基于域的用户管理

用户所属的域

如图1-4所示，用户所属的域是由用户登录到NAS设备时提供的用户名决定的，当用户名中没有携带域名或者携带的域名在NAS设备上未配置时，NAS设备无法确认用户所属的域，此时，NAS设备根据用户的类型将用户加入到默认域中。

图1-4 用户名决定域

如表1-1所示，为了提供更为精细且有差异化的认证、授权、计费服务，AAA将用户划分为管理员用户和接入用户两种类型。NAS设备存在两个全局默认域：全局默认管理域default_admin和全局默认普通域default，分别作为管理员用户和接入用户的全局默认域，两个全局默认域下的缺省配置也不同。

两个全局默认域缺省都绑定了名称为default的计费方案，修改该计费方案会同时影响这两个域的配置。

两个全局默认域均不能删除，只能修改。

表1-1 全局默认域

用户分类	用户接入方式	使用的全局默认域	全局默认域下的缺省配置
			认证方案	计费方案	授权方案
管理员用户	又称为Login用户，指可以登录设备的用户。包括通过FTP、HTTP、SSH、Telnet和Console方式登录设备的用户。	default_admin	default（本地认证）	default（不计费）	无
接入用户	包括NAC用户（包括802.1X认证用户、MAC认证用户和Portal认证用户）。	default	radius（本地认证）	default（不计费）	无

用户也可以根据实际需求，灵活定义全局默认域。自定义的全局默认域可以同时被配置成全局默认普通域和全局默认管理域。

<HUAWEI> display aaa configuration
  Domain Name Delimiter            : @
  Domainname parse direction       : Left to right
  Domainname location              : After-delimiter
  Administrator user default domain: default_admin    //全局默认管理域
  Normal user default domain       : default    //全局默认普通域

对于某些接入方式，用户最终所属的域可由相应认证模块提供的命令行来指定，以满足一定的用户认证管理策略。例如：NAC接入用户，NAS设备支持基于认证模板配置默认域和强制域，并且可以指定用户类型（802.1X用户、MAC用户或者Portal用户），配置更加灵活。强制域、用户自带域和默认域在不同视图下的优先级从高到低如下所示：

认证模板下指定认证方式的强制域 > 认证模板下的强制域 > 用户自带域 > 认证模板下指定认证方式的默认域 > 认证模板下的默认域 > 全局默认域。比较特殊的是，对于MAC认证用户通过MAC地址段指定的强制域具有最高的优先级，高于认证模板下的配置。

NAS设备向RADIUS服务器发送的用户名格式

• 仅RADIUS认证支持修改用户输入的原始用户名。

• 支持基于RADIUS服务器模板修改用户输入的原始用户名。

NAS设备可以根据RADIUS服务器的要求，配置向RADIUS服务器发送的用户名是否包含域名。缺省情况下，NAS设备向RADIUS服务器发送的用户名为用户输入的原始用户名，不对其进行修改。

通过表1-2中的命令设置NAS设备向RADIUS服务器发送的用户名格式。

以下命令仅会修改发往服务器的RADIUS报文中的用户名格式，EAP报文中的用户名格式不会被修改。由于802.1X认证过程中，RADIUS服务器会检查EAP报文中携带的用户名与RADIUS服务器上的用户名是否一致，所以，802.1X认证时不能使用命令radius-server user-name domain-included和undo radius-server user-name domain-included修改用户的原始用户名，以免造成认证失败。