这两个域。

命令格式

domain domain-name

undo domain domain-name

参数说明

参数

参数说明

取值

domain-name

指定域名。

字符串形式,不区分大小写,长度范围是1~64,不支持空格,不能配置为“-”或“--”,且不能包含字符“*” “?” “"” “'”。

视图

AAA视图

缺省级别

3:管理级

使用指南

应用场景

设备对用户的管理可以通过域来实现,域是用户管理的最小单位,通常可以是某个ISP的名字或ISP的某种业务名字,域下可以实现缺省授权属性配置、RADIUS模板配置、认证和计费方案的配置等。

域在创建时处于激活状态。在创建域时,如果同名的域已经存在,将直接进入该AAA域视图。

前置条件

所有对于接入用户的认证、授权、计费都是在域视图下引用认证方案、授权方案、计费方案来实现的,因此在配置域之前,需要先在AAA视图下分别配置相应的认证方案、授权方案、计费方案。

注意事项

缺省情况下,设备存在两个域:全局默认普通域default、全局默认管理域default_admin。两个域均不能删除,只能修改。

其中默认普通域default当前为空闲域,不起作用。default_admin为管理员(通过SSH,Telnet,Terminal或FTP方式登录设备的用户)的缺省域,缺省为本地认证。

当管理员的用户名未携带域名,或者管理员的用户名携带域名但是域名不存在时,设备将管理员加入到缺省域中。

在设备最多可以配置1024个域,包括default域和default_admin域。

域下配置的缺省授权信息比AAA服务器(例如远端RADIUS服务器)的授权信息优先级低,即当授权属性同时存在时,用户优先取用AAA服务器的授权属性内容。域下配置的缺省授权属性在AAA服务器无该项授权或不支持该项授权时生效。

当域和域下的用户同时配置了某一属性且两者不一致时,基于用户配置的优先级高于域配置。

使用实例

# 创建admin域。

<HUAWEI> system-view
[~HUAWEI] aaa
[~HUAWEI-aaa] domain admin
相关主题

domain-location

命令功能

domain-location命令用来配置域名的位置。

undo domain-location命令用来恢复域名位置的默认值。

缺省情况下,域名在分隔符后。

命令格式

domain-location { after-delimiter | before-delimiter }

undo domain-location

参数说明

参数

参数说明

取值

after-delimiter

指定域名在分隔符后。

-

before-delimiter

指定域名在分隔符前。

-

视图

AAA视图

缺省级别

3:管理级

使用指南

用户名通常采用“纯用户名@域名”格式,@后面的部分为域名。如果配置了before-delimiter参数后,则@前面的部分为域名,@后面的部分为纯用户名。

在没有用户在线的情况下才能配置该命令。

使用实例

# 配置AAA视图下域名在分隔符前。

<HUAWEI> system-view
[~HUAWEI] aaa
[~HUAWEI-aaa] domain-location before-delimiter

domain-name-delimiter

命令功能

domain-name-delimiter命令用来配置域名分隔符。

undo domain-name-delimiter命令用来恢复缺省配置。

缺省情况下,域名分隔符为@。

命令格式

domain-name-delimiter delimiter

undo domain-name-delimiter

参数说明

参数 参数说明 取值
delimiter 指定域名分隔的符号,只能是1位。 只能是 \ / : < > | @ ' % 中的某一个。

视图

AAA视图

缺省级别

3:管理级

使用指南

应用场景

由于不同的AAA服务器可能使用不同的符号作为域名分隔符,为了保证AAA服务器获取正确的用户名和域名,可以在设备和服务器使用相同的分隔符。

例如,如果定义配置域名分隔符%,则dom1域的user1用户名表达为user1%dom1或dom1%user1。

注意事项

在执行本命令前必须保证不存在本地用户。

使用实例

# 配置AAA视图下域名分隔符为“/”。

<HUAWEI> system-view
[~HUAWEI] aaa
[~HUAWEI-aaa] domain-name-delimiter /

domainname-parse-direction

命令功能

domainname-parse-direction命令用来配置域名解析方向。

undo domainname-parse-direction命令用来恢复域名解析方向为缺省设置。

缺省情况下,域名解析方向为从左向右。

命令格式

domainname-parse-direction { left-to-right | right-to-left }

undo domainname-parse-direction

参数说明

参数

参数说明

取值

left-to-right

指定域名解析方向为从左向右。

-

right-to-left

指定域名解析方向为从右向左。

-

视图

AAA视图

缺省级别

3:管理级

使用指南

在目前AAA的实现中,所有用户都属于某个域,NAS对用户的管理是基于域的。当用户登录时,NAS首先对用户输入的用户名进行解析,只有用户名和域名都正确时认证才会成功。因此在配置AAA方案时,应执行命令domainname-parse-direction { left-to-right | right-to-left }配置域名的解析方向。

使用实例

# 配置AAA视图下域名解析方向为从右向左。

<HUAWEI> system-view
[~HUAWEI] aaa
[~HUAWEI-aaa] domainname-parse-direction right-to-left

forbidden word

命令功能

forbidden word命令用来配置密码的禁用词。

undo forbidden word命令用来删除密码的禁用词。

缺省情况下,没有配置密码的禁用词。

命令格式

forbidden word word

undo forbidden word word

参数说明

参数 参数说明 取值
word 指定密码的禁用词。配置密码禁用词word后,所有包含word的字符串(不区分大小写)都不能被配置成密码。 字符串形式,不支持空格和问号,不区分大小写,长度范围是1~255。当输入的字符串两端使用双引号时,可在字符串中输入空格。

视图

规则管理视图

缺省级别

3:管理级

使用指南

应用场景

为增强系统安全性,可以通过本命令配置密码的配置规则,禁止用户配置安全性较弱的密码。

注意事项

系统支持的密码配置规则总数为32条,一条密码规则下支持配置一个密码禁用词。

配置本命令后,新配置密码或者配置修改密码时不能包含密码禁用词,否则配置失败;已经配置的密码如果包含密码禁用词,在下次使用时系统会提醒密码过于简单,需要修改,但用户如果不修改也可以继续使用。

使用实例

# 配置密码的禁用词为huawei和company。

<HUAWEI> system-view
[~HUAWEI] security password
[*HUAWEI-security-password] rule admin
[*HUAWEI-security-password-rule-admin] forbidden word huawei
[*HUAWEI-security-password-rule-admin] forbidden word company

include task-group

命令功能

include task-group命令用来将指定任务组的权限加入到当前任务组中。

undo include task-group命令用来删除当前任务组对指定任务组的权限包含关系。

缺省情况下,任务组中没有添加对其他任务组的权限包含关系。

命令格式

include task-group task-group-name

undo include task-group task-group-name

参数说明

参数 参数说明 取值
task-group-name 指定任务组名。

由字母、数字、下划线组成的字符串,不支持空格,长度范围是1~32。方案名需要符合Windows的命名规范,不能包括斜线“\”、反斜线“/”、冒号“:”、星号“*”、问号“?”、引号“"”、竖划线“|”和尖括号“<”、“>”等字符。

视图

任务组视图

缺省级别

3:管理级

使用指南

应用场景

如果当前任务组的权限需要完全包含另一任务组的权限,或者当前任务组需要继承已有任务组的权限时,可在任务组中配置包含关系,将指定任务组的权限加入到当前任务组中。

当前任务组的权限依赖于被包含任务组的权限,当修改被包含任务组的权限信息后,当前任务组的权限也会随之修改。

前提条件

被包含的任务组必须已存在(已在设备上配置或为缺省组)。

注意事项

  • 每个任务组最多包含1个其他任务组。如需改变包含的任务组,需先执行undo include task-group命令删除对已有任务组的包含关系。
  • 默认组不可以包含其它组。
  • 包含深度最多支持4层:A(B(C(D))),即组A包含组B,组B又包含组C,组C又包含组D。
  • 任务组不能包含自己或者其它已经直接或者间接包含了该组的组。例如,A(B(A))是不允许的,即当组B包含了组A时,组A不能再包含组B。A(B(C(A)))也是不允许的,即当组B包含组C,组C又包含组A时,组A不能包含组B。

使用实例

# 配置任务组group1包含任务组tg1的权限。
<HUAWEI> system-view
[~HUAWEI] aaa
[~HUAWEI-aaa] task-group tg1
[*HUAWEI-aaa-task-group-tg1] quit
[*HUAWEI-aaa] task-group group1
[*HUAWEI-aaa-task-group-group1] include task-group tg1

include user-group

命令功能

include user-group命令用来将指定用户组的权限加入到当前用户组中。

undo include user-group命令用来删除当前用户组对指定用户组的权限包含关系。

缺省情况下,用户组中没有添加对其他用户组的权限包含关系。

命令格式

include user-group user-group-name

undo include user-group user-group-name

参数说明

参数 参数说明 取值
user-group-name 用户组名。 由字母、数字、下划线组成。字符串形式,不支持空格,长度范围是为1~32。方案名需要符合Windows的命名规范,不能包括斜线“\”、反斜线“/”、冒号“:”、星号“*”、问号“?”、双引号“"”、竖划线“|”和尖括号“<”、“>”等字符。

视图

用户组视图

缺省级别

3:管理级

使用指南

应用场景

如果当前用户组的权限需要完全包含另一用户组的权限,或者当前用户组需要继承已有用户组的权限时,可在用户组中配置包含关系,将指定用户组的权限加入到当前用户组中。

当前用户组的权限依赖于被包含用户组的权限,当修改被包含用户组的权限信息后,当前用户组的权限也会随之修改。

前置条件

被包含的用户组必须已存在(已在设备上配置或为缺省组)。

注意事项

  • 每个用户组最多包含1个其他用户组。如需改变包含的用户组,需先执行undo include user-group命令删除对已有用户组的包含关系。
  • 默认组不可以包含其它组。
  • 包含深度最多支持4层:A(B(C(D))),即组A包含组B,组B又包含组C,组C又包含组D。
  • 用户组不能包含自己或者其它已经直接或者间接包含了该组的组。例如,A(B(A))是不允许的,即当组B包含了组A时,组A不能再包含组B。A(B(C(A)))也是不允许的,即当组B包含组C,组C又包含组A时,组A不能包含组B。

使用实例

# 配置用户组group1包含用户组ug1的权限。
<HUAWEI> system-view
[~HUAWEI] aaa
[~HUAWEI-aaa] user-group ug1
[*HUAWEI-aaa-user-group-ug1] quit
[*HUAWEI-aaa] user-group group1
[*HUAWEI-aaa-user-group-group1] include user-group ug1
相关主题

local-user access-limit

命令功能

local-user access-limit命令用来配置本地用户同一时间的最大接入数目。

undo local-user access-limit命令用来取消接入数目的限制。

缺省情况下,不限制用户的连接数目。

命令格式

local-user user-name access-limit max-number

undo local-user user-name access-limit

参数说明

参数 参数说明 取值
user-name 指定用户名称。 字符串形式,格式为“纯用户名+域名分隔符+域名”,例如,对于用户账号admin@huawei.com,@为域名分隔符。纯用户名和域名不区分大小写,不支持空格,不能包含字符 “/” “\” “:” “*” “?” “"” “<” “>” “|” “@” “'” “%”。使能本地用户账户安全策略时,user-name的长度范围是6~253;去使能本地用户账户安全策略时,user-name的长度范围是1~253。如果没有携带域名分隔符,则认为整个字符串为用户名,且该用户属于缺省域。
max-number 指定允许用户接入的最大数目。 整数形式,取值范围是1~262144

视图

AAA视图

缺省级别

3:管理级

使用指南

应用场景

为了更方便地管理用户访问设备,可以采用该命令限制同一本地账户的在线数量。超过接入限制后,使用该用户名进行本地认证接入的用户将被拒绝。

前置条件

配置用户名接入的最大数目前,该用户名必须已由local-user password命令建立。

注意事项

若对不存在的本地用户配置接入限制,系统会提示该用户名不存在。

本地用户的属性变更不会对当前在线用户产生影响,已在线用户重新登录之后此配置变更生效。

使用实例

# AAA视图下,配置本地用户user1最多可建立10个接入连接。

<HUAWEI> system-view
[~HUAWEI] aaa
[~HUAWEI-aaa] local-user user1@huawei password irreversible-cipher Huawei@2012
[*HUAWEI-aaa] local-user user1@huawei access-limit 10
相关主题

local-user aging

命令功能

local-user aging命令用来设置指定本地用户的老化周期。

undo local-user aging命令用来恢复指定本地用户的老化周期至缺省值。

缺省情况下,本地用户不老化。

命令格式

local-user user-name aging aging-period

undo local-user user-name aging

参数说明

参数 参数说明 取值
user-name 指定用户名称。 字符串形式,格式为“纯用户名+域名分隔符+域名”,例如,对于用户账号admin@huawei.com,@为域名分隔符。纯用户名和域名不区分大小写,不支持空格,不能包含字符 “/” “\” “:” “*” “?” “"” “<” “>” “|” “@” “'” “%”。使能本地用户账户安全策略时,user-name的长度范围是6~253;去使能本地用户账户安全策略时,user-name的长度范围是1~253。如果没有携带域名分隔符,则认为整个字符串为用户名,且该用户属于缺省域。
aging-period 指定本地用户的老化周期。 整数形式,取值范围是0~365,单位是天。

视图

AAA视图

缺省级别

3:管理级

使用指南

应用场景

如果某个本地用户账号长期没有使用,可通过该命令设置账号老化周期。如果账号连续不使用的时间到达老化周期,则该账号自动过期。

当通过user-aging命令设置了所有用户的老化周期时:
  • 如果没有配置local-user aging命令,则用户的老化周期以user-aging命令的配置为准。
  • 如果配置了local-user aging命令,则用户的老化周期以local-user aging命令的配置为准。

前置条件

配置本地用户的老化周期前,该用户名必须已由local-user password命令建立。

注意事项

到达用户老化时间后,用户登录失败。

本地用户的属性变更不会对当前在线用户产生影响,已在线用户重新登录之后此配置变更生效。

使用实例

# 设置本地用户user1的老化周期为90天。
<HUAWEI> system-view
[~HUAWEI] aaa
[~HUAWEI-aaa] local-user user1 password irreversible-cipher Huawei@2012
[*HUAWEI-aaa] local-user user1 aging 90

local-user change-password

命令功能

local-user change-password命令用来使本地用户修改自己的密码。

命令格式

local-user change-password

参数说明

视图

用户视图

缺省级别

0:参观级

使用指南

应用场景

为了保证低级别管理用户的密码安全,管理用户认证通过后,可以在用户视图下通过此命令来修改自己的登录密码。

注意事项

本地认证通过的用户才可以执行该命令修改自己的密码。本地用户成功修改自己的密码后,下次登录需要输入新密码才可以认证通过。

该命令本身是修改本地用户密码,不直接保存配置,但会以local-user password命令的形式保存修改结果。若系统等待超过30秒后,用户还未输入旧密码或新密码、确认密码时,密码修改将中断。用户输入Ctrl+C取消本次密码修改时,密码修改将中断。

当恶意用户想要破解设备上的用户密码时,往往需要对密码进行多次尝试。为了防止恶意破解用户密码,可以使用local-user authentication lock times命令配置在指定时间内,允许的最大认证失败次数。若本地账号在设定的时间内达到设定的连续认证失败次数,则将用户锁定,增加了用户密码的安全性。

本地用户的属性变更不会对当前在线用户产生影响,已在线用户重新登录之后此配置变更生效。

使用实例

# 本地认证通过的用户修改自己的密码。

<HUAWEI> local-user change-password
Please enter old password: 
Please enter new password: 
Please confirm new password: 
Info: The password is changed successfully.

local-user expire

命令功能

local-user expire命令用来配置用户账号的过期日期。

undo local-user expire命令用来恢复用户账号的过期日期为缺省值。

缺省情况下,账号永不过期。

命令格式

local-user user-name expire date

undo local-user user-name expire

参数说明

参数 参数说明 取值
user-name 指定本地用户名。 字符串形式,格式为“纯用户名+域名分隔符+域名”,例如,对于用户账号admin@huawei.com,@为域名分隔符。纯用户名和域名不区分大小写,不支持空格,不能包含字符 “/” “\” “:” “*” “?” “"” “<” “>” “|” “@” “'” “%”。使能本地用户账户安全策略时,user-name的长度范围是6~253;去使能本地用户账户安全策略时,user-name的长度范围是1~253。如果没有携带域名分隔符,则认为整个字符串为用户名,且该用户属于缺省域。
date 指定账号的过期日期。 格式为YYYY-MM-DD,表示年-月-日,YYYY范围是2000~2099,MM范围是1~12,DD范围是1~31。过期日期不能早于当前日期。

视图

AAA视图

缺省级别

3:管理级

使用指南

应用场景

为增强网络安全性,管理员可使用命令local-user expire对本地用户配置有效期,当超过有效期后该用户账号将会失效。

前提条件

配置本地账号的有效期前,该账号必须已由local-user password命令建立。

注意事项

修改系统时间会直接影响用户账号的过期状态。

如果设备中所有用户都配置了有效期,则当最后一个用户过期后,便没有任何用户可以登录设备,导致设备无法被管理。为避免此种情况发生,当设备中所有管理用户(指用户类型为终端用户、Telnet、FTP或SSH)都设置了过期日期时,最后一个过期的管理用户(即设定的过期日期最晚的用户)是一直生效的。例如,设备中存在管理用户UserA和UserB,UserA的过期日期为2013年8月1日,UserB的过期日期为2013年8月31日。则UserA会在设定的时间(2013年8月1日)过期。
  • 如果不重新设定UserA的过期日期,则当到达2013年8月31日时,设备中只有UserB一个管理用户,此时UserB会一直保持生效,不会过期。
  • 如果用户使用UserB登录并重新设定了UserA的过期日期,则分为以下两种情况:

    • 如果在2013年8月31日以前,重新设定了UserA的过期日期为2013年12月1日,则此时UserA成为设备中最晚过期的管理用户,不会过期,而UserB会在2013年8月31日过期。
    • 如果在2013年8月31日以后(例如2013年9月1日),重新设定了UserA的过期日期为2013年12月1日,则此时UserA成为设备中最晚过期的管理用户,不会过期,而UserB会立即失效。

对于同一个用户,如果有效期和老化时间设置不一致,则取最早的时间失效。只有有效期和老化时间结合起来最晚失效的一个账户,才会永不过期与老化。

本地用户的属性变更不会对当前在线用户产生影响,已在线用户重新登录之后此配置变更生效。

使用实例

# 配置用户localuser1的过期日期为2015-11-11。
<HUAWEI> system-view
[~HUAWEI] aaa
[~HUAWEI-aaa] local-user localuser1 password irreversible-cipher Huawei@2012
[*HUAWEI-aaa] local-user localuser1 expire 2015-11-11

local-user ftp-directory

命令功能

local-user ftp-directory命令用来配置本地用户的FTP目录。

undo local-user ftp-directory命令用来将本地用户的FTP目录恢复为缺省配置。

缺省情况下,本地用户的FTP目录为空。

命令格式

local-user user-name ftp-directory directory

undo local-user user-name ftp-directory

参数说明

参数 参数说明 取值
user-name 指定用户账号。 字符串形式,格式为“纯用户名+域名分隔符+域名”,例如,对于用户账号admin@huawei.com,@为域名分隔符。纯用户名和域名不区分大小写,不支持空格,不能包含字符 “/” “\” “:” “*” “?” “"” “<” “>” “|” “@” “'” “%”。使能本地用户账户安全策略时,user-name的长度范围是6~253;去使能本地用户账户安全策略时,user-name的长度范围是1~253。如果没有携带域名分隔符,则认为整个字符串为用户名,且该用户属于缺省域。
directory 指定用户以FTP方式登录设备时所访问的目录。 不支持空格,区分大小写,长度范围是1~255

视图

AAA视图

缺省级别

3:管理级

使用指南

应用场景

当需要将设备配置为FTP服务器,从而便于本地用户以FTP方式登录设备,对设备上的文件进行增加、删除、修改等操作时,可以通过本命令配置本地用户以FTP方式登录设备后所处的目录。

不指定该目录时,本地用户无法以FTP方式登录设备。

前置条件

配置本地用户的FTP目录时,该用户必须已由local-user password命令建立。

注意事项

配置本命令后,本地用户通过FTP方式登录该设备时,将进入本命令所指定的目录。

本命令所指定的FTP目录必须是在设备上存在且合法的,即系统可识别的,否则本地用户将无法以FTP方式登录设备。

本地用户的属性变更不会对当前在线用户产生影响,已在线用户重新登录之后此配置变更生效。

使用实例

# 设置本地用户hello@163.net的FTP目录为flash:/

<HUAWEI> system-view
[~HUAWEI] aaa
[~HUAWEI-aaa] local-user hello@163.net password irreversible-cipher Huawei@2012
[*HUAWEI-aaa] local-user hello@163.net ftp-directory flash:/

local-user level

命令功能

local-user level命令用来设置本地用户的级别。

undo local-user level命令用来取消设置的本地用户的级别。

缺省情况下,本地用户的级别由管理模块来决定。

命令格式

local-user user-name level level

undo local-user user-name level

参数说明

参数 参数说明 取值
user-name 指定用户名。 字符串形式,格式为“纯用户名+域名分隔符+域名”,例如,对于用户账号admin@huawei.com,@为域名分隔符。纯用户名和域名不区分大小写,不支持空格,不能包含字符 “/” “\” “:” “*” “?” “"” “<” “>” “|” “@” “'” “%”。使能本地用户账户安全策略时,user-name的长度范围是6~253;去使能本地用户账户安全策略时,user-name的长度范围是1~253。如果没有携带域名分隔符,则认为整个字符串为用户名,且该用户属于缺省域。
level 用户级别。

command-privilege level rearrange使能时,level取值范围是0~15;当command-privilege level rearrange未使能时,level取值范围是0~3。

说明:
改变command-privilege level rearrange配置时,level的取值会联动变化,根据级别映射关系做如下修改:
  • 增加command-privilege level rearrange配置时,0级和1级命令级别不变,2级命令升到10级,3级升到15级。
  • 删除command-privilege level rearrange配置时,0级命令级别不变,1~9级命令降为1级,10~14级命令降为2级,15级命令降到3级。

视图

AAA视图

缺省级别

3:管理级

使用指南

应用场景

设备提供对命令行的分级管理,即对所有命令行设置一定的操作级别,只有用户的级别等于或者大于命令行的级别时,用户才能使用该命令。

前提条件

配置本地用户的级别前,该用户必须已由local-user password命令建立。

本地用户的属性变更不会对当前在线用户产生影响,已在线用户重新登录之后此配置变更生效。

使用实例

# 设置本地用户hello@huawei.net的级别是3。

<HUAWEI> system-view
[~HUAWEI] aaa
[~HUAWEI-aaa] local-user hello@huawei.net password irreversible-cipher Huawei@2012
[*HUAWEI-aaa] local-user hello@huawei.net level 3

local-user login-period

命令功能

local-user login-period命令用来配置本地用户允许登录的时间范围。

undo local-user login-period命令用来恢复本地用户允许登录的时间范围为缺省值。

缺省情况下,不限制本地用户允许登录的时间。

命令格式

local-user user-name login-period begin-time to end-time begin-day to end-day

undo local-user user-name login-period

参数说明

参数 参数说明 取值
user-name 指定用户名。 字符串形式,格式为“纯用户名+域名分隔符+域名”,例如,对于用户账号admin@huawei.com,@为域名分隔符。纯用户名和域名不区分大小写,不支持空格,不能包含字符 “/” “\” “:” “*” “?” “"” “<” “>” “|” “@” “'” “%”。使能本地用户账户安全策略时,user-name的长度范围是6~253;去使能本地用户账户安全策略时,user-name的长度范围是1~253。如果没有携带域名分隔符,则认为整个字符串为用户名,且该用户属于缺省域。
begin-time 指定允许用户登录的开始时间。 格式为HH:MM:SS,表示时:分:秒。取值范围是00:00:00~23:59:59。
end-time 指定允许用户登录的结束时间。 格式为HH:MM:SS,表示时:分:秒。取值范围是00:00:00~23:59:59。结束时间不能早于开始时间。
begin-day 指定允许用户登录的开始时间为星期几。 取值范围为Mon、Tue、Wed、Thu、Fri、Sat、Sun。
end-day 指定允许用户登录的结束时间为星期几。 取值范围为Mon、Tue、Wed、Thu、Fri、Sat、Sun。结束时间不能早于开始时间。Sun是一星期的第一天。

视图

AAA视图

缺省级别

3:管理级

使用指南

应用场景

管理员可对指定用户设定允许登录的时间。设定后,用户只能在允许的时间范围内登录设备,在其他时间内用户无法成功登录。

前提条件

配置本地用户的级别前,该用户必须已由local-user password命令建立。

注意事项

该功能配置的时间为UTC时间。

超出设定的登录时间时,在线用户会被强制下线。

该命令是覆盖式命令,多次配置时,仅最后一次配置生效。

本地用户的属性变更不会对当前在线用户产生影响,已在线用户重新登录之后此配置变更生效。

使用实例

# 配置用户user1登录时间段为每周一到周六,8:00:00到18:00:00。
<HUAWEI> system-view
[~HUAWEI] aaa
[~HUAWEI-aaa] local-user user1 password irreversible-cipher Huawei@2012
[*HUAWEI-aaa] local-user user1 login-period 8:00:00 to 18:00:00 Mon to Sat

local-user password

命令功能

local-user password命令用来创建一个本地用户并配置该用户的登录密码,或者修改已创建用户的登录密码。

undo local-user命令用来删除一个本地用户。

缺省情况下,系统没有本地用户。

命令格式

local-user user-name password [ cipher password | irreversible-cipher irreversible-cipher-password ]

undo local-user user-name

参数说明

参数 参数说明 取值
user-name

指定用户账号。

字符串形式,格式为“纯用户名+域名分隔符+域名”,例如,对于用户账号admin@huawei.com,@为域名分隔符。纯用户名和域名不区分大小写,不支持空格,不能包含字符 “/” “\” “:” “*” “?” “"” “<” “>” “|” “@” “'” “%”。使能本地用户账户安全策略时,user-name的长度范围是6~253;去使能本地用户账户安全策略时,user-name的长度范围是1~253。如果没有携带域名分隔符,则认为整个字符串为用户名,且该用户属于缺省域。
说明:
当去使能本地账户安全策略后,字符“*”可以作为通配符匹配已经创建的用户名,并批量修改匹配的用户名密码。
cipher password

指定密文密钥。密钥以明文或密文形式输入,但配置文件中保存为密文形式。

  • 不选择cipher关键字时,密码以交互式输入,系统不回显密码。

    输入的密码为字符串形式,区分大小写,开启用户账户安全策略时,取值范围是8~128。关闭用户账户安全策略时,长度范围是1~128。

    开启用户账户安全策略时,密码不能与用户名及其用户名反向字符串相同,且必须包含大写字母、小写字母、数字及特殊字符。

    说明:
    特殊字符不包括“?”和空格。但是,当输入的密码两端使用引号时,可在密码中间输入空格。
  • 选择cipher关键字时,密码可以以明文形式输入,也可以以密文形式输入。
    • 输入的密码为字符串形式,区分大小写,开启用户账户安全策略时,取值范围是8~128。关闭用户账户安全策略时,长度范围是1~128。开启用户账户安全策略时,密码不能与用户名及其用户名反向字符串相同,且必须包含大写字母、小写字母、数字及特殊字符。
      说明:
      特殊字符不包括“?”和空格。但是,当输入的密码两端使用引号时,可在密码中间输入空格。
    • 密码以密文形式输入,字符串形式,区分大小写,长度范围是32~268。
irreversible-cipher irreversible-cipher-password

指定不可逆密文密钥。密钥以明文或不可逆密文形式输入,但配置文件中保存为密文形式。

  • 不选择irreversible-cipher关键字时,密码以交互式输入,系统不回显密码。

    输入的密码为字符串形式,区分大小写,开启用户账户安全策略时,取值范围是8~128。关闭用户账户安全策略时,长度范围是1~128。

    开启用户账户安全策略时,密码不能与用户名及其用户名反向字符串相同,且必须包含大写字母、小写字母、数字及特殊字符。

    说明:
    特殊字符不包括“?”和空格。但是,当输入的密码两端使用引号时,可在密码中间输入空格。
  • 选择irreversible-cipher关键字时,密码可以以明文形式输入,也可以以不可逆密文形式输入。
    • 密码以明文形式输入,字符串形式,区分大小写,开启用户账户安全策略时,长度范围是8~128。关闭用户账户安全策略时,长度范围是1~128。开启用户账户安全策略时,密码不能与用户名及其用户名反向字符串相同,且必须包含大写字母、小写字母、数字及特殊字符。
      说明:
      特殊字符不包括“?”和空格。但是,当输入的密码两端使用引号时,可在密码中间输入空格。
    • 密码以不可逆密文形式输入,字符串形式,区分大小写,长度范围是48~128。
说明:

当用户输入密码时,直接以明文形式输入存在安全风险,建议用户以交互式方式输入。

视图

AAA视图

缺省级别

3:管理级

使用指南

应用场景

以如下三种方式访问设备时,需要创建本地用户并配置该用户的登录口令。
  • FTP方式
  • 通过用户账号+登录口令进行认证的SSH方式
  • 通过用户账号+登录口令进行认证的Telnet方式

创建本地用户并配置该用户的登录口令后,当以该用户名登录设备时,需要输入正确的登录口令才能够顺利登录。

如果指定的用户名不存在,执行此命令后将新建一个本地用户;如果指定的用户名已经存在,执行此命令后将设置用户的原密码为新密码。

说明:

本地用户登录后修改自己的密码时,需要校验原来的旧密码。

注意事项

  • 对于密码和用户名的设置规则在配置命令local-user policy security-enhance后要求更严格:
    • 本地用户名长度必须大于等于6个字符。
    • 密码要求:
      • 密码必须大于等于8个字符。
      • 密码必须包含数字、大写字母、小写字母、特殊字符(不包括?和空格,但是当输入的密码两端使用引号时,可在密码中间输入空格)。
      • 密码不能和账号或账号的反向字符串相同。
      • 密码不能与之前10次历史密码相同(与当前密码相同也视为与历史密码相同,即当前密码包含在10次历史密码之内)。
      • 密码被重置后,第一次登录会要求修改密码。
  • 配置local-user policy password complexity-enhance 命令后,后续创建本地用户或修改本地用户密码时:
    • 密码必须包含大写字母,数字和特殊字符。
    • 密码不能与之前10次历史密码相同。
local-user policy security-enhance命令和local-user policy password complexity-enhance 命令同时配置时,以安全性最高的配置生效。

无论是明文输入还是密文输入,配置文件中都以密文形式体现。通过交换方式输入的密码,生成的密码配置,关键字为irreversible-cipher

配置完成后,通过display aaa local-user username命令查看本地用户属性时,用户口令将以密文形式显示。

执行local-user password命令创建一个本地用户之后,系统会按照如下原则设置该本地用户的权限。
  1. 如果配置了local-user level命令,则采用该配置作为本地用户的权限。
  2. 如果没有配置local-user level命令,但是配置了local-user user-group命令,则采用该配置作为本地用户的权限。
  3. 如果local-user levellocal-user user-group命令均没有配置,但是在该本地用户所属域下配置adminuser-priority命令,则采用该配置作为本地用户的权限。

如果上述3条命令都没有配置,则系统会将本地用户权限设置为登录时使用的VTY级别,可能存在安全风险。建议使用local-user level命令或者local-user user-group命令配置本地用户的权限。

本地用户的属性变更不会对当前在线用户产生影响,已在线用户重新登录之后此配置变更生效。

使用实例

# 创建一个本地用户,用户名为hello,域名为163.net,交互式输入密码为Hello@163。

<HUAWEI> system-view
[~HUAWEI] aaa
[~HUAWEI-aaa] local-user hello@163.net password
Please configure the password (8-128)
Enter Password:
Confirm Password:

# 创建一个本地用户,用户名为hello,域名为163.net,非交互式输入密码为Hello@163。

<HUAWEI> system-view
[~HUAWEI] aaa
[~HUAWEI-aaa] local-user hello@163.net password irreversible-cipher Hello@163

local-user password expire

命令功能

local-user password expire命令用来配置用户密码的过期时间。

undo local-user password expire命令用来恢复密码过期时间为缺省值。

缺省情况下,用户密码过期时间为0,表示永不过期。

命令格式

local-user user-name password expire days

undo local-user user-name password expire

参数说明

参数 参数说明 取值
user-name 指定用户名。 字符串形式,格式为“纯用户名+域名分隔符+域名”,例如,对于用户账号admin@huawei.com,@为域名分隔符。纯用户名和域名不区分大小写,不支持空格,不能包含字符 “/” “\” “:” “*” “?” “"” “<” “>” “|” “@” “'” “%”。使能本地用户账户安全策略时,user-name的长度范围是6~253;去使能本地用户账户安全策略时,user-name的长度范围是1~253。如果没有携带域名分隔符,则认为整个字符串为用户名,且该用户属于缺省域。
days 指定用户密码的剩余有效时间,即多少天后失效。 整数形式,取值范围是0~999。取值为0时即表示该用户密码永不过期。

视图

AAA视图

缺省级别

3:管理级

使用指南

应用场景

为增强网络安全性,管理员可使用命令local-user password expire配置本地用户的密码过期时间,超过该时间后该用户的密码会失效。

当用户修改密码后,系统会重新计算过期时间。

密码失效后,必须为用户重新设置密码,否则用户登录失败。

前提条件

配置用户密码的过期时间前,该用户必须已由local-user password命令建立。

本地用户的属性变更不会对当前在线用户产生影响,已在线用户重新登录之后此配置变更生效。

使用实例

# 配置用户user1的密码在90天后失效。
<HUAWEI> system-view
[~HUAWEI] aaa
[~HUAWEI-aaa] local-user user1 password irreversible-cipher Huawei@2012
[*HUAWEI-aaa] local-user user1 password expire 90

local-user policy password change

命令功能

local-user policy password change命令用来配置本地管理员下次登录提醒修改原始密码。

undo local-user policy password change命令用来取消本地管理员下次登录提醒修改原始密码的设置。

缺省情况下,未配置本地管理员下次登录提醒修改原始密码。

命令格式

local-user policy password change

undo local-user policy password change

参数说明

视图

AAA视图

缺省级别

3:管理级

使用指南

应用场景

通过local-user policy password change可以配置本地管理员下次登录提醒修改原始密码的设置,原始密码是由最高权限管理员设置的。

前置条件

执行此命令前,请以管理员身份登录。

注意事项

此命令仅对管理员用户生效,不影响其他本地用户。配置此命令后,如果管理员用户不修改原始密码,每次登录都会提醒其修改原始密码。本地管理员可以通过local-user change-password命令修改自己的登录密码。

使用实例

# 在AAA视图下配置提醒管理员登录时修改原始密码。

<HUAWEI> system-view
[~HUAWEI] aaa
[~HUAWEI-aaa] local-user policy password change

local-user policy password complexity-enhance

命令功能

local-user policy password complexity-enhance命令用来使能本地用户的密码复杂度检查功能。

undo local-user policy password complexity-enhance命令用来去使能本地用户的密码复杂度检查功能。

缺省情况下,本地用户密码复杂度检查功能处于未使能状态。

命令格式

local-user policy password complexity-enhance

undo local-user policy password complexity-enhance

参数说明

视图

AAA视图

缺省级别

3:管理级

使用指南

应用场景

为避免出现密码设置过于简单导致账号被盗用的安全问题,管理员可以通过此命令强迫用户设置较为复杂的密码达到提高安全性的目的。

配置local-user policy password complexity-enhance命令后,对AAA视图下的后续创建本地用户或修改本地用户密码时有如下限制:
  • 密码必须包含数字、大写字母、特殊字符(不包括?和空格,但是当输入的密码两端使用引号时,可在密码中间输入空格)。
  • 密码不能与之前10次历史密码相同。

前置条件

执行此命令前,请以管理员身份登录。

注意事项

当登录用户的密码不符合当前设置的复杂度时,系统会提示用户修改密码。请根据系统提示信息进行修改。

建议不要关闭本地用户的密码复杂度检查功能,防止密码配置过于简单导致设备和业务存在安全隐患。

使用实例

# 在AAA视图下使能本地用户密码复杂度检查功能。

<HUAWEI> system-view
[~HUAWEI] aaa
[~HUAWEI-aaa] local-user policy password complexity-enhance

local-user policy password expire

命令功能

local-user policy password expire命令用来配置密码过期时间和过期前一定时间内提醒用户修改密码。

undo local-user policy password expire命令用来取消密码过期时间和过期前一定时间内提醒用户修改密码的配置。

缺省情况下,密码无过期时间。

命令格式

local-user policy password expire expire-days prompt prompt-days

undo local-user policy password expire

参数说明

参数 参数说明 取值
expire-days

指定用户密码的过期天数。

整数形式,取值范围0~365。

prompt prompt-days

指定在密码过期前的提醒天数。

整数形式,取值范围0~180。

视图

AAA视图

缺省级别

3:管理级

使用指南

应用场景

为避免出现管理员长期不修改密码导致账号被盗用的安全问题,执行此命令配置密码过期时间和过期前n天提醒用户修改密码。

此命令仅对管理员用户有效,不影响其他的本地用户。在密码过期前n天,每次用户登录时都会提示用户修改密码。如果超过设置的过期时间,管理员用户仍然不更改密码,该用户不能再登录。

说明:
过期时间从账号被创建时间开始计算。

前置条件

执行此命令前,请以管理员身份登录。

注意事项

用户密码的过期天数expire-days必须大于或者等于密码过期前的提示修改天数prompt-days

使用实例

# 在AAA视图下配置管理员用户密码有效期为90天,提前7天提醒。

<HUAWEI> system-view
[~HUAWEI] aaa
[~HUAWEI-aaa] local-user policy password expire 90 prompt 7

local-user policy password min-len

命令功能

local-user policy password min-len命令用来配置以明文形式输入的本地密码最小长度。

undo local-user policy password min-len命令用来恢复密码最小长度为缺省值。

缺省情况下,未配置以明文形式输入的本地密码最小长度。

命令格式

local-user policy password min-len min-length

undo local-user policy password min-len

参数说明

参数 参数说明 取值
min-length

指定密码的最小长度。

整数形式,取值范围是3~128。

视图

AAA视图

缺省级别

3:管理级

使用指南

应用场景

为避免出现密码设置过于简单,账号被盗用等安全问题,执行此命令强迫设置具有一定长度的密码达到提高安全性的目的。

配置本地密码最小长度之后,后续创建本地用户或修改本地用户密码时,密码必须不小于配置的密码最小长度,否则不能执行成功。

前置条件

执行此命令前,请以管理级用户身份登录。

注意事项

该命令只能设置以明文形式输入的密码长度,不能设置以密文形式输入的密码长度。

当登录用户的密码不符合当前设置的最小密码长度时,系统会提示用户修改密码。请根据系统提示信息进行修改。

如果既通过命令local-user policy security-enhance使能了本地用户账户安全策略功能,又通过本命令配置了本地密码最小长度,则两者中更严格的配置(密码长度较长的配置)生效。

使用实例

# 在AAA视图下配置本地密码的最小长度为16位。

<HUAWEI> system-view
[~HUAWEI] aaa
[~HUAWEI-aaa] local-user policy password min-len 16

local-user policy security-enhance

命令功能

local-user policy security-enhance命令用来使能本地用户账户安全策略功能。

undo local-user policy security-enhance命令用来去使能本地用户账户安全策略功能。

缺省情况下,本地账号安全策略功能处于使能状态。

命令格式

local-user policy security-enhance

undo local-user policy security-enhance

参数说明

视图

AAA视图

缺省级别

3:管理级

使用指南

应用场景

为避免出现用户名、密码设置过于简单,账号被盗用等安全问题,配置一个本地用户安全策略达到提高设备安全性的目的。

缺省情况下local-user policy security-enhance命令使能,对AAA视图下的用户名和密码有如下限制:
  • 用户名要求:本地用户名长度必须大于等于6个字符。
  • 密码要求:
    • 密码必须大于等于8个字符。
    • 密码必须包含数字、大写字母、小写字母、特殊字符(不包括?和空格,但是当输入的密码两端使用引号时,可在密码中间输入空格)。
    • 密码不能和账号或账号的反向字符串相同。
    • 密码不能与之前10次历史密码相同(与当前密码相同也视为与历史密码相同,即当前密码包含在10次历史密码之内)。
    • 密码被重置后,第一次登录会要求修改密码。
说明:
在缺省情况下,执行undo local-user policy security-enhance命令,可以取消以上限制。

前置条件

执行此命令前,请以3级以上的管理员身份登录。

注意事项

当登录用户的密码不符合当前设置的用户安全策略时,系统会提示用户修改密码。请根据系统提示信息进行修改。

使用实例

# 使能本地用户账户安全策略功能。

<HUAWEI> system-view
[~HUAWEI] aaa
[~HUAWEI-aaa] local-user policy security-enhance

local-user service-type

命令功能

local-user service-type命令用来配置本地用户的接入类型。

undo local-user service-type命令用来将本地用户的接入类型恢复为缺省配置。

缺省情况下,本地用户关闭所有的接入类型。

命令格式

local-user user-name service-type { none | dot1x | { ftp | snmp | ssh | telnet | terminal } * }

undo local-user user-name service-type

参数说明

参数 参数说明 取值
user-name

指定用户名。

字符串形式,格式为“纯用户名+域名分隔符+域名”,例如,对于用户账号admin@huawei.com,@为域名分隔符。纯用户名和域名不区分大小写,不支持空格,不能包含字符 “/” “\” “:” “*” “?” “"” “<” “>” “|” “@” “'” “%”。使能本地用户账户安全策略时,user-name的长度范围是6~253;去使能本地用户账户安全策略时,user-name的长度范围是1~253。如果没有携带域名分隔符,则认为整个字符串为用户名,且该用户属于缺省域。
dot1x

指定用户类型为802.1x用户。

说明:
CE6880EI不支持此参数。

-

ftp

指定用户类型为FTP用户。

-

none

不指定任何接入类型。

-

snmp

指定用户类型为SNMP用户。

-

ssh

指定用户类型为SSH用户。

-

telnet

指定用户类型为Telnet用户,通常指网络管理员。

如果配置telnet参数,需要使能Telnet服务器功能。

-

terminal

指定用户类型为终端用户,通常指Console口用户和VTY用户。

说明:

本参数只支持在PS(Physical System)上配置。

-

视图

AAA视图

缺省级别

3:管理级

使用指南

应用场景

系统提供对用户的接入类型管理,即对所有用户配置一定的接入类型,只有用户的接入方式与系统为该用户配置的接入类型匹配,用户才能登录。

说明:

配置用户的接入类型为Telnet或FTP时存在安全风险,建议仅配置安全的接入类型。

前提条件

配置本地用户的接入类型前,该用户必须已由local-user password命令建立。

注意事项

本地用户的属性变更不会对当前在线用户产生影响,已在线用户重新登录之后此配置变更生效。

使用实例

# 设置本地用户user1@vipdomain的接入类型为SSH。

<HUAWEI> system-view
[~HUAWEI] aaa
[~HUAWEI-aaa] local-user user1@vipdomain password irreversible-cipher Huawei@2012
[*HUAWEI-aaa] local-user user1@vipdomain service-type ssh

local-user state

命令功能

local-user state命令用来设置本地用户的状态。

缺省情况下,本地用户的状态为激活(active)态。

命令格式

local-user user-name state { active | block [ fail-times fail-times-value interval interval-value ] }

参数说明

参数 参数说明 取值
user-name 指定用户名。 字符串形式,格式为“纯用户名+域名分隔符+域名”,例如,对于用户账号admin@huawei.com,@为域名分隔符。纯用户名和域名不区分大小写,不支持空格,不能包含字符 “/” “\” “:” “*” “?” “"” “<” “>” “|” “@” “'” “%”。使能本地用户账户安全策略时,user-name的长度范围是6~253;去使能本地用户账户安全策略时,user-name的长度范围是1~253。如果没有携带域名分隔符,则认为整个字符串为用户名,且该用户属于缺省域。
active 指定本地用户的状态为激活态。这种状态下,设备将接收本地用户的认证请求并做进一步处理。 -
block 指定本地用户的状态为阻塞态。这种状态下,设备将拒绝本地用户的认证请求。系统不允许将最后一个管理员用户设置为阻塞态。 -
fail-times fail-times-value 指定允许本地用户可认证失败次数。 整数形式,长度范围是1~10。缺省情况下,允许本地用户可认证失败5次。
interval interval-value 指定本地用户可再次进行认证的时间间隔。 整数形式,长度范围是1~65535,单位是分钟。缺省情况下,本地用户可再次进行认证的时间间隔为5分钟。

视图

AAA视图

缺省级别

3:管理级

使用指南

应用场景

若某用户已经与设备建立连接,此时在设备上将该用户设置为阻塞态(block)后,不会对用户已经建立的在线连接产生影响,但会拒绝后续该用户的接入认证请求。

前提条件

设置本地用户的状态前,该用户必须已由local-user password命令建立。

注意事项

对处于阻塞状态的本地用户,设备将拒绝其认证请求。如果配置用户失败次数fail-times-value和间隔时间interval-value参数,则当用户失败登录次数超过设置的失败次数时,将在接下来设置的间隔时间范围内拒绝用户接入认证请求。

本地用户的属性变更不会对当前在线用户产生影响,已在线用户重新登录之后此配置变更生效。

使用实例

# 激活本地用户hello@huawei.net。

<HUAWEI> system-view
[~HUAWEI] aaa
[~HUAWEI-aaa] local-user hello@huawei.net password irreversible-cipher Huawei@2012
[*HUAWEI-aaa] local-user hello@huawei.net state active

local-user user-group

命令功能

local-user user-group命令用来配置本地用户加入指定用户组。

undo local-user user-group命令用来取消用户加入指定用户组,将本地用户恢复为不属于任何用户组的状态。

缺省情况下,本地用户不属于任何用户组。

命令格式

local-user user-name user-group group-name

undo local-user user-name user-group

参数说明

参数

参数说明

取值

user-name

指定用户名。

字符串形式,格式为“纯用户名+域名分隔符+域名”,例如,对于用户账号admin@huawei.com,@为域名分隔符。纯用户名和域名不区分大小写,不支持空格,不能包含字符 “/” “\” “:” “*” “?” “"” “<” “>” “|” “@” “'” “%”。使能本地用户账户安全策略时,user-name的长度范围是6~253;去使能本地用户账户安全策略时,user-name的长度范围是1~253。如果没有携带域名分隔符,则认为整个字符串为用户名,且该用户属于缺省域。

group-name

指定用户组名称。

必须是已存在的用户组名称。

视图

AAA视图

缺省级别

3:管理级

使用指南

应用场景

系统对用户权限的管理是通过用户组实现的,用户加入相应的用户组就能获得相应的用户权限。

前置条件

本命令配置时引用的用户组必须已由user-group命令创建。

配置本地用户的用户组前,该用户必须已由local-user password命令建立。

后续任务

执行该命令后,可使用命令display aaa local-user查看用户是否已加入该用户组。

注意事项

一个用户组可被多个本地用户引用,但一个本地用户只能属于一个用户组。

若本地用户与域下同时都配置了用户组,只有本地用户配置的用户组生效。

缺省用户组、被本地用户或在线用户引用的用户组不能删除。

本地用户的属性变更不会对当前在线用户产生影响,已在线用户重新登录之后此配置变更生效。

使用实例

# 配置本地用户名hello@huawei.net加入用户组group1。

<HUAWEI> system-view
[~HUAWEI] aaa
[~HUAWEI-aaa] user-group group1
[*HUAWEI-aaa-user-group-group1] quit
[*HUAWEI-aaa] local-user hello@huawei.net password irreversible-cipher Huawei@2012
[*HUAWEI-aaa] local-user hello@huawei.net user-group group1

login-failed threshold-alarm

命令功能

login-failed threshold-alarm命令用来配置管理用户登录失败的告警阈值。

undo login-failed threshold-alarm命令用来恢复管理用户登录失败的告警阈值为缺省值。

缺省情况下,如果管理用户5分钟内的登录失败次数在30次或30次以上,则产生告警;如果管理用户5分钟内的登录失败次数在小于20,则取消告警。

命令格式

login-failed threshold-alarm upper-limit report-times lower-limit resume-times period period

undo login-failed threshold-alarm

参数说明

参数 参数说明 取值
upper-limit report-times 指定告警上报门限。 整数形式,取值范围为0~100。如果指定为0,表示对管理用户登录失败不上报告警。
lower-limit resume-times 指定告警取消门限。 整数形式,取值范围为0~report-times,随report-times的变化而变化。例如report-times为50,则resume-times取值范围为0~50。如果resume-times为0,则和指定为1的作用相同,即无登录失败情况下告警取消。
period period 指定设备检测管理用户登录失败次数的周期。 整数形式,取值范围为1~120,单位是分钟。如果upper-limit report-times取值为0,则period的配置实际不生效。

视图

AAA视图

缺省级别

3:管理级

使用指南

应用场景

通过配置login-failed threshold-alarm命令,可以监控短期时间内频繁的管理用户登录失败行为,产生管理安全告警,及时显示给高级管理员,提醒其进行处理。在period时间内,当管理用户的登录次数大于等于report-times时,会产生告警;在period时间内,当管理员用户的登录失败次数小于resume-times时,告警取消。

注意事项

上报告警次数report-times必须大于等于resume-times

使用实例

# 配置管理用户登录失败告警阈值为3分钟内达20次或者超过20次上报告警,小于10次取消告警。

<HUAWEI> system-view
[~HUAWEI] aaa
[~HUAWEI-aaa] login-failed threshold-alarm upper-limit 20 lower-limit 10 period 3

outbound recording-scheme

命令功能

outbound recording-scheme命令用来配置记录方案的记录策略,记录连接信息。

undo outbound recording-scheme命令用来删除该记录策略,不记录连接信息。

缺省情况下,不记录连接信息。

命令格式

outbound recording-scheme recording-scheme-name

undo outbound recording-scheme

参数说明

参数

参数说明

取值

recording-scheme-name

指定记录方案名称。

必须是已存在的记录方案名称。

视图

AAA视图

缺省级别

3:管理级

使用指南

应用场景

使用命令outbound recording-scheme可记录用户在接入设备上连接其他设备的事件信息。

前置条件

执行outbound recording-scheme命令前需要已经在AAA视图下使用recording-scheme命令创建记录方案,并在记录方案视图下使用recording-mode hwtacacs命令关联HWTACACS服务器模板。

使用实例

# 指定记录方案scheme的记录策略为记录连接信息。

<HUAWEI> system-view
[~HUAWEI] hwtacacs server template hw1
[*HUAWEI-hwtacacs-hw1] quit
[*HUAWEI] aaa
[*HUAWEI-aaa] recording-scheme scheme
[*HUAWEI-aaa-recording-scheme] recording-mode hwtacacs hw1
[*HUAWEI-aaa-recording-scheme] quit
[*HUAWEI-aaa] outbound recording-scheme scheme

activate aaa local-user

命令功能

activate aaa local-user命令用来手动解锁指定的本地账号。

命令格式

activate aaa local-user user-name

参数说明

参数 参数说明 取值
user-name

指定用户名。

必须为已存在的用户名。

视图

用户视图

缺省级别

3:管理级

使用指南

当本地账号因连续认证失败达到local-user authentication lock times命令规定的次数而被锁定时,可以利用该命令将该账号解锁。

当本地账号过期后,管理员用户也可以利用该命令将该账号解锁。

使用实例

# 将本地账号root手动解锁。

<HUAWEI> activate aaa local-user root

recording-mode hwtacacs

命令功能

recording-mode hwtacacs命令用来配置与记录方案相关联的HWTACACS服务器模板。

undo recording-mode命令用来取消与记录方案相关联的HWTACACS服务器模板。

缺省情况下,记录方案不与HWTACACS服务器模板相关联。

命令格式

recording-mode hwtacacs template-name

undo recording-mode

参数说明

参数

参数说明

取值

template-name

指定HWTACACS服务器模板的名称。

必须是已存在的HWTACACS服务器模板名称。

视图

记录方案视图

缺省级别

3:管理级

使用指南

应用场景

设备需要将记录信息,如执行过的命令、连接信息、系统级事件,发送到指定的HWTACACS计费服务器。因此需要在记录模板中关联HWTACACS服务器模板。

前提条件

已通过命令hwtacacs server template创建了HWTACACS服务器模板。

使用实例

# 指定配置名为scheme0的记录方案与名称为tacacs1的HWTACACS服务器模板相关联。

<HUAWEI> system-view
[~HUAWEI] hwtacacs server template tacacs1
[*HUAWEI-hwtacacs-tacacs1] quit
[*HUAWEI] aaa
[*HUAWEI-aaa] recording-scheme scheme0
[*HUAWEI-aaa-recording-scheme0] recording-mode hwtacacs tacacs1

recording-scheme

命令功能

recording-scheme命令用来创建一个记录方案,并进入记录方案视图。

undo recording-scheme命令用来删除一个记录方案。

缺省情况下,设备中没有记录方案。

命令格式

recording-scheme recording-scheme-name

undo recording-scheme recording-scheme-name

参数说明

参数

参数说明

取值

recording-scheme-name

指定记录方案名称。

字符串形式,不区分大小写,长度范围是1~32,不支持空格,且不能包含以下字符:"/"、"\"、":"、"*"、"?"、"""、"<"、">"、"|"。

视图

AAA视图

缺省级别

3:管理级

使用指南

应用场景

记录方案生效后,可以在记录服务器上查看到记录信息,如执行的命令、连接信息、系统级事件等。在发生网络故障时,可以通过这些信息来定位故障。因为配置记录需要关联HWTACACS服务器,一般在使用HWTACACS方式进行认证、授权时才会配置记录。

使用recording-scheme命令创建记录方案是配置记录的必选步骤。

后续任务

创建记录方案后,需要在记录方案视图下执行命令recording-mode hwtacacs关联服务器模板。

注意事项

如果配置的记录方案在设备上不存在,则使用recording-scheme命令后创建一个新的记录方案并进入记录方案视图。如果配置的记录方案已经在设备上存在,使用recording-scheme命令后将直接进入记录方案视图。

如果需要删除记录方案,请确保没有通过命令cmd recording-schemeoutbound recording-schemesystem recording-scheme引用了该记录方案。

设备最多支持128个记录方案。

使用实例

# 创建名为scheme0的记录方案。

<HUAWEI> system-view
[~HUAWEI] aaa
[~HUAWEI-aaa] recording-scheme scheme0
[*HUAWEI-aaa-recording-scheme0]

reset aaa

命令功能

reset aaa命令用来清除异常下线、用户下线、上线失败的记录信息。

命令格式

reset aaa { abnormal-offline-record | offline-record | online-fail-record }

参数说明

参数 参数说明 取值
abnormal-offline-record 清除用户异常下线记录。

-

offline-record 清除用户下线记录。

-

online-fail-record 清除用户上线失败记录。

-

视图

用户视图

缺省级别

3:管理级

使用指南

通过执行该命令清除用户下线、异常下线、上线失败的记录信息,清除记录信息后记录信息功能为使能状态。

使用实例

# 清除用户下线记录。

<HUAWEI> reset aaa offline-record

rule admin

命令功能

rule admin命令用来进入规则管理视图。

缺省情况下,没有进入规则管理视图。

命令格式

rule admin

参数说明

视图

密码安全视图

缺省级别

3:管理级

使用指南

应用场景

需要配置密码禁用词时,需要执行rule admin命令进入规则管理视图。

后续处理

执行forbidden word命令配置密码禁用词。

使用实例

# 进入规则管理视图。

<HUAWEI> system-view
[~HUAWEI] security password
[~HUAWEI-security-password] rule admin

rule command(任务组视图)

命令功能

rule command命令用来在当前任务组创建一条权限规则,配置对命令行的执行权限(允许在某个视图下执行某个或某些命令)。

undo rule command命令用来删除当前任务组下配置的命令行权限规则。

缺省情况下,任务组下没有配置命令行权限规则。

命令格式

rule command rule-name permit view view-name expression command-string

undo rule command rule-name

参数说明

参数 参数说明 取值
rule-name 指定命令行规则的名称。 字符串形式,不支持空格,长度范围是为1~15,区分大小写。当输入的字符串两端使用双引号时,可在字符串中输入空格。
permit 表示允许在某个视图下执行某个或某些命令。 -
view view-name 指定视图名称。 系统支持的所有视图。
expression command-string 指定需要允许执行的一条或一批前缀相同的命令。 系统支持的所有命令。

视图

任务组视图

缺省级别

3:管理级

使用指南

应用场景

为实现权限的精细管理和灵活配置,支持精确授权一条(或一批前缀相同的)命令行到指定任务组,或者在指定任务组允许一条(或一批前缀相同的)命令。

同一个任务组中,该命令的优先级高于本任务组中的task命令,当rule command命令的配置与task命令的权限配置相冲突时,以rule command命令的配置为准。

注意事项

同一任务组下,不允许配置视图和关键字前缀都完全相同的两条规则。例如,当规则1中配置了在系统视图下允许执行sysname命令,则其他规则中不能再对sysname命令进行配置。

该命令为覆盖式命令,即如果新配置的规则与已有规则名称相同,则新配置的规则会覆盖原来的规则。

使用实例

# 在任务组group1中,配置在系统视图下允许执行sysname命令。
<HUAWEI> system-view
[~HUAWEI] aaa
[~HUAWEI-aaa] task-group group1
[*HUAWEI-aaa-task-group-group1] rule command command1 permit view system expression sysname
# 在任务组group1中,配置在系统视图下允许执行以hwtacacs开始的所有命令。
<HUAWEI> system-view
[~HUAWEI] aaa
[~HUAWEI-aaa] task-group group1
[*HUAWEI-aaa-task-group-group1] rule command command2 permit view system expression hwtacacs

rule command(用户组视图)

命令功能

rule command命令用来在当前用户组创建一条权限规则,配置对命令行的执行权限(允许或禁止在某个视图下执行某个或某些命令)。

undo rule command命令用来删除当前用户组下配置的命令行权限规则。

缺省情况下,用户组下没有配置命令行权限规则。

命令格式

rule command rule-name { permit | deny } view view-name expression command-string

undo rule command rule-name

参数说明

参数 参数说明 取值
rule-name 指定命令行规则的名称。 字符串形式,不支持空格,长度范围是为1~15,区分大小写。当输入的字符串两端使用双引号时,可在字符串中输入空格。
permit 表示允许在某个视图下执行某个或某些命令。 -
deny 表示禁止在某个视图下执行某个或某些命令。 -
view view-name 指定视图名称。 系统支持的所有视图。
expression command-string 指定需要禁止或允许执行的一条或一批前缀相同的命令。 系统支持的所有命令。

视图

用户组视图

缺省级别

3:管理级

使用指南

应用场景

为实现权限的精细管理和灵活配置,支持精确授权一条(或一批前缀相同的)命令行到指定用户组,或者在指定用户组允许或禁止一条(或一批前缀相同的)命令。

当进行task鉴权时,用户组下的权限规则(rule command(用户组视图)命令)、任务组下的权限规则(rule command(任务组视图)命令)和任务组下的task任务(task命令)的匹配顺序如下:优先匹配用户组下的权限规则(包括自身配置的和通过include user-group命令继承的权限规则),然后匹配任务组下的权限规则,最后匹配任务组下的task任务。

注意事项

同一用户组下,不允许配置视图和关键字前缀都完全相同的两条规则。例如,当规则1中配置了在系统视图下允许执行sysname命令,则其他规则中不能再对sysname命令进行配置。

如果用户组的权限配置与该用户组通过include user-group命令继承的其他用户组的权限规则相冲突,则以本用户组的配置为准。

该命令为覆盖式命令,即如果新配置的规则与已有规则名称相同,则新配置的规则会覆盖原来的规则。

使用实例

# 在用户组group1中,配置在系统视图下允许执行sysname命令。
<HUAWEI> system-view
[~HUAWEI] aaa
[~HUAWEI-aaa] user-group group1
[*HUAWEI-aaa-user-group-group1] rule command command1 permit view system expression sysname
# 在用户组group1中,配置在系统视图下允许执行以hwtacacs开始的所有命令。
<HUAWEI> system-view
[~HUAWEI] aaa
[~HUAWEI-aaa] user-group group1
[*HUAWEI-aaa-user-group-group1] rule command command2 permit view system expression hwtacacs

security password

命令功能

security password命令用来进入密码安全视图。

命令格式

security password

参数说明

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

需要配置密码禁用词时,需要执行security password命令进入密码安全视图。

后续处理

执行rule admin命令进入规则管理视图,然后再执行forbidden word命令配置密码禁用词。

使用实例

# 进入密码安全视图。

<HUAWEI> system-view
[~HUAWEI] security password

service-type

命令功能

service-type命令用来设置域下用户的接入类型。

undo service-type命令用来恢复缺省配置。

缺省情况下,本地域用户可以使用所有的接入类型。

命令格式

service-type { dot1x | ftp | snmp | ssh | telnet | terminal } *

undo service-type

参数说明

参数 参数说明 取值
dot1x

指定用户类型为802.1x用户。

说明:
CE6880EI不支持此参数。

-

ftp

指定用户类型为FTP用户。

-

snmp

指定用户类型为SNMP用户。

-

ssh

指定用户类型为SSH用户。

-

telnet

指定用户类型为Telnet用户,通常指网络管理员。

-

terminal

指定用户类型为终端用户,通常指Console口用户和VTY用户。

-

视图

AAA域视图

缺省级别

3:管理级

使用指南

应用场景

系统提供对域的接入类型管理,即对域配置一定的接入类型,用户只有按照其所在的域的接入类型才能完成认证。

注意事项

  • 本地用户接入时,首先进行域视图下配置的接入方式检查,再进行用户自身的接入方式(通过命令local-user service-type配置)检查,只有两者同时满足时,用户才能完成认证接入。
  • 远端用户接入时,首先进行域视图下配置的接入方式检查,再进行用户自身的接入方式(由RADIUS服务器配置)检查,只有两者同时满足时,用户才能完成认证接入。

使用实例

# 配置AAA域huawei.net下用户的接入类型为SSH。

<HUAWEI> system-view
[~HUAWEI] aaa
[~HUAWEI-aaa] domain huawei.net
[*HUAWEI-aaa-domain-huawei.net] service-type ssh
相关主题

service-type terminal force-domain

命令功能

service-type terminal force-domain命令用来配置串口的强制域。

undo service-type terminal force-domain命令用来删除串口配置的强制域。

缺省情况下,串口没有指定强制域。

命令格式

service-type terminal force-domain domain-name

undo service-type terminal force-domain

参数说明

参数 参数说明 取值
domain-name

指定串口的强制域名。

该域名必须为设备上已存在的域名。

视图

AAA视图

缺省级别

3:管理级

使用指南

应用场景

当用户需要区分针对串口登录和其他登录方式时,可以指定串口的强制域。配置生效后,用户串口登录的时候就会自动进入此强制域,不再根据用户名匹配其他域名。这样相同的用户名,使用串口登录和使用其他方式登录可以区分开,并分别获取不同的权限。

注意事项

同一台设备只能指定一个串口强制域。

使用实例

# 指定串口的强制域为huawei11。

<HUAWEI> system-view
[~HUAWEI] aaa
[~HUAWEI-aaa] service-type terminal force-domain huawei11

snmp-agent trap enable feature-name aaa

命令功能

snmp-agent trap enable feature-name aaa命令用来打开提升权限成功事件的告警开关。

undo snmp-agent trap enable feature-name aaa命令用来关闭提升权限成功事件的告警开关。

缺省情况下,提升权限成功事件的告警开关处于打开状态。

命令格式

snmp-agent trap enable feature-name aaa [ trap-name { hwadminloginfailed | hwadminloginfailedclear } ]

undo snmp-agent trap enable feature-name aaa [ trap-name { hwadminloginfailed | hwadminloginfailedclear } ]

参数说明

参数 参数说明 取值
trap-name

打开AAA模块的指定事件名称的告警开关。

-
hwadminloginfailed

打开管理类用户一段时间内登录失败次数达到指定门限的开关。

-
hwadminloginfailedclear

打开管理类用户一段时间内登录失败次数恢复到指定门限以下的开关。

-

视图

系统视图

缺省级别

3:管理级

使用指南

在用户需要查看提升权限信息的时候,可以打开此开关。

使用实例

# 打开提升权限成功事件的告警开关。

<HUAWEI> system-view
[~HUAWEI] snmp-agent trap enable feature-name aaa trap-name hwadminloginfailed

block

命令功能

block命令用来配置域的状态为阻塞状态

undo block命令用来恢复域的状态为缺省值。

缺省情况下,域创建后处于激活状态。

命令格式

block

undo block

参数说明

视图

AAA域视图

缺省级别

3:管理级

使用指南

应用场景

管理员在配置某些业务时,为了避免配置过程中出现异常,可能不希望有新的用户接入。通过配置域为阻塞态,禁止新用户接入。完成配置后,再配置域为激活态。

注意事项

配置已有用户接入的域为阻塞态,不影响已接入的用户。

域用户不能将自身所在域设置为阻塞状态。

使用实例

# 设置配置名为vipdomain的域为阻塞态。

<HUAWEI> system-view
[~HUAWEI] aaa
[~HUAWEI-aaa] domain vipdomain
[*HUAWEI-aaa-domain-vipdomain] block

system recording-scheme

命令功能

system recording-scheme命令用来配置记录方案的记录策略,记录设备的系统级事件。

undo system recording-scheme命令用来删除记录策略,即不进行相应的记录。

缺省情况下,不记录系统级事件。

命令格式

system recording-scheme recording-scheme-name

undo system recording-scheme

参数说明

参数

参数说明

取值

recording-scheme-name

指定记录方案名称。

必须是已存在的记录方案名称。

视图

AAA视图

缺省级别

3:管理级

使用指南

应用场景

在服务器上记录系统级事件,可以帮助管理员用户监控设备。当网络出现故障时,可以根据服务器上的记录信息进行故障定位。

前置条件

执行system recording-scheme命令前需要已经在AAA视图下使用recording-scheme命令创建记录方案,并在记录方案视图下使用recording-mode hwtacacs命令关联HWTACACS服务器模板。

注意事项

目前设备只支持对reboot命令导致的事件进行记录。

使用实例

# 指定记录方案scheme的记录策略为记录系统级事件。

<HUAWEI> system-view
[~HUAWEI] hwtacacs server template hw1
[*HUAWEI-hwtacacs-hw1] quit
[*HUAWEI] aaa
[*HUAWEI-aaa] recording-scheme scheme
[*HUAWEI-aaa-recording-scheme] recording-mode hwtacacs hw1
[*HUAWEI-aaa-recording-scheme] quit
[*HUAWEI-aaa] system recording-scheme scheme

task(任务组视图)

命令功能

task命令用来将指定任务添加到当前任务组中。

undo task命令用来将指定任务从当前任务组中删除。

缺省情况下,任务组中未配置任务。

命令格式

task task-name { debug | execute | read | write } *

undo task task-name

参数说明

参数 参数说明 取值
task-name 指定任务名称。 枚举值类型,根据设备提示选取。
debug 指定用户组用户对此任务组中的命令有调试(诊断)的权限。仅限于debuggingundo debugging命令。 -
execute 指定用户组用户对此任务中的命令有执行权限。除display和debugging命令外的定位维护命令,执行此命令不会导致配置变更。 -
read 指定用户组用户对此任务中的命令有读权限,执行此命令不会导致配置变更。 -
write 指定用户组用户对此任务中的命令有写权限,执行此命令会导致配置变更。 -

视图

任务组视图

缺省级别

3:管理级

使用指南

应用场景

为了保证安全,可以设定不同的用户拥有不同的权限。当希望为某任务组配置权限时,可以使用task命令配置任务组的权限,以便与该任务组相关联的用户能够拥有该任务所规定的权限。

缺省情况下,创建任务组后,一些基本的任务权限已经开启。
表16-23  缺省开启的任务及权限

任务

权限

描述

interface-mgr

read、write和execute

此权限使用户可以进行基本的接口相关操作。

config

read、write和execute

此权限使用户能够进入系统视图进行配置。

vlan

read、write和execute

此权限使用户可以进行基本的Vlan相关操作。

shell

read、write和execute

此权限使用户可以进行基本的访问,例如Telnet访问等。

cli

read和execute

此权限使用户可以进行基本的配置,例如通过display命令进行查看等。

前置条件

任务组已创建,并且进入任务组视图。

注意事项

task-name是系统定义好的,用户不能创建和删除。用户可以通过执行display aaa task命令查看。

使用实例

# 将任务ospf加入到任务组ospf_tg中,拥有此任务组的execute、read和write权限,无debug权限。

<HUAWEI> system-view
[~HUAWEI] aaa
[~HUAWEI-aaa] task-group ospf_tg
[*HUAWEI-aaa-task-group-ospf_tg] task ospf execute read write

task-group(AAA视图)

命令功能

task-group命令用来创建一个新的任务组或进入任务组视图。

undo task-group命令用来删除一个任务组。

缺省情况下,系统未创建任务组。

命令格式

task-group task-group-name

undo task-group task-group-name

参数说明

参数 参数说明 取值
task-group-name 指定任务组名。

由字母、数字、下划线组成的字符串,不支持空格,长度范围是1~32。方案名需要符合Windows的命名规范,不能包括斜线“\”、反斜线“/”、冒号“:”、星号“*”、问号“?”、引号“"”、竖划线“|”和尖括号“<”、“>”等字符。

视图

AAA视图

缺省级别

3:管理级

使用指南

应用场景

系统缺省任务组的权限不满足用户需要时,用户可以通过创建新的任务组,并且分配相应权限(任务),来达到更灵活的用户权限控制的目的。

前置条件

删除任务组时,相应名称的任务组必须存在。

后续任务

给任务组分配权限(将任务加入到任务组中)。

注意事项

缺省任务组不能删除。当任务组数达到系统阈值时,不能再创建新的任务组。

使用实例

# 创建任务组。

<HUAWEI> system-view
[~HUAWEI] aaa
[~HUAWEI-aaa] task-group ospf_tg

task-group(用户组视图)

命令功能

task-group命令用来将指定的任务组加入到当前的用户组所关联的任务组列表中。

undo task-group命令用来将指定的任务组从当前的用户组所关联的任务组列表中删除。

缺省情况下,用户组未关联任何任务组。

命令格式

task-group task-group-name

undo task-group task-group-name

参数说明

参数 参数说明 取值
task-group-name 任务组名。 由字母、数字、下划线组成的字符串,不支持空格,长度范围是1~32。方案名需要符合Windows的命名规范,不能包括斜线“\”、反斜线“/”、冒号“:”、星号“*”、问号“?”、引号“"”、竖划线“|”和尖括号“<”、“>”等字符。

视图

用户组视图

缺省级别

3:管理级

使用指南

应用场景

用来配置用户组所关联的任务组列表,以设置该用户组拥有的权限。

注意事项

本命令修改当前用户组的权限,所有属于当前用户组的用户的权限都将受到影响。

将一个任务组增加到用户组所关联的任务组列表中之后,该任务组就不能被删除。

用户组的权限就是它所关联的各任务组所规定权限的并集。

使用实例

# 将任务组ospf_tg加入到用户组admin_ug中。

<HUAWEI> system-view
[~HUAWEI] aaa
[~HUAWEI-aaa] user-group admin_ug
[*HUAWEI-aaa-user-group-admin_ug] task-group ospf_tg

user-aging

命令功能

user-aging命令用来批量设置本地用户的老化周期。

undo user-aging命令用来批量恢复本地用户的老化周期至缺省值。

缺省情况下,本地用户不老化。

命令格式

user-aging aging-period

undo user-aging

参数说明

参数 参数说明 取值
aging-period 指定本地用户的老化周期。 整数形式,取值范围是1~365,单位是天。

视图

AAA视图

缺省级别

3:管理级

使用指南

应用场景

如果本地用户账号长期没有使用,可通过该命令批量设置账号老化周期。如果账号连续不使用的时间到达老化周期,则该账号自动过期。

当通过user-aging命令设置了所有用户的老化周期时:

注意事项

到达用户老化时间后,用户登录失败。

使用实例

# 设置本地用户的老化周期为90天。
<HUAWEI> system-view
[~HUAWEI] aaa
[~HUAWEI-aaa] user-aging 90

local-user authentication lock times

命令功能

local-user authentication lock times命令用来配置对本地账号连续认证失败次数的限制。

undo local-user authentication lock times命令用来取消对本地账号连续认证失败次数的配置,恢复为缺省设置。

缺省情况下,5分钟内认证失败5次,则不允许用户登录。

命令格式

local-user authentication lock times failed-times period

undo local-user authentication lock times

参数说明

参数 参数说明 取值
failed-times

指定连续认证失败的次数。

整数形式,取值范围为0~10。

说明:

若指定为0,表示对认证失败次数不做限制。

period

指定连续认证失败的时间长度。

整数形式,单位为分钟,取值范围是1~120。

视图

AAA视图

缺省级别

3:管理级

使用指南

应用场景

当恶意用户想要破解设备上的用户密码时,往往需要对密码进行多次尝试。为了防止恶意破解用户密码,可以使用local-user authentication lock times命令配置在指定时间内,允许的最大认证失败次数。若本地账号在设定的时间内达到设定的连续认证失败次数,则将用户锁定,增加了用户密码的安全性。

后续任务

用户账号被锁定之后,可以通过以下两种方式进行解锁:
  • 自动解锁:在锁定一段时间之后,设备会自动解除该用户的认证锁定状态。使用local-user authentication lock duration命令可以配置自动解锁的时间间隔,缺省为5分钟。
  • 手工解锁:具有权限的用户在用户视图下执行activate aaa local-user命令可以强制解除处于认证失败用户的锁定状态。

注意事项

  • 该命令配置生效后,不会对本地账号已经建立的在线连接产生影响。
  • 该配置存在一定风险,恶意用户可以通过反复输入错误密码,使得账号被锁定,正常用户也无法登录。

使用实例

# 全局配置本地账号认证失败次数限制为3,时间长度为5分钟。

<HUAWEI> system-view
[~HUAWEI] aaa
[~HUAWEI-aaa] local-user authentication lock times 3 5

local-user authentication lock duration

命令功能

local-user authentication lock duration命令用来配置本地用户因连续认证失败而被锁定后,自动解锁的时间间隔。

undo local-user authentication lock duration命令用来将自动解锁的时间间隔恢复为缺省值。

缺省情况下,自动解锁时间间隔为5分钟。

命令格式

local-user authentication lock duration duration-time

undo local-user authentication lock duration

参数说明

参数 参数说明 取值
duration-time

指定本地账号自动解锁时间间隔。

整数形式,取值范围为0~1000,单位是分钟。

说明:

如果指定为0,表示不自动解锁。只能通过管理用户使用activate aaa local-user命令手动解锁。

视图

AAA视图

缺省级别

3:管理级

使用指南

应用场景

对于恶意用户,为了防止其破解用户密码,可以配置账号连续认证失败锁定功能;对于正常用户,若因误操作导致账号锁定,在经过local-user authentication lock duration命令配置的自动解锁时间间隔后,可以重新登录设备。这样,一方面可以防止恶意用户破解账号,另一方面可以尽量减少对用户正常使用的影响。

注意事项

使用该命令对自动解锁时间间隔进行配置时,对已锁定用户当前的剩余锁定时间没有影响。

使用实例

# 全局配置本地账号自动解锁时间间隔为500分钟。

<HUAWEI> system-view
[~HUAWEI] aaa
[~HUAWEI-aaa] local-user authentication lock duration 500

user-group

命令功能

user-group命令用来创建一个新的用户组或进入用户组视图。

undo user-group命令用来删除一个用户组。

缺省情况下,系统未创建用户组。

命令格式

user-group user-group-name

undo user-group user-group-name

参数说明

参数 参数说明 取值
user-group-name 用户组名。 由字母、数字、下划线组成。字符串形式,不支持空格,长度范围是为1~32。方案名需要符合Windows的命名规范,不能包括斜线“\”、反斜线“/”、冒号“:”、星号“*”、问号“?”、双引号“"”、竖划线“|”和尖括号“<”、“>”等字符。

视图

AAA视图

缺省级别

3:管理级

使用指南

应用场景

系统缺省用户组的权限不满足用户需要时,用户可以通过创建新的用户组,并且分配相应权限(任务组),来达到更灵活的用户权限控制的目的。

默认的用户组visit-ug、monitor-ug、system-ug和manage-ug系统自动映射为级别0~3,自定义用户组不支持映射到级别。不同级别的用户能执行不同级别的命令。

缺省情况下,命令按如下0~3级进行注册:

  • 0级(参观级):网络诊断工具命令(ping、tracert)、从本设备出发访问外部设备的命令(包括Telnet客户端、SSH)等。
  • 1级(监控级):用于系统维护,包括display等命令。
  • 2级(配置级):业务配置命令,包括路由、各个网络层次的命令,向用户提供直接网络服务。
  • 3级(管理级):用于系统基本运行的命令,对业务提供支撑作用,包括文件系统、FTP、TFTP、配置文件切换命令、备板控制命令、用户管理命令、命令级别设置命令;用于业务故障诊断的debugging命令等。

后续任务

给用户组分配权限(将任务组加入到用户组中),并将用户加入用户组。

注意事项

删除用户组时,相应名称的用户组必须存在,并且没有属于这个用户组的本地用户或在线用户。

缺省用户组、被本地用户或在线用户引用的用户组不能删除。当用户组数达到系统阈值(64个)时,不能再创建新的任务组。

使用实例

# 创建用户组。

<HUAWEI> system-view
[~HUAWEI] aaa
[~HUAWEI-aaa] user-group admin_ug

user-name minimum-length

命令功能

user-name minimum-length命令用来设置新建本地用户时用户名的最小长度。

undo user-name minimum-length命令用来恢复本地用户的用户名长度为缺省值。

缺省情况下,未配置本地用户名的最小长度。

命令格式

user-name minimum-length length

undo user-name minimum-length

参数说明

参数 参数说明 取值
length 指定本地用户的用户名最小长度。 整数形式,取值范围是1~253。

视图

AAA视图

缺省级别

3:管理级

使用指南

应用场景

为避免出现用户名设置过于简单,导致账号被盗用等安全问题,可执行此命令限制本地用户名的最小长度,提高设备安全性。

注意事项

配置此命令后,新创建的本地用户需遵循这个限制,否则创建失败。配置此命令前已存在的用户不受此限制。

使用实例

# 配置本地用户名最短长度为4。
<HUAWEI> system-view
[~HUAWEI] aaa
[~HUAWEI-aaa] user-name minimum-length 4
翻译
下载文档
更新时间:2019-03-20

文档编号:EDOC1000166474

浏览量:15777

下载量:402

平均得分:
本文档适用于这些产品
相关文档
相关版本
Share
上一页 下一页