所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S1720, S2700, S5700, S6720 V200R012(C00&C20) 配置指南-用户接入与认证

本文档介绍了用户接入与认证的配置,具体包括AAA配置、NAC配置和策略联动配置。

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置本地用户

配置本地用户

背景信息

配置本地用户时,可以配置本地用户允许建立的连接数目、本地用户级别、闲置切断时间以及本地用户上线时间等功能,同时支持本地用户修改密码功能。

说明:
  • 更改本地账号的权限(密码、接入类型、FTP目录、级别等)后,已经在线的用户权限不会被更改,新上线的用户则以新的权限为准。
  • 本地用户的接入类型分为以下两类:

    • 管理类:包括api、ftp、http、ssh、telnet、x25-pad和terminal。
    • 普通类:包括8021x、ppp和web。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令aaa,进入AAA视图。
  3. 创建本地用户。

    步骤

    命令

    说明

    (可选)使能对密码进行复杂度检查功能

    user-password complexity-check

    缺省情况下,设备对密码进行复杂度检查。

    为充分保证设备安全,请用户不要关闭密码复杂度检查功能,并定期修改密码。

    创建本地用户名和密码(选择一种方式创建本地用户名和密码)

    local-user user-name password

    缺省情况下,本地账号的登录密码为空。

    本命令为交互式命令,当用户输入密码时,直接以明文形式输入存在安全风险,建议用户以交互式方式输入。

    如果用户名中带域名分隔符(如“@”、“|”、“%”等符号),并且没有执行命令domainname-parse-direction right-to-left设置域名解析方向,则认为分隔符前面的部分是纯用户名,后面部分是域名。如果没有分隔符,则整个字符串为用户名,普通用户默认到default域认证,管理用户默认到default_admin域进行认证。

    local-user user-name password { cipher | irreversible-cipher } password

    配置本地用户的允许接入类型

    local-user user-name service-type { 8021x | api | ftp | http | ppp | ssh | telnet | terminal | web | x25-pad } *

    缺省情况下,本地用户关闭所有的接入类型。

    如果为Portal接入用户,则配置的接入类型为web

    配置本地用户的接入类型前,如果用户已经存在,需注意:
    • 如果密码使用的是不可逆加密算法,则只允许配置管理类的接入类型。
    • 如果密码使用的是可逆加密算法,则允许配置普通类或者管理类的接入类型,不允许配置普通类与管理类的混合类接入类型,并且当配置为管理类的接入类型时,加密算法自动转换成不可逆加密算法。

  4. (可选)配置用户级别、所属用户组、接入时间段、闲置切断功能及可建立的连接数目。

    步骤

    命令

    说明

    配置本地用户级别

    local-user user-name privilege level level

    缺省情况下,本地用户的级别为0级。

    配置本地用户所属的组

    local-user user-name user-group group-name

    缺省情况下,本地用户不属于任何用户组。

    说明:

    仅NAC传统模式支持该命令。

    配置本地账号的接入时间段

    local-user user-name time-range time-name

    缺省情况下,未配置本地账号的接入时间段,即任意时间都允许接入。

    配置指定用户的闲置切断时间

    local-user user-name idle-timeout minutes [ seconds ]

    指定用户界面的超时时间。本地用户闲置时间超过设定时间,则用户自动下线。

    设置用户连接的超时时间为0或者过长会导致终端一直处于登录状态,存在安全风险,建议用户执行命令lock锁定当前连接。

    配置指定用户可建立的连接数目

    local-user user-name access-limit max-number

    缺省情况下,不限制用户可建立的连接数目。

    如果需要设置本地账号只能在唯一终端登录,可通过设置max-number的值为1实现该功能。

  5. (可选)配置本地用户安全性。

    步骤

    命令

    说明

    使能本地帐号锁定功能并配置用户的重试时间间隔、连续认证失败的限制次数及帐号锁定时间

    local-aaa-user wrong-password retry-interval retry-interval retry-time retry-time block-time block-time

    缺省情况下,本地帐号锁定功能处于使能状态,用户的重试时间间隔为5分钟、连续输入错误密码的限制次数为3次,帐号锁定时间为5分钟。

    配置在用户账号锁定期间,允许该用户使用指定的IP地址访问网络 aaa-quiet administrator except-list { ipv4-address | ipv6-address } &<1-32>

    缺省情况下,用户在账号锁定期间不能访问网络。

    通过命令display aaa-quiet administrator except-list,可以查询以上配置的IP地址信息。

    配置本地接入用户密码策略

    使能本地接入用户的密码策略功能并进入本地接入用户密码策略视图。

    local-aaa-user password policy access-user

    缺省情况下,本地接入用户的密码策略功能处于未使能状态。

    配置每个用户密码的历史记录的最大条数。

    password history record number number

    缺省情况下,每个用户密码的历史记录的最大条数是5条。

    退出本地接入用户密码策略视图。

    quit

    -

    配置本地管理员密码策略

    使能本地管理员的密码策略功能并进入本地管理员密码策略视图。

    local-aaa-user password policy administrator

    缺省情况下,本地管理员的密码策略功能处于未使能状态。

    使能密码过期提醒功能并配置密码过期前的提醒时间。

    password alert before-expire day

    缺省情况下,密码过期前的提醒时间为30天。

    使能初始密码提醒功能。

    password alert original

    缺省情况下,初始密码修改提醒功能处于使能状态。

    使能密码过期功能并配置密码过期时间。

    password expire day

    缺省情况下,密码过期时间为90天。

    配置每个用户密码的历史记录的最大条数。

    password history record number number

    缺省情况下,每个用户密码的历史记录的最大条数是5条。

    退出本地管理员密码策略视图。

    quit

    -

  6. (可选)本地用户访问权限相关配置。

    步骤

    命令

    说明

    配置允许用户接入网络的终端类型

    local-user user-name device-type device-type &<1-8>

    缺省情况下,未配置允许用户接入网络的设备类型。

    如终端为iphone,可执行该命令设置device-type的值为“iphone”。

    说明:

    S5720HI、S6720HI和S5730HI支持该功能。

    配置允许FTP用户访问的FTP目录

    local-user user-name ftp-directory directory

    缺省情况下,允许FTP用户访问的FTP目录为空。

    若配置本地用户的接入类型为FTP方式,则必须配置本地用户的FTP目录,且本地用户的级别不能低于管理级,否则FTP用户无法登录。

    配置允许HTTP用户访问的HTTP目录

    local-user user-name http-directory directory

    缺省情况下,允许HTTP用户访问的HTTP目录为空。

    配置本地用户的状态

    local-user user-name state { active | block }

    缺省情况下,本地用户的状态为激活态。

    设备对处于激活态和阻塞态用户的处理方式如下:

    • 若用户状态为激活态,将接收该用户的认证请求并做进一步处理。

    • 若用户状态为阻塞态,将拒绝该用户的认证请求。

    配置本地账号的有效期

    local-user user-name expire-date expire-date

    缺省情况下,本地账号永久有效。

    指定本地用户为网管用户

    local-user user-name user-type netmanager

    如果当前VTY用户达到最大用户数时,网管用户可以通过网管预留编号VTY 16~VTY 20来登录。

    该用户必须通过AAA本地认证。

  7. (可选)修改本地用户登录密码。

    步骤

    命令

    说明

    返回用户视图

    return

    -

    修改本地用户登录密码

    local-user change-password

    -

翻译
下载文档
更新时间:2018-12-24

文档编号:EDOC1100038441

浏览量:33209

下载量:1270

平均得分:
本文档适用于这些产品

相关版本

相关文档

Share
上一页 下一页