所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S1720, S2700, S5700, S6720 V200R012(C00&C20) 配置指南-用户接入与认证

本文档介绍了用户接入与认证的配置,具体包括AAA配置、NAC配置和策略联动配置。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
基于域的用户管理

基于域的用户管理

NAS设备对用户的管理是基于域的,每个用户都属于一个域,一个域是由属于同一个域的用户构成的群体。简单地说,用户属于哪个域就使用哪个域下的AAA配置信息。

图1-2所示,域统一管理AAA方案、服务器模板等配置信息。AAA方案用来定义认证、授权和计费的方法及每种方法的生效顺序,AAA方案的详细介绍请参见AAA方案。如果使用服务器进行认证、授权或计费,需要在服务器模板下配置对接认证服务器、授权服务器或者计费服务器的相关信息;如果使用本地认证或授权,需要配置本地用户的相关信息。除此之外,域下还可以配置授权信息,域下可以绑定业务方案、用户组等,业务方案、用户组内支持配置授权的ACL、VLAN等信息

图1-2  域下的AAA配置信息

授权信息分为两类:服务器下发的授权信息和域下的授权信息。用户从何处获取授权与授权方案中配置的授权方法有关。如图1-3所示:
  • 授权方法为本地授权时,用户从域下获取授权信息。
  • 授权方法为服务器授权时,用户从服务器和域下获取授权信息。域下配置的授权信息比服务器下发的授权信息优先级低,如果两者的授权信息冲突,则服务器下发的授权优先生效;如果两者的授权信息不冲突,则两者的授权信息同时生效。这样处理可以通过域管理进行灵活授权,而不必受限于服务器提供的授权。
图1-3  两类授权信息

用户所属的域

图1-4所示,用户所属的域是由用户登录到NAS设备时提供的用户名决定的,当用户名中没有携带域名、NAS设备无法确认用户所属的域时,NAS设备根据用户的类型将用户加入到默认域中

图1-4  用户名决定域

为便于对不同接入方式的用户进行区分管理,提供更为精细且有差异化的认证、授权、计费服务,AAA将用户划分为以下几个类型:
  • 管理员用户:又称为Login用户,指可以登录设备的用户。包括通过API、FTP、HTTP、SSH、Telnet和Console方式登录设备的用户。
  • 接入用户:包括PPP用户、NAC用户(包括802.1X认证用户、MAC认证用户和Portal认证用户)。
缺省情况下,NAS设备存在两个全局默认域:全局默认管理域default_admin和全局默认普通域default,分别作为管理员用户和接入用户的全局默认域。两个域均不能删除,只能修改。如图1-4所示,全局默认管理域default_admin和全局默认普通域default的认证和计费方法为本地认证和不计费。
说明:

两个全局默认域缺省都绑定了名称为default的计费方案,修改该计费方案会同时影响这两个域的配置。

图1-5  全局默认域的缺省配置

用户也可以根据实际需求,灵活定义全局默认域。自定义的全局默认域可以同时被配置成全局默认普通域和全局默认管理域。

通过命令display aaa configuration,可以查看设备当前配置的全局默认普通域和全局默认管理域。显示如下:
<HUAWEI> display aaa configuration
  Domain Name Delimiter            : @
  Domainname parse direction       : Left to right
  Domainname location              : After-delimiter
  Administrator user default domain: default_admin    //全局默认管理域
  Normal user default domain       : default    //全局默认普通域

对于某些接入方式,用户最终所属的域可由相应认证模块提供的命令行来指定,以满足一定的用户认证管理策略。例如:NAC接入用户,NAS设备支持基于认证模板配置默认域和强制域,并且可以指定用户类型(802.1X用户、MAC用户或者Portal用户),配置更加灵活。强制域、用户自带域和默认域在不同视图下的优先级从高到低如下所示:

认证模板下指定认证方式的强制域 > 认证模板下的强制域 > 用户自带域 > 认证模板下指定认证方式的默认域 > 认证模板下的默认域 > 全局默认域。比较特殊的是,对于MAC认证用户通过MAC地址段指定的强制域具有最高的优先级,高于认证模板下的配置。

NAS设备向RADIUS服务器发送的用户名格式

说明:
  • 仅RADIUS认证支持修改用户输入的原始用户名。

  • 基于RADIUS服务器模板修改用户输入的原始用户名。

图1-6所示,NAS设备可以根据RADIUS服务器的要求,配置向RADIUS服务器发送的用户名是否包含域名。缺省情况下,NAS设备向RADIUS服务器发送的用户名为用户输入的原始用户名,不对其进行修改。

图1-6  NAS设备向RADIUS服务器发送的用户名格式

通过表1-1中的命令设置NAS设备向RADIUS服务器发送的用户名格式。

以下命令仅会修改发往服务器的RADIUS报文中的用户名格式,EAP报文中的用户名格式不会被修改。由于802.1X认证过程中,RADIUS服务器会检查EAP报文中携带的用户名与RADIUS服务器上的用户名是否一致,所以,802.1X认证时不能使用命令radius-server user-name domain-includedundo radius-server user-name domain-included修改用户的原始用户名,以免造成认证失败。

表1-1  设置NAS设备向RADIUS服务器发送的用户名格式

命令

用户名格式

说明

radius-server user-name original

用户输入的原始用户名

发送给RADIUS服务器的用户名是用户输入的原始用户名。例如:

  • 用户输入的用户名为user-name@huawei.com,则NAS设备向RADIUS服务器发送的用户名为user-name@huawei.com。
  • 用户输入的用户名为user-name,则NAS设备向RADIUS服务器发送的用户名为user-name。

radius-server user-name domain-included

包含域名

如果用户输入的用户名不带域名,则添加默认域后发送给RADIUS服务器。例如:

  • 用户输入的用户名为user-name@huawei.com,则NAS设备向RADIUS服务器发送的用户名为user-name@huawei.com。
  • 用户输入的用户名为user-name,user-name用户使用的默认域为default,则NAS设备向RADIUS服务器发送的用户名为user-name@default。

undo radius-server user-name domain-included

不包含域名

不管用户输入的用户名是否带域名,发送给RADIUS服务器的用户名都不带域名。例如:

  • 用户输入的用户名为user-name@huawei.com,则NAS设备向RADIUS服务器发送的用户名为user-name。
  • 用户输入的用户名为user-name,则NAS设备向RADIUS服务器发送的用户名为user-name。

undo radius-server user-name domain-included except-eap

  • EAP认证用户:原始用户名
  • 非EAP认证用户:不包含域名

由于EAP报文中也会携带用户名(原始用户名),RADIUS服务器会检查EAP报文中携带的用户名与RADIUS服务器上的用户名是否一致,不一致时认证不通过,此时要求NAS设备不能修改EAP认证用户的原始用户名。

在上述场景下,如果非EAP认证用户的用户名要求不包含域名,可以通过该命令配置。

翻译
下载文档
更新时间:2018-12-24

文档编号:EDOC1100038441

浏览量:30911

下载量:1238

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页