评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置Kerberos Snooping
背景信息
Kerberos认证场景中,可以在设备上部署Kerberos Snooping功能来控制用户访问网络的权限。认证未通过时,仅允许DHCP、DNS、ARP、Kerberos协议报文通过,认证通过后,用户可以访问网络资源。
请确保已执行命令authentication pre-authen-access enable使能预连接功能,否则无法实现Kerberos Snooping功能。
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令kerberos-snooping-profile name profile-name,创建Kerberos Snooping模板并进入Kerberos Snooping模板视图。
- 执行命令server-ip server-ip-address &<1-10>,配置Kerberos服务器的IP地址。
缺省情况下,未配置Kerberos服务器的IP地址。
- 执行命令port port-number,配置Kerberos服务器发送报文时使用的端口号。
缺省情况下,Kerberos服务器发送报文时使用的端口号为88。
- 执行命令quit,退回系统视图。
- 执行命令authentication-profile name authentication-profile-name,创建认证模板并进入认证模板视图。
- 执行命令kerberos-snooping-profile profile-name,在认证模板下绑定Kerberos Snooping模板。
- 执行命令quit,退回系统视图。
- 执行命令interface interface-type interface-number,进入接口视图。
- 执行命令authentication-profile authentication-profile-name,在接口下应用认证模板。
Kerberos Snooping仅支持在二层物理接口上应用。
