所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S1720, S2700, S5700, S6720 V200R012(C00&C20) 配置指南-用户接入与认证

本文档介绍了用户接入与认证的配置,具体包括AAA配置、NAC配置和策略联动配置。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置基于用户上下文模板授予用户网络访问权限

配置基于用户上下文模板授予用户网络访问权限

背景信息

所谓用户上下文即用户的关联信息,比如用户名、用户VLAN、接入接口等。

为简化认证服务器的配置,管理员根据用户的上下文信息,把具有相同网络访问权限的用户划分到同一个用户上下文模板,并且基于用户上下文模板配置用户的网络访问权限。使能用户上下文识别功能之后,在用户上线时,设备能够识别出用户的上下文信息,并根据识别结果把用户加入到对应的上下文模板中:
  • 用户认证成功时,认证服务器可以根据设备上报的用户上下文信息,为用户授予其所属上下文模板的网络访问权限。
  • 用户认证失败时,设备根据用户认证事件授权策略中,上下文模板绑定的用户认证成功前各阶段的网络访问权限,为其授权。

例如,在一些企业网络中,通过VLAN将整个网络划分成不同的区域,并且不同区域的安全等级不同,管理员希望同一个用户从不同的区域接入网络时,能够获取的网络访问权限也不同。此时,可以在接入设备上使能用户上下文识别功能,并将属于同一区域的一组VLAN划分到同一个用户上下文模板中,管理员根据区域的安全等级,为不同的用户上下文模板授予相应的网络访问权限。这样,同一用户在不同区域上线时,由于其接入VLAN匹配的用户上下文模板不同,因此用户加入的上下文模板也不同,故获取的网络访问权限也不同。

说明:

当前设备仅支持识别用户VLAN信息。

802.1X认证过程中,当客户端无响应时,即使匹配了用户上下文模板,由于客户端无响应,不能触发802.1X认证,此时配置的用户上下文模板不生效。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令access-context profile enable,使能用户上下文识别功能。

    缺省情况下,未使能用户上下文识别功能。

  3. 创建用户上下文模板并配置识别策略

    1. 执行命令access-context profile name profile-name,创建用户上下文模板并进入用户上下文模板视图。

      缺省情况下,未创建用户上下文模板。

    2. 执行命令if-match vlan-id { start-vlan-id [ to end-vlan-id ] } &<1-10>,配置基于VLAN ID的用户识别策略。

      缺省情况下,未配置基于VLAN ID的用户识别策略。

    3. 执行命令quit,返回到系统视图。

  4. 基于用户上下文模板,为用户授予网络访问权限

    1. 执行命令access-author policy name policy-name,创建用户认证事件授权策略并进入认证事件授权策略视图。

      缺省情况下,未创建用户认证事件授权策略。

    2. 执行命令match access-context-profile profile-name action { authen-fail service-scheme service-scheme-name | authen-server-down service-scheme service-scheme-name | authen-server-up re-authen | client-no-response service-scheme service-scheme-name | portal-server-down service-scheme service-scheme-name | portal-server-up re-authen | pre-authen service-scheme service-scheme-name } *,基于用户上下文模板配置指定用户在认证成功前各阶段的网络访问权限。

      缺省情况下,未配置指定用户在认证成功前各阶段的网络访问权限。

      说明:

      由于用户认证成功前各阶段的网络访问权限是通过业务方案授予的,所以,执行该步骤前,首先需要在AAA视图下,通过命令service-scheme创建业务方案。

    3. 执行命令match access-context-profile profile-name action access-domain domain-name [ dot1x | mac-authen | portal ] * [ force ],基于用户上下文模板配置接入用户的认证域。

      缺省情况下,未基于用户上下文模板配置接入用户的认证域。

      说明:

      执行该步骤前,首先需要在AAA视图下,执行命令domain(AAA视图),创建域。

    4. 执行命令quit,返回到系统视图。

    5. 执行命令access-author policy policy-name global,应用用户认证事件授权策略。

      缺省情况下,未应用用户认证事件授权策略。

翻译
下载文档
更新时间:2018-12-24

文档编号:EDOC1100038441

浏览量:29567

下载量:1205

平均得分:
本文档适用于这些产品
相关文档
相关版本
Share
上一页 下一页