所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S1720, S2700, S5700, S6720 V200R012(C00&C20) 配置指南-用户接入与认证

本文档介绍了用户接入与认证的配置,具体包括AAA配置、NAC配置和策略联动配置。

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
(可选)配置用户认证域

(可选)配置用户认证域

背景信息

设备对用户的管理通过域来实现(比如用户使用的AAA方案和授权信息等需要绑定在域下)。用户在认证过程中,设备根据用户名中携带的域名将用户分配到指定的域中进行管理。但在实际网络环境中,很多用户输入的用户名是不带域名的,针对这种情况,可以在认证模板下配置默认域,这样使用该模板的用户在不带域名的情况下,设备会将该用户在默认域中进行管理。

实际网络中,有的用户输入带域名的用户名、有的用户输入不带域名的用户名,此时设备会使用不同的域来管理用户。由于不同域下的认证计费授权信息有差异,会造成用户使用的认证计费授权信息不统一。这种情况下,如果管理员希望使用同一认证模板的用户应用相同的认证计费授权信息,可以在认证模板下配置用户强制域,这样使用该模板的用户不管输入的用户名是否带有域名,设备都会将用户在强制域中进行管理。

前置任务

AAA视图下,执行命令domain(AAA视图)创建域。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令authentication-profile name authentication-profile-name,进入认证模板视图。
  3. 执行命令access-domain domain-name [ dot1x | mac-authen | portal ] * [ force ],配置用户的默认域或强制域。

    缺省情况下,认证模板中未配置用户的默认域或强制域,用户默认使用全局默认域“default”

    说明:
    • 不指定该参数force时,配置的为默认域;指定参数force时,配置的为强制域。同时配置用户默认域和强制域时,用户在强制域中进行认证。

    • 不指定参数dot1xmac-authenportal时,则配置的域对使用认证模板的所有接入认证用户都生效;指定参数dot1xmac-authenportal时,则配置的域仅对指定的用户生效。

  4. 执行命令quit,返回到系统视图。
  5. 执行命令domain domain-name mac-authen force mac-address mac-address mask mask,配置MAC用户的强制域。

    说明:

    MAC用户支持在系统视图下配置指定MAC地址用户的强制域。

    强制域、用户自带域和默认域在不同视图下的优先级从高到低依次是:认证模板下指定认证方式的强制域>认证模板下的强制域>用户自带认证域>认证模板下指定认证方式的默认域>认证模板下的默认域>全局默认域。比较特殊的是,对于MAC认证用户通过MAC地址段指定的强制域具有最高的优先级,高于认证模板下的配置。

翻译
下载文档
更新时间:2018-12-24

文档编号:EDOC1100038441

浏览量:32923

下载量:1270

平均得分:
本文档适用于这些产品

相关版本

相关文档

Share
上一页 下一页